2017年度データ漏洩/侵害調査報告書によると、サイバースパイ活動は製造業、公的機関、さらには教育サービス業において、もっとも一般的な攻撃パターンとなっています。これらの業界の企業は、新しい技術や製品のプロトタイプ、個人の機密データの保有をしていることから、サイバー犯罪者にとってもっとも価値のある情報を持つ魅力的な業界となっています。今年度の調査では2,000件近くの漏洩事象を分析した結果、300以上がスパイ活動に関連したもので、その多くはフィッシング目的の電子メールに起因するものでした。
また、サイバー犯罪組織は、被害者から金銭を奪い取る目的でランサムウェアの使用をエスカレートさせています。今年度調査では、昨年度に比べて、ランサムウェアによる攻撃は50%増加しています。攻撃が増加し、ランサムウェアに関してマスコミによって報道されているにも関わらず、多くの企業ではいまだに時代遅れのセキュリティソリューションに依存し、サイバー脅威に対する準備への投資がなされていません。それはつまり、企業・組織がサイバー攻撃による被害の軽減が期待されるセキュリティサービスへの投資ではなく、身代金を支払うことを選択しているようなものです。
Verizon Enterprise Solutionsのプレジデントであるジョージ・フィッシャー(George Fischer)は次のように述べています。「DBIRで示された知見は、サイバーセキュリティに関するインテリジェンスを様々な業界に対して提供するものです。このデータは、政府や組織がサイバー攻撃を予測し、サイバーリスクを効果的に軽減するための情報です。当社のセキュリティチーム並びに世界中の主要なセキュリティ専門家たちから収集したデータを分析することで、企業・組織がセキュリティリスクを改善するために必要な、価値あるインテリジェンスを提供しています」
今年で10周年という筋目を迎えたDBIRは、セキュリティをビジネス課題の中核と位置付け、サイバーセキュリティにおける課題の最新分析と、主要業界毎に特有の知見をまとめたものです。主な調査結果は次の通りです。
- ランサムウェアで大儲け:分析したデータ漏洩のうち51%にマルウェアが関連していました。今年の調査では、ランサムウェアは最も一般的に使用されたマルウェアの第5位でした。被害者から金銭を奪うテクノロジーを利用したランサムウェアによる被害は、2016年の報告書より50%増加し、マルウェアのうち22番目だった2014年のDBIRから飛躍的に伸びています。
- フィッシングは今でも最も一般的な戦術:2016年度のDBIRでは、ユーザーデバイスへのソフトウェアインストールにひもづけられたフィッシング戦術の利用が増加していることを注意喚起しました。今年度の報告書では、フィッシング攻撃の95%がこのプロセスに倣っています。データ漏洩の43%でフィッシングテクニックが利用され、このメソッドはサイバースパイ活動にも金銭目的の攻撃にも使われています。
- なりすまし詐欺が増加中:なりすまし詐欺もまた増加傾向にあります。2017年度DBIRでは、主に送金や振替手続きを担う金融部門の従業員がターゲットにされていることが報告されています。接触経路のトップは、電子メールで、金融部門のなりすましインシデントの88%を占めています。第2位の電話による接触は10%未満となっています。
- 小規模組織もターゲットに:分析対象となった被害企業のうち61%は従業員が1,000人未満の企業でした。
ベライゾンジャパン合同会社 執行役員社長 藤井一弘は次のように述べています。「人間の行動パターンを突いたサイバー攻撃は引き続き大きな問題となっており、サイバー犯罪は、主に4つの人間の動機(熱意、注意散漫、好奇心、不安)を突いて、情報を公開させるように個人に働きかけてきます。本報告書が示す通り、この手法は有効で、フィッシングでも、なりすましでも、このアプローチを用いたサイバー犯罪は、今年大幅な増加を記録しています」
業界別の知見:
今年の報告書は、主要な業界に特化した知見や、業界毎に特有の課題を示しています。また、誰が、何を、なぜ、どのように、という疑問にも答えています。業界別の主な調査結果は、次の通りです。
- データ漏洩のもっとも多かった業界トップ3は、金融業(24%)、医療業(15%)、公的機関(12%)でした。
- 電子メールをベースとしたマルウェアのターゲットとしてもっとも一般的なのは製造業界の企業でした。
- 医療業界への脅威ののうち68%は内部による犯行でした。
サイバー犯罪のパターンは、業界毎に異なり、多様化しています。各業界の基本的な仕組みや特徴を理解することでしか、その企業・組織が直面しているサイバーセキュリティの課題を認識し、適切な対応を推奨することができると考えます。
DBIRシリーズは自社のみの情報を使いスタートしました。弊社のビジョンは、サイバー犯罪に正面から立ち向かうために、様々な業界と連携して情報共有をしていくことにあります。DBIRシリーズの成功は、私たちを何年にもわたってご協力下さっている企業・組織あってこそです。DBIRは長年信頼関係を気づいてきたご協力いただいている企業・組織に支えられており、今後もどんな企業・組織であってもサイバー犯罪に関わる情報は積極的に共有されることを期待しています。
基本が大事:
ハッキングに関連する漏洩/侵害の80%は盗まれたパスワードや強度の弱い、推測可能なパスワードが悪用されていることから、基本をきちんと押さえることはこれまで以上に重要です。組織にも個人にも、次のような対策を推奨します。
1. 警戒を怠らないーログファイルと変更管理システムによって、早い段階でデータ漏洩の警告を得ることができます。
2. 防御の最前線は人―警告サインに気づくように、従業員を教育してください。
3. データへのアクセスは知る必要性のある方に限定―職務を果たすために、どうしてもシステムにアクセスしなければならない従業員に限定して、アクセス権を与えてください。
4. パッチの迅速な適用―これで多くの攻撃を防ぐことができます。
5. 機密情報の暗号化―盗まれたデータがほとんど役に立たなくなるようにしてください。
6. 二要素認証を使用―紛失したか、または盗んだ認証情報の悪用から発生する損害を限定的なものにします。
7. 物理的なセキュリティを怠らないーすべてのデータ窃取がオンラインで発生するわけではありません。
本報告書は、「鉄壁のシステムなど存在せず、基本をしっかりと押さえることこそ本物の防御だということを示しています。基本的な防御でも、時にはサイバー犯罪を回避し、結果的に犯罪者をもっと簡単なターゲットへ誘導することができるのです」と結論づけています。
本件に関するお問い合わせ:
ベライゾン広報事務局
e-mail: verizon@jspin.co.jp
