ハッカー、1時間以内に企業ネットワークに侵入

ホワイトハッカーや、ハッカーであれば、企業や各組織のネットワークに侵入し、中心部にある機密データまで到達する事は、これといった難しさもなく容易いことだという研究結果が発表されました。市場調査を専門とする機関ヌイックス(Nuix)が調査した結果、ハッキングを専門とする人の約17%が、核心となる機密データに到達するまでの時間が、1時間もかからないという結果でした。

ハッキングが簡単な産業は飲食業、宿泊業、製造業

ヌイックスは今回の調査の為、フリーランサー形態で活動するホワイトハッカー112名と面談を実施しました。その結果、ハッキングが最も簡単な産業は飲食業、宿泊業、製造業であることが分かりました。面談したホワイトハッカーの17%が、この3つの業界に関しては1時間もかからずにハッキングが可能だ、と答えたといいます。

2時間与えられたなら、企業内の重要な知的財産や機密データまで接近可能だ、と答えた者は35%にもわたりました。さらに1時間追加されれば、そのようなデータを盗み出すことも出来るだろうと答えたホワイトハッカーは30~50%でした。

実際に、ハッカー達の情報共有サイトとしてよく知られている「Pastebin」では、宿泊予約サイトから流出したと推測される1,610件の個人情報が無防備に晒されているのが発見されました。「Pastebin」に流出している個人情報は、パスワードとユーザーのメールアドレスなどです。

この個人情報を流出させたハッカーによると、宿泊予約サイトにSQLインジェクション攻撃を仕掛けて個人情報を盗み出したといいます。SQLインジェクションの脆弱性は、アプリケーションのセキュリティ脆弱性を利用し、悪意のあるSQL文を実行させることによりデータベースを照会するインジェクション攻撃方法です。個人情報が流出してしまったサイトの相当数が、このSQLインジェクション攻撃を受けた可能性が高いという分析です。

では、どのような産業が比較的強固なセキュリティシステムを持っているのでしょうか。ハッカー達が侵入が難しいとする企業は航空関係、司法機関、弁護士事務所、行政機関などでした。しかし飲食業や宿泊業よりはましだという程度で、セキュリティ対策をしっかり行っているというには距離があるものでした。1時間内にネットワーク内に侵入できると答えたホワイトハッカーは18%程度だったといいます。

また今回の調査を通じて明らかになったことは、ネットワークの一番外側部分を突破し最初の侵入に成功することと、ネットワークの一番内部部分に保管されているデータへ接近することが、そこまで大きな違いがない、ということです。すなわち、多くの企業が未だ「外郭部の警戒」に依存しているという事実が明らかになりました。なので多くのハッカー達が、重要なデータへ1時間内に接近することが出来たということになります。

企業が実際にどれぐらい脆弱なのかを調べるため、ヌイックスはホワイトハッカーへ「脆弱性を発見した後、どのような措置を取るか」と尋ねたところ、これに対し53%が「最も重要なデータのみにフォーカスして、復旧、および緩和処置を取る」と答えました。ネットワーク全体に対するセキュリティ強化処置が取られている企業は7%、一度問題が発生した部分へのみセキュリティの強化を行っているという回答が5%でした。

驚くことに「問題を把握はしたが、これに対する報告のみを行い、何の対処も行わない」と答えたホワイトハッカーが18%にも上りました。報告すらしないというホワイトハッカーは6%でした。

PCI、NIST、ISOなど効果があるセキュリティ標準

またホワイトハッカーの57%が「PCIデータセキュリティスタンダード(PCI DSS、Payment Card Industry Data Security Standard)、NISTやISO 27001といったセキュリティ標準を順守している企業に侵入するのは、とても大変だった」と答えました。すなわち、各産業や国家が認証するセキュリティ標準が、効果を発揮しているいうことになります。

このようなセキュリティ標準を順守するには、企業の立場からすればコストもかかり、時間と人材も投資する必要があります。しかしホワイトハッカー達が実際に「効果がある」というだけあり、コストや時間を投資するだけの価値があるものといえるでしょう。