● 経営の幹部クラスがソーシャル侵害の標的になるケースが増加および活発化している――金銭目的によるソーシャルエンジニアリング攻撃の増加と連動
● 盗まれた認証情報(98%)を悪用したウェブベース電子メールアカウントへの侵害が増加――ウェブアプリケーションへのハッキングを含む攻撃の60%で観測
● いまでも全漏洩の4分の1はスパイ活動との関連がある
● ランサムウェア攻撃は依然強く、分析されたマルウェアインシデントの24%を占め、もっとも利用されたマルウェア種類で第2位だった
● データ漏洩/侵害調査報告書(DBIR)第12版に含まれるデータ提供者は調査開始以来最高の73団体
● 41,686 件のセキュリティインシデントを分析、86か国で確認された漏洩は2,013件
ベライゾンジャパン合同会社(東京都千代田区、執行役員社長:藤井一弘、以下「ベライゾン」)は、2019年度ベライゾン データ漏洩/侵害調査報告書(略称:DBIR)」の日本語版エグゼクティブサマリー(要約版)を本日発表しました。本報告書は、企業で最も機密性の高い情報にアクセスできる経営幹部たちがいまや、ソーシャルエンジニアリング攻撃の格好の標的になっていることを警告しています。前年までと比較して、上級管理職はソーシャルインシデントで12倍、ソーシャル漏洩では9倍も標的にされやすく、その主な動機はやはり金銭目的のものです。金銭を目的としたソーシャルエンジニアリング攻撃(分析した全データ漏洩の12%)は今年度の調査レポートの主要テーマであり、あらゆるレベルの従業員にサイバー犯罪の潜在的影響に対する意識の改善が必要であることが強調されています。
ベライゾン「2019年版 データ漏洩/侵害調査報告書」の完全版およびエグゼクティブサマリーは、DBIRのリソースページから入手可能です。
ベライゾングローバルエンタープライズ社長、ジョージ・フィッシャーは次のようにコメントしています。
「信頼性の高い知見と経験を提供するためにエッジベースのアプリケーションを利用する企業が増えています。今後、サプライチェーンデータ、動画、その他の重要な――往々にして個人的な――データは瞬く間に収集・分析され、アプリケーションがネットワーク機能を安全に活用するための方法も変化していくでしょう。これらの新しいアプリケーションやアーキテクチャーを実装する際には、セキュリティが常にその最前線にあって、かつ中核を成すものでなければなりません。リスク削減ということで言えば、ITの技術的な健康状態とネットワークセキュリティは最低限必要なものです。リスクの現状と脅威の全景を理解するところから始めることで、サイバー犯罪の現実からビジネスを守るためのしっかりした計画を立案し、実行することができるのです。知識はパワーであり、ベライゾンのDBIRは、今日的なサイバー脅威の全景に関する包括的な概要を、企業・組織の規模にかかわらず提供することで、組織が迅速に効果的な防衛戦略を構築できるよう支援します」
上級管理職へのなりすまし攻撃が成功すれば、彼らは(ほぼ間違いなく)承認権限や、基幹システムへの特権的なアクセス権限を有することで、多大な利益を得ることもできてしまいます。上級管理職は一般的に時間に追われることが多く、職務遂行へのプレッシャーを感じているため、メールをさっとレビューしてクリックし、すぐ次へ(あるいはアシスタントにメール管理を代行させて)と処理しているうちに、疑わしいメールでも通過させてしまうことがあります。ビジネスメール情報漏洩(BECS――分析のうち、インシデントは370件、確認された漏洩は248件)のように、ソーシャル攻撃の成功率の増加は、ストレスフルなビジネス環境とサイバー犯罪リスクについての教育の欠如が相まって、企業・組織にとって不健全な状態を生み出す可能性を秘めています。
今年度の調査では、コスト効率的なクラウドベースのソリューション内部で情報をシェアし保存するという流れが強まるほど、いかに企業がさらなるセキュリティリスクに晒されているかが浮き彫りにされています。分析によって明らかになったのは、盗まれた認証情報が使われることによってクラウドベースのメールアカウントの情報漏洩が増加するということです。さらに、クラウド上で公表されるエラーが年々増加しています。間違った設定(「混合型エラー」)により、大規模なクラウドベースのファイルストレージ漏洩が多数発生し、分析したDBIRのデータセットのうち、少なくとも6,000万件が流出していました。これはエラーを原因とする漏洩の21%にあたります。
