第5回:データの流出 – サイバー犯罪者が利用する手口とは?

データの流出ブログ連載の中でこれまで取り上げてきたように、膨大な数のデータが物理的または電子的な手段を通じて流出しています。今回は、電子データの不正取得においてサイバー犯罪者が利用する、より高度になったテクニックをご紹介します。このようなサイバー犯罪者の大半は一般的に、多くの時間を自由に使える環境にあり、非常に頭が良く革新的な人物です。また、自身が作成した極めて高度なツールやサービスをダークウェブの世界で同じ思考を持つ仲間と共有するコミュニティに所属しています。恐ろしく聞こえるかもしれません。皆さんを怖がらせるつもりはありませんが、一般的な境界セキュリティやエンドポイントセキュリティでは、データ漏えいの攻撃に対して十分に防御できないケースがあることを、このブログを通じて皆さんに知っていただければと思います。

偽装の達人

悪意のある犯罪者がセキュリティ防御の検知機能を回避してデータを抜き取るため、データをさまざまな手口で偽装する技術がますます高度化しています。データを転送する前に、データを操作する手法が非常に巧妙化しているのです。この方策を使うと、検知されることを回避できたり、検知されるまでの時間が増加するため、犯罪者は素早くに自身のサーバーにデータを転送することが可能になります。データ漏えいを実際に経験したセキュリティの専門家522人へのアンケートに基づいた当社のインフォグラフィック「監視中にデータが漏えいしていませんか(英文)?」によれば、32%の事例でデータを偽装するために暗号化が使用されていたことがわかりました。次にデータの圧縮が22%、チャンク化と難読化がそれぞれ15%と続きます。これらの手口について順番に見ていきましょう。

  • 暗号化:セキュリティの専門家で、暗号化がデータを保護する上で重要なチェック項目であることを疑う人はいません。サイバー犯罪者も同様です。彼らはさまざまな手法で入手したデータを暗号化してバイナリ形式に変換し、判読できないようにしてから、場合によってはさらにビデオなどのファイル形式にしてデータを隠ぺいします。
  • 圧縮:ご存じのとおり、データを圧縮することで、情報を削ることなくファイルサイズを減らすことが可能です。犯罪者は主にデータ転送のスピードアップの目的で圧縮を行います。
  • チャンク化:データを断片化して、通常のネットワークトラフィックにデータを混入させることで、検知を困難にします。
  • 難読化:難読化は、エンコードの変更または難読化アルゴリズムを使用して文字列を16進数のコードに変換してデータの検知を回避する、非常に一般的かつ単純なデータ操作手法です。

データの収集箱

映画の中に登場する多くの犯罪者は、警察の目を逃れるために盗品をゴミ収集箱の中に隠したり、一時的にゴミの中に隠して置いたりすることがあります。データ侵害の分野でも同様です。データ窃盗犯の最終的な目標は、対象のデータを内部のネットワークから外部にあるサーバーに移すことです。したがって、データをカムフラージュしてデータの転送と取得に成功すると、データ漏えいのさらなる拡大につながります。データ転送プロトコルには、HTTP/HTTPS、FTP、DNS、およびSMTP(Eメール)などが利用されます。不正取得したデータは、社内で使用されているセキュリティ上危険なシステム、たとえばAmazon Web Services(AWS)やMicrosoft Azureなどのプロバイダが提供するクラウドシステム、またはDropboxやBox.comなどのクラウド型ファイル共有サービスなどに置かれたりします。さあこれで、犯罪者が利用するテクニックについてより深く知っていただきました。次回は、サイバー犯罪者が好むデータを不正取得する環境について説明します。次回のブログ投稿までの間、空いている時間を利用して以下の資料をご一読ください。


※本ページの内容は2016年2月17日更新のMcAfee Blog の抄訳です。
原文: Data Exfiltration, Part 5: What Tactics Are Thieves Using?
著者: David Bull(Senior Product Marketing Manager)

【データの流出ブログシリーズ(全7回)】