マカフィーはVerizonが毎年発表しているデータ漏えい、侵害調査報告書(Data Breach Investigations Report:DBIR)についての見解を公式ブログで発表し、5月に日本語版を掲載した。
DBIRは、Verizonが70の組織から収集した情報をまとめ、61カ国で確認された2000件以上のデータ漏えい、侵害事例、8万件近い個別のインシデントを分析したもの。
マカフィー公式ブログに紹介されている主な内容は以下の通り。
パスワードについて
DBIRによるとデータ漏洩、侵害の63%は弱いパスワードが関係しているとのこと。「半数以上の事例で、高度なハッキングやエクスプロイトの手法は必要なかった」と指摘した。盗まれたパスワードが頻繁にオンラインで公開されていることや、ウェブカメラなどが初期設定パスワードのまま使われている事例の多さからも、この傾向は納得できるという。
フィッシングの手口
パスワードなど機密情報を入手する手口の1つが、ソーシャルエンジニアリングの手法を用いて人々をだまし、リンクをクリックさせたり、マルウェアをダウンロードさせたりするフィッシングメール。「フィッシングが相変わらずやっかいな問題である理由は、それがうまくいくから」と断言する。Verizonの報告書によると、フィッシングメールを受け取った人の30%がメールを開き、そのうち13%が添付ファイルやリンクをクリックしており、フィッシングメールが最初にクリックされるまでにかかる時間は4分未満とのこと。
修正プログラム適用の効果
こうした攻撃に使われるマルウェアの多くは、実は旧来の脆弱性を狙ったものだという。Verizonの報告では、エクスプロイトの成功例の85%は著名なトップテンの脆弱性を狙っていた。こうしたメジャーな脆弱性に対しては修正プログラムが提供されていることが多く、「適切に修正プログラムを適用して更新を実行していれば、多くの問題は回避できたはず」とブログは指摘する。
こうした情報を踏まえ「悪事を食い止めるために家庭でできる基本的な対策がいくつもある。ほんの少しの手間をかけるだけで、次に自分がその統計数字の一部にならずに済む」として、次のような対策を紹介した。
パスワードに関する習慣を強化する
オンラインで使用するアカウントには、それぞれ複雑で唯一のパスワードを使用すること。その上でパスワード管理ツールの利用、それもパスワード生成機能やパスワードを所有している全ての機器で簡単に同期できる機能を備えたツールを推奨している。
疑い深くなる
フィッシング攻撃の成功率の高さを受けて、リンクや添付ファイルを含む疑わしい電子メールに警戒する必要があるとした。家族の誰かから、新しいアプリのダウンロードリンクを含む電子メールが送られてきたら、ちょっと時間を取って、それが本人からのメールか、本人のふりをしている誰か別の人なのかを確かめることを勧めている。
更新と保護
既存の脆弱性を狙った攻撃から身を守るため、システムを常に最新の状態に維持することに加え、ウイルス対策ソフトをインストールして、新しい脅威や、OSやアプリケーションによって修正されていない旧来の脅威から身を守ることも必要だとした。