ベライゾン、セキュリティ専門サービス部門エグゼクティブディレクター、ブライアン・サーティンは次のようにコメントしています。「企業・組織がデジタルを使った新しい働き方の採用を推進するなかで、直面するかもしれない新たなセキュリティリスクに気づかずにいる場合が多くあります。日々のセキュリティ状況を全方位的に監視するために、最新のサイバー脅威に関する統計値に裏付けされたサイバー検出ツールにアクセスする必要があります。セキュリティは、常に企業に供給され、純利益に影響を与える、フレキシブルで賢い戦略的資産と考えるべきです」
サマリーに載っている主な調査結果
DBIR は、サイバー脅威のランドスケープに関する包括的なデータ主導型分析を提供しつづけています。2019年度報告書の主な調査結果は以下の通りです。
● FBI インターネット犯罪苦情センター(通称IC3)による新分析:ビジネスメール情報漏洩(BEC)やコンピュータデータ漏洩(CDB)の影響に関する知見に満ちた分析を提供。BECの改善方法にフォーカスした調査結果。IC3のリカバリーアセットチームがBECに対処し、メールの送付先となった銀行と協力した結果、アメリカを拠点とするビジネスメール情報漏洩案件の半分で資金の99%が回復または凍結された。まったく回復できなかったのはわずか9%。
● 人事部への攻撃は昨年度より減少:DBIRデータセットから「W-2詐欺」がほとんど消滅したことにより、今年度の人事部への攻撃は昨年度の6分の1だったことが判明。
● チップ・アンド・ピンによるペイメントテクノロジーが功を奏しはじめた:物理端末での支払いカードに関連する情報漏洩件数は、Webアプリケーションからの情報漏洩と比較して、減少傾向。
● ランサムウェアによる攻撃は依然衰えず:マルウェアを利用したインシデントの24%近くを占めている。ランサムウェアは当たり前になりすぎて、目立った標的でもなければ専門メディアではあまり話題にならなくなった。
● メディアが煽ったような暗号検索攻撃はほぼ皆無:これらのタイプの攻撃は、マルウェア上位10種に入っておらず、インシデントのわずか2%を占めるのみ。
● 外部の驚異は依然として優勢: 攻撃の裏にいる主力はいまでも外部の脅威行為者(漏洩の69%)であり、内部の行為者は34%。
事業部門のきめ細かなチェックが必要
今年度の報告書は、個々の業界が直面する最大の脅威を明らかにしています。それと同時に、企業がこれらのリスクを軽減するために何ができるのかについてのガイダンスを提示しています。
ブライアン・サーティンは次のようにコメントしています。「私たちは毎年、データを分析して最新のサイバー犯罪傾向について企業に警告を発し、彼らがセキュリティ戦略を見直し、サイバー脅威から積極的に彼らの事業を守れるよう支援しています。しかし、特定の標的や攻撃場所に変化が見られるとはいえ、犯罪者たちが利用する戦術が変わるわけではありません。規模の大小にかかわらず、企業はそれぞれの事業のセキュリティおよび顧客データの保護を最優先にする必要があります。基本的なセキュリティプラクティスや常識だけでも、阻止できるサイバー犯罪もあります」
注目すべき業界ごとの発見は以下の通りです。
● 教育サービス:金銭目的の犯罪が目立って増加(80%)した。全漏洩の35%がヒューマンエラーによるもので、漏洩の約4分の1はWebアプリケーション攻撃によるものだった。そのほとんどが、クラウドベースのメールにアクセスするのに盗まれた認証情報を悪用したものだった。
● 医療:この事業分野だけは、外部からの攻撃よりも内部によるもののほうがつねに上回っている(それぞれは42%と60%)。驚くことではないが、この業界では医療データの漏洩が18倍もある。内部行為者が絡んでいる場合、それは医師や看護師などの医療専門職であるケースが14倍となっている。
● 製造業:昨年度に続き今年度も、製造業における漏洩の主な理由となったのは金銭目的の攻撃がサイバースパイよりも多く、今年度はさらにその割合が増加した(68%)。
● 公共機関:今年度はサイバースパイが増加した。とはいえ、漏洩の47%近くは最初の攻撃から何年も経過してから発見された。
● 小売業: 2015年以降、店頭(PoS)での漏洩が10分の1に減少した一方で、ウェブアプリケーションからの漏洩は13倍に増加した。
(全業界個々の発見については完全版リポートでお探しください。)
過去最高数のデータ提供者からより多くのデータが集まったことでより深い知見を
ブライアン・サーティンは次のようにコメントしています。「今年度はかつてないほど多くのデータ提供者からのデータを盛り込むことができました。また今回初めて、FBIの協力が得られたことも喜ばしいことです。DBIRが価値ある知見を提供することができるのは、みなさまがご参加くださったおかげです。みなさまの継続的なサポートにお礼申し上げます。同時に、その他の世界中の組織においては、データ漏洩/侵害調査報告書へのご参加もお待ちしております」
