Scan勉強会レポート:大手Webサービスや出会い系サイト等「預け先」から流出・漂流する企業アカウント30億件調査 | ScanNetSecurity
2024.03.19(火)

Scan勉強会レポート:大手Webサービスや出会い系サイト等「預け先」から流出・漂流する企業アカウント30億件調査

入口対策、出口対策、内部対策、事後対策とセキュリティ防御のベクトルも時代とともに変遷してきた。攻撃側が進化を続ける限り、防御側の進化・変化も終わりはない。2018年、新たに考えたいのは「外部対策」だ。

研修・セミナー・カンファレンス セミナー・イベント
入口対策、出口対策、内部対策、事後対策とセキュリティ防御のベクトルも時代とともに変遷してきた。攻撃側が進化を続ける限り、防御側の進化・変化も終わりはない。2018年、新たに考えたいのは「外部対策」だ。

●知らない間に漏えいしているデータがないか

2010年までは、情報セキュリティは、ゲートウェイ設置のアプライアンス、境界防御のソフトウェア、脆弱性診断など「入口対策」が主流だった。

加えて、ふるまいやブラックリストによる外部通信の監視や遮断という「出口対策」が叫ばれたのが2011年ごろ。

2014年にはSIEM、UTM、マイクロセグメンテーションといった「内部対策」が注目され、続いて、CSIRT構築、サイバー保険、フォレンジック、復元力(レジリエンス)など「事後対策」にトレンドが移った。

セキュリティ対策の次の概念という「外部対策」とは、インターネットに拡散・蓄積される等の形で実質的に公知となっている情報への対策をいう。内部対策や事後対策では、侵入前提での防衛、被害を想定した備えの重要性が問われたが、外部対策では、攻撃の予備調査に資する情報が検索で容易に浮上するような事態になっていないか、あるいは自社の機密データや社員のアカウント情報などが漏れていないか、果てはダークウェブで流通していないかをチェックする。いわば「ポスト漏えい」のセキュリティ対策である。

このような考えで、30億件もの漏えい情報を集約したデータベースを作成し、解析するビジネスを展開しているのがサイバーリサーチ株式会社だ。同社の藤田有悟氏が弊誌ScanNetsecurity主催の勉強会で、外部対策の重要性やどんな漏えい情報がサイバー空間に出回っているかの実態を語った。

●メガブリーチの情報の多くがネットに公開される

クラウドサービス、オンラインストレージ、ソーシャルメディア、各種Webサービスは、IDパスワードの他、各種個人情報の宝庫である。アカウント情報や個人情報は、攻撃者が狙う情報の最たるものといっていいだろう。ユーザーはWebサービスを信頼してメールアドレスなどを預けるが、攻撃者はさまざまな手法を使い個人情報を窃取する。こうした攻撃は「メガブリーチ(大規模情報漏えい)」と呼ばれる数十万件から数億件規模の情報漏えい事件に発展することもある。これらの情報は、ダークウェブで取引されるだけでなく、インターネットに公開されることもある。

藤田氏が着目するのは、インターネットに公開状態になっているメガブリーチの情報だ。大規模な情報漏えいや大企業の情報は、攻撃者が自分で利用したり、販売したりするために盗み出されることがあるが、ハクティビズムや、名を上げたいあるいはステータスを維持したい職業犯罪者であるハッカーによって公開されることも少なくない。

「ハッキングされた個人情報が、犯行を顕示するためインターネットに公開されることがある。これが元となり、インターネット上でコピーが繰り返され拡散されてしまうことがある。インターネットに公開される情報は、IDパスワードリストや漏えいデータなど。暗号化されていても、解読された状態で公開されている。これらが検索などによってだれでもアクセスできるようになっている。」

公開されている情報は、メールアドレス、アカウント名、パスワード、住所・氏名・生年月日・クレジットカード情報、あるいはIPアドレスや利用履歴などである。まとまった数で入手できれば、攻撃者は入手したメールアドレスにランサムウェアを送りつけることもできるし、標的型攻撃にも使える。アカウントが乗っ取れれば、なりすまし、不正送金、カード等の不正利用、DDoSの踏み台、ボットネット構築他、用途は限りない。

●日本初の漏えい調査サービス

海外ではすでに、メールアドレスを入力すれば、インターネットに出回っているかどうか、どのサービスのいつのインシデントで漏れたのか、どんな情報が公開されている可能性があるのか、などを教えてくれるサービスが存在する。

藤田氏は、2017年8月「パスリーク」というサービスを開始した。以前からこうしたサービスは需要の発生都度専門企業が受託し調査を行う形で存在したが、更新する大規模データーベースを背景に、多数のユーザーの利用を前提としたWebサービスとしては日本初である。

パスリークは、30億件もの漏えい情報データベースから、従業員のメールアドレスがインターネットで循環していないかをチェックして、レポーティングしてくれるサービスだ。30億件は重複排除していないが、サイバーリサーチでは、ツイッター、アドビ、ドロップボックス、リンクトイン、大手グローバルマッチングサービス等で発生したメガブリーチのデータなどを解析しているという。

レポート機能では、漏えいが暗号化されたパスワードなのか、平文なのか、クレジットカード情報が漏れているのか、といったことを調べ、アカウントごとに5段階評価のスコアにしてまとめている。ある行政機関では7,000人中275件のメールアドレスが、同社の漏えいデータベースにヒットした。別の企業では、全従業員1,000人のうち400件がヒットしたという。組織名・個社名は明らかにされなかったが、こうした調査は要望があればすぐに実施できるという。

前者の事例は、漏出率は高くないが、公開されているデータの種類によって深刻度は変わってくる。後者の漏出率は40%にも達する。公開されているアカウント情報の変更はもちろん、漏出経路の確認やセキュリティ対策の見直しを検討してもいいだろう。

海外では、このような調査を、株主が投資先企業を調査するために利用することもあるという。調査で循環が確認されたら、対応アカウントのパスワード変更、迷惑メール対策の強化、アクセス権の見直し、BYOD対策の強化などしてほしいと藤田氏はアドバイスした。

IoTの普及によって、意図していなくて外部からアクセス可能なデバイス(IPアドレス)に対する注目が高まっているが、まずは自分の足もとであるアカウント情報の現状を知る必要も忘れてはならない。
《中尾 真二》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×