ベライゾン 2017年度データ漏洩/侵害調査報告 サイバースパイ/ランサムウェア 増加の一途
ベライゾンジャパン(東京都千代田区)は、「2017年度ベライゾン漏洩/侵害調査報告書(DBIR)」の日本語版エグゼクティブサマリー(要約版)を発表した。今回で10年目の発行となるDBIRは、世界中の65の組織から提供された84か国における4万2068件のセキュリティインシデントおよび1935件以上のデータ侵害を分析し、作成された調査報告書となる。
激化する「企業標的」 脅威に対する準備不足
17年度DBIRによると、サイバースパイ活動は製造業、公的機関、さらには教育サービス業において、最も一般的な攻撃パターンとなっている。これらの業界の企業は、新しい技術や製品のプロトタイプ、個人の機密データの保有をしていることから、サイバー犯罪者にとって最も価値のある情報を持つ魅力的な業界となっている。今年度の調査では2000件近くの漏洩事象を分析した結果、300以上がスパイ活動に関連したもので、その多くはフィッシング目的の電子メールに起因するものだった。
また、サイバー犯罪組織は、被害者から金銭を奪い取る目的でランサムウェアの使用をエスカレートさせている。今年度調査では、昨年度に比べて、ランサムウェアによる攻撃は50%増加。攻撃が増加し、ランサムウェアに関してマスコミによって報道されているにもかかわらず、多くの企業ではいまだに時代遅れのセキュリティソリューションに依存し、サイバー脅威に対する準備への投資がなされていない。企業・組織がサイバー攻撃による被害の軽減が期待されるセキュリティサービスへの投資ではなく、身代金を支払うことを選択しているようなものである。
Verizon Enterprise Solutionsのジョージ・フィッシャープレジデントは、「DBIRで示された知見は、サイバーセキュリティに関するインテリジェンスをさまざまな業界に対して提供するもの。このデータは、政府や組織がサイバー攻撃を予測し、サイバーリスクを効果的に軽減するための情報。当社のセキュリティチーム並びに世界中の主要なセキュリティ専門家たちから収集したデータを分析することで、企業・組織がセキュリティリスクを改善するために必要な、価値あるインテリジェンスを提供している」
調査結果の概要
▶︎ランサムウェアで大儲け
分析したデータ漏洩のうち51%にマルウェアが関連していた。ランサムウェアは最も一般的に使用されたマルウェアの第5位で、被害者から金銭を奪うテクノロジーを利用したランサムウェアによる被害は16年の報告書より50%増加。マルウェアのうち22番目だった14年から飛躍的に伸びている。
▶︎フィッシングは今でも最も一般的な戦術
16年度にユーザーデバイスへのソフトウェアインストールにひもづけられたフィッシング戦術の利用が増加していることを注意喚起したが、今年度の報告書でもフィッシング攻撃の95%がこのプロセスに倣っている。データ漏洩の43%でフィッシングテクニックが利用され、このメソッドはサイバースパイ活動にも金銭目的の攻撃にも使われている。
▶︎なりすまし詐欺が増加中
なりすまし詐欺もまた増加傾向にある。17年度は、主に送金や振替手続きを担う金融部門の従業員がターゲットにされていることが報告されている。接触経路のトップは電子メールで、金融部門のなりすましインシデントの88%を占めている。第2位の電話による接触は10%未満。
▶︎小規模組織もターゲットに
分析対象となった被害企業のうち61%は従業員が1000人未満の企業。
ベライゾンジャパン藤井一弘執行役員社長はこれらについて「人間の行動パターンを突いたサイバー攻撃は引き続き大きな問題となっており、サイバー犯罪は、主に4つの人間の動機(熱意、注意散漫、好奇心、不安)を突いて、情報を公開させるように個人に働きかけてくる。本報告書が示す通り、この手法は有効で、フィッシングでも、なりすましでも、このアプローチを用いたサイバー犯罪は、今年大幅な増加を記録している」と分析している。
業界別の調査結果
有効な対策「基本に忠実」
データ漏洩の最も多かった業界トップ3は、金融業(24%)、医療業(15%)、公的機関(12%)だった。電子メールをベースとしたマルウェアのターゲットとして最も一般的なのは製造業界の企業。医療業界への脅威のうち68%は内部による犯行だった。
サイバー犯罪のパターンは、業界ごとに異なり、多様化している。各業界の基本的な仕組みや特徴を理解することで、その企業・組織が直面しているサイバーセキュリティの課題を認識し、適切な対応を推奨することができる。
ハッキングに関連する漏洩/侵害の80%は盗まれたパスワードや強度の弱い、推測可能なパスワードが悪用されていることから、基本をきちんと押さえることはこれまで以上に重要となる。組織にも個人にも、次のような対策を推奨している。
「本報告書は、鉄壁のシステムなど存在せず、基本をしっかりと押さえることこそ本物の防御だということを示している。基本的な防御でも、時にはサイバー犯罪を回避し、結果的に犯罪者をもっと簡単なターゲットへ誘導することができる」と結論づけている。
セキュリティリスクに対する防御
1.警戒を怠らない
ログファイルと変更管理システムによって、早い段階でデータ漏洩の警告を得ることができます。
2.防御の最前線は人
警告サインに気づくように、従業員を教育してください。
3.データへのアクセスは知る必要性のある方に限定
職務を果たすために、どうしてもシステムにアクセスしなければならない従業員に限定して、アクセス権を与えてください。
4.パッチの迅速な適用
これで多くの攻撃を防ぐことができます。
5.機密情報の暗号化
盗まれたデータがほとんど役に立たなくなるようにしてください。
6.二要素認証を使用
紛失したか、または盗んだ認証情報の悪用から発生する損害を限定的なものにします。
7.物理的なセキュリティを怠らない
すべてのデータ窃取がオンラインで発生するわけではありません。