本リポートは、DBIR第12版となります。2008年に刊行を開始して以来、過去最高となる73団体からデータをご提供いただきました。ここには確認された2.013件の漏洩を含む41,686件のセキュリティインシデントの分析が含まれています。データ提供者の増加により、分析できるデータも飛躍的に増加し、非インシデントデータは総計で約15億データポイントとなりました。
今年度のリポートでは、新たな測定基準を取り入れ、それを検討することで、ざっと調べるにしろ大規模な攻撃をしかけるにしろ、攻撃者にとってどのサービスがもっとも儲けられそうに見えるのかを特定するのに役立っています。この分析はハニーポットやインターネットスキャンデータをもとにしています。
ベライゾン「2019年版 データ漏洩/侵害調査報告書」の完全版およびエグゼクティブサマリーは、DBIRのリソースページから入手可能です。
ベライゾングローバルエンタープライズ社長、ジョージ・フィッシャーは次のようにコメントしています。
「信頼性の高い知見と経験を提供するためにエッジベースのアプリケーションを利用する企業が増えています。今後、サプライチェーンデータ、動画、その他の重要な――往々にして個人的な――データは瞬く間に収集・分析され、アプリケーションがネットワーク機能を安全に活用するための方法も変化していくでしょう。これらの新しいアプリケーションやアーキテクチャーを実装する際には、セキュリティが常にその最前線にあって、かつ中核を成すものでなければなりません。リスク削減ということで言えば、ITの技術的な健康状態とネットワークセキュリティは最低限必要なものです。リスクの現状と脅威の全景を理解するところから始めることで、サイバー犯罪の現実からビジネスを守るためのしっかりした計画を立案し、実行することができるのです。知識はパワーであり、ベライゾンのDBIRは、今日的なサイバー脅威の全景に関する包括的な概要を、企業・組織の規模にかかわらず提供することで、組織が迅速に効果的な防衛戦略を構築できるよう支援します」
上級管理職へのなりすまし攻撃が成功すれば、彼らは(ほぼ間違いなく)承認権限や、基幹システムへの特権的なアクセス権限を有することで、多大な利益を得ることもできてしまいます。上級管理職は一般的に時間に追われることが多く、職務遂行へのプレッシャーを感じているため、メールをさっとレビューしてクリックし、すぐ次へ(あるいはアシスタントにメール管理を代行させて)と処理しているうちに、疑わしいメールでも通過させてしまうことがあります。ビジネスメール情報漏洩(BECS――分析のうち、インシデントは370件、確認された漏洩は248件)のように、ソーシャル攻撃の成功率の増加は、ストレスフルなビジネス環境とサイバー犯罪リスクについての教育の欠如が相まって、企業・組織にとって不健全な状態を生み出す可能性を秘めています。
今年度の調査では、コスト効率的なクラウドベースのソリューション内部で情報をシェアし保存するという流れが強まるほど、いかに企業がさらなるセキュリティリスクに晒されているかが浮き彫りにされています。分析によって明らかになったのは、盗まれた認証情報が使われることによってクラウドベースのメールアカウントの情報漏洩が増加するということです。さらに、クラウド上で公表されるエラーが年々増加しています。間違った設定(「混合型エラー」)により、大規模なクラウドベースのファイルストレージ漏洩が多数発生し、分析したDBIRのデータセットのうち、少なくとも6,000万件が流出していました。これはエラーを原因とする漏洩の21%にあたります。
ベライゾン、セキュリティ専門サービス部門エグゼクティブディレクター、ブライアン・サーティンは次のようにコメントしています。「企業・組織がデジタルを使った新しい働き方の採用を推進するなかで、直面するかもしれない新たなセキュリティリスクに気づかずにいる場合が多くあります。日々のセキュリティ状況を全方位的に監視するために、最新のサイバー脅威に関する統計値に裏付けされたサイバー検出ツールにアクセスする必要があります。セキュリティは、常に企業に供給され、純利益に影響を与える、フレキシブルで賢い戦略的資産と考えるべきです」
サマリーに載っている主な調査結果
DBIR は、サイバー脅威のランドスケープに関する包括的なデータ主導型分析を提供しつづけています。2019年度報告書の主な調査結果は以下の通りです。
