ウェブを通じたデータ漏洩ハッキング対応の概要
ハッキングの最終目的はデータ漏洩です。
ターゲットとなるのは顧客情報、個人情報、企業の重要な資産です。
データ漏洩ハッキングの目的は、金銭的な利益を得るビジネスであるためです。
一方で、ハッキングを受けた企業にとっては、多大な金銭的損失とネガティブな企業イメージが拡大します。
罰金、集団損害賠償、場合によっては刑事告発にまで発展する可能性があります。
では、どのようにデータ漏洩を検知することができるのでしょうか?
データ漏洩防止(Data Loss Prevention, DLP)は、内部情報漏洩防止、情報漏洩防止などの用語と混用されることがあります。一般的にDLPと略して表記されます。
データ漏洩防止ソフトウェアは、メッセンジャー、ウェブメール、クラウドストレージ、プリンター、USBなど、さまざまな経路で情報が流出するのを記録・制御する技術です。
事前制御だけでなく、漏洩事故発生後に記録をもとに漏洩者や漏洩経路を追跡するためにも使用されます。
データ漏洩はハッカーの行為で発生すると思われがちですが、実際には内部者によるデータ漏洩が81.4%を占めています。
データ漏洩防止機能は、内部者による情報漏洩行為と
ハッカーや権限のない外部者がPCに不正アクセスしてデータを流出させる行為を遮断・制御・記録します。
PCやサーバーなどの端末で内部データ漏洩を制御する技術はエンドポイントDLP(Endpoint DLP)と呼ばれます。
外部ネットワークに通じるネットワーク終端で内部データ漏洩を制御する技術はネットワークDLP(Network DLP, NDLP)と呼ばれます。
グローバルITアドバイザリー企業ガートナー(Gartner)は、エンドポイントとネットワーク両方を制御するソリューションをエンタープライズDLP(Enterprise DLP)と定義しています。
データ漏洩防止製品は、内部者だけでなく、外部者の攻撃によるデータ漏洩にも対応することが期待されています。
では、ハッカーはこれらの製品をどのように回避してデータ漏洩を試みるのでしょうか?
ウェブは驚くべき非常にユニークなシステムです。
顧客情報を受け取り保存し、
また、いつでも顧客情報を変更することができ、
重要なデータである個人番号、運転免許証番号、クレジットカード番号などの機密情報を頻繁に受け取り処理します。
コールセンターや内部管理者は、大量の顧客情報をオンラインで処理します。
このように処理されるデータは、ブラウザとウェブサーバー間でTLS 1.3を使用した強力な暗号化で保護され、データベースにも強力な暗号で保存されています。しかし、最終的にエンドユーザーにとってはすべてのデータが平文で表示されるため、問題はありません。
ウェブサービスのこのような特性は、データ漏洩防止製品の効果的な運用に障害となる場合があります。
どのような製品がこのようなウェブ環境で効果的にデータ漏洩を検知できるのでしょうか?
残念ながら、広く知られたソリューションはありません。
私たちが取れる別の効果的な対策は、ウェブのレスポンス本文(Resp-Body)を分析してデータ漏洩の有無を検知することです。基本原理に立ち返って考えると、ブラウザのリクエストでウェブサーバーのデータが漏洩するので、含まれるデータをリアルタイムで分析すれば、理論上は完全に検知することが可能です。
以下の動画は、sqlmapを使用したSQLインジェクション攻撃による機密情報の漏洩を示しています。
-
データベース
-
テーブル名
内部者の助けがなければ、すべてのSQLインジェクション攻撃は同じスタート地点から始まります。
このようなデータ漏洩攻撃に対し、PLURAを利用してリアルタイムでデータ漏洩を検知する方法を紹介します。