● FBI インターネット犯罪苦情センター(通称IC3)による新分析:ビジネスメール情報漏洩(BEC)やコンピュータデータ漏洩(CDB)の影響に関する知見に満ちた分析を提供。BECの改善方法にフォーカスした調査結果。IC3のリカバリーアセットチームがBECに対処し、メールの送付先となった銀行と協力した結果、アメリカを拠点とするビジネスメール情報漏洩案件の半分で資金の99%が回復または凍結された。まったく回復できなかったのはわずか9%。
● 人事部への攻撃は昨年度より減少:DBIRデータセットから「W-2詐欺」がほとんど消滅したことにより、今年度の人事部への攻撃は昨年度の6分の1だったことが判明。
● チップ・アンド・ピンによるペイメントテクノロジーが功を奏しはじめた:物理端末での支払いカードに関連する情報漏洩件数は、Webアプリケーションからの情報漏洩と比較して、減少傾向。
● ランサムウェアによる攻撃は依然衰えず:マルウェアを利用したインシデントの24%近くを占めている。ランサムウェアは当たり前になりすぎて、目立った標的でもなければ専門メディアではあまり話題にならなくなった。
● メディアが煽ったような暗号検索攻撃はほぼ皆無:これらのタイプの攻撃は、マルウェア上位10種に入っておらず、インシデントのわずか2%を占めるのみ。
● 外部の驚異は依然として優勢: 攻撃の裏にいる主力はいまでも外部の脅威行為者(漏洩の69%)であり、内部の行為者は34%。
事業部門のきめ細かなチェックが必要
今年度の報告書は、個々の業界が直面する最大の脅威を明らかにしています。それと同時に、企業がこれらのリスクを軽減するために何ができるのかについてのガイダンスを提示しています。
ブライアン・サーティンは次のようにコメントしています。「私たちは毎年、データを分析して最新のサイバー犯罪傾向について企業に警告を発し、彼らがセキュリティ戦略を見直し、サイバー脅威から積極的に彼らの事業を守れるよう支援しています。しかし、特定の標的や攻撃場所に変化が見られるとはいえ、犯罪者たちが利用する戦術が変わるわけではありません。規模の大小にかかわらず、企業はそれぞれの事業のセキュリティおよび顧客データの保護を最優先にする必要があります。基本的なセキュリティプラクティスや常識だけでも、阻止できるサイバー犯罪もあります」
注目すべき業界ごとの発見は以下の通りです。
● 教育サービス:金銭目的の犯罪が目立って増加(80%)した。全漏洩の35%がヒューマンエラーによるもので、漏洩の約4分の1はWebアプリケーション攻撃によるものだった。そのほとんどが、クラウドベースのメールにアクセスするのに盗まれた認証情報を悪用したものだった。
● 医療:この事業分野だけは、外部からの攻撃よりも内部によるもののほうがつねに上回っている(それぞれは42%と60%)。驚くことではないが、この業界では医療データの漏洩が18倍もある。内部行為者が絡んでいる場合、それは医師や看護師などの医療専門職であるケースが14倍となっている。
● 製造業:昨年度に続き今年度も、製造業における漏洩の主な理由となったのは金銭目的の攻撃がサイバースパイよりも多く、今年度はさらにその割合が増加した(68%)。
● 公共機関:今年度はサイバースパイが増加した。とはいえ、漏洩の47%近くは最初の攻撃から何年も経過してから発見された。
● 小売業: 2015年以降、店頭(PoS)での漏洩が10分の1に減少した一方で、ウェブアプリケーションからの漏洩は13倍に増加した。
(全業界個々の発見については完全版リポートでお探しください。)
過去最高数のデータ提供者からより多くのデータが集まったことでより深い知見を
ブライアン・サーティンは次のようにコメントしています。「今年度はかつてないほど多くのデータ提供者からのデータを盛り込むことができました。また今回初めて、FBIの協力が得られたことも喜ばしいことです。DBIRが価値ある知見を提供することができるのは、みなさまがご参加くださったおかげです。みなさまの継続的なサポートにお礼申し上げます。同時に、その他の世界中の組織においては、データ漏洩/侵害調査報告書へのご参加もお待ちしております」
本リポートは、DBIR第12版となります。2008年に刊行を開始して以来、過去最高となる73団体からデータをご提供いただきました。ここには確認された2.013件の漏洩を含む41,686件のセキュリティインシデントの分析が含まれています。データ提供者の増加により、分析できるデータも飛躍的に増加し、非インシデントデータは総計で約15億データポイントとなりました。
今年度のリポートでは、新たな測定基準を取り入れ、それを検討することで、ざっと調べるにしろ大規模な攻撃をしかけるにしろ、攻撃者にとってどのサービスがもっとも儲けられそうに見えるのかを特定するのに役立っています。この分析はハニーポットやインターネットスキャンデータをもとにしています。
