調査

サイバー攻撃の85%は良く知られた脆弱性を悪用したもの--ベライゾン調査

NO BUDGET 2016年07月09日 08時00分

  • このエントリーをはてなブックマークに追加

 ベライゾンジャパンは6月28日、「2016年度データ漏洩/侵害調査報告書(DBIR)」の日本語版エグゼクティブサマリ(要約版)を公開した。今年で9回目の発行で、英語版は4月27日に発表されており、完全版の日本語版は7月の公開を予定している。サイバー犯罪者は依然として人間性を悪用したフィッシングなどの旧来の攻撃パターンを続けており、さらに、ランサムウェアの悪用も増加していることが分かった。

 今回の主な調査結果は以下の通り。

  • サイバー攻撃の89%で金銭的な利益、もしくはスパイ活動に関連する動機が含まれている
  • 攻撃の大半は、数カ月もしくは数年にわたって利用可能なセキュリティパッチが一度も適用されていない既知の脆弱性を悪用している。実際に、成功したサイバー攻撃の85%は、最も良く知られた脆弱性の上位10件を悪用したものである
  • 確認されたデータ侵害の63%で、デフォルトのパスワード、不正に取得されたパスワード、もしくは安全性の低いものが使用されていた。
  • データ侵害の95%、セキュリティインシデントの86%が9種類の攻撃パターンに分類できる
  • ランサムウェアを利用した攻撃が2015年からの1年間で16%増加している
  • 多くの組織では依然として、基本的な防御対策が著しく不足している状況が続いている

フィッシングが最大の懸念事項に

 前年度から著しい増加が見られた分野の1つがフィッシングで、受信者がフィッシングメッセージを開く割合が2015年の23%から30%にまで高まり、そのうち13%が悪質な添付ファイルを開いたり、不正なリンクをクリックして、マルウェアがインストールされたり、サイバー犯罪の足掛かりにされたりする結果を招いていた。

 このフィッシングは、2015年まではサイバースパイ活動を目的とした攻撃においてのみ最大の攻撃パターンとなっていたのに対し、今年度では9つのインシデントパターンのうち、7つでフィッシングが最大の攻撃パターンとして用いられるようになっている。この手口は驚くほど効果的で、非常に短時間で端末を制御下に置き、特定の個人や組織を対象とした標的型の攻撃が行えるなど、攻撃者にとってさまざまなメリットがあるという。

「三方面攻撃」の台頭

 今年度の報告書では、2015年の1年間で極めて頻繁に繰り返された新たな三方面攻撃の台頭に注目している。その手口は以下の通り。

  • 悪質なウェブサイトのリンクや悪質なファイルを添付したフィッシングメールを送信
  • マルウェアを被害者個人のパソコンにダウンロードして攻撃の糸口とする。これを足掛かりにしてマルウェアを稼働できるようにし、個人情報にアクセスしたり、内部情報を盗み出す(サイバースパイ活動)、あるいはファイルを暗号化して身代金を要求したりする
  • 認証情報を使って、銀行やショッピングサイトなど、外部(第三者)のウェブサイトにログインする

人的ミスによるインシデントも多発

 一方、今年度の報告書では、組織そのものが犯してしまった過誤として、「さまざまなエラー」と分けられたセキュリティインシデントの最大の要因に、「人的ミス」として分類されるインシデントパターンを挙げている。これらの人的ミスの26%では、機密情報を誤った人物に送信してしまうケースが含まれている。他にも、会社情報の不適切な処分方法、ITシステムの設定ミス、ノートパソコンやスマートフォンなどの紛失や盗難などがある。

 ベライゾンのグローバルセキュリティサービス担当、エグゼクティブディレクターのBryan Sartin氏は、次のようにコメントしている。

 「今回の調査結果を一言で表現するなら“人的要素”という共通項でまとめられるかもしれません。情報セキュリティにおける研究やサイバー検出ソリューションやツールが進化したにも関わらず、過去10年以上よく知られた同じ過ちが何度も繰り返されていることが分かります。これをどう解決していくかが課題です」

 報告書では、複雑なシステムの導入より、まずは基本的な防御をしっかり実行することが重要だとしている。その基本的な防御とは、以下のような内容だ。

  • 自分の業界で最も一般的な攻撃パターンを知ること。システムやアプリケーションに二要素認証を用いること。
  • セキュリティパッチを速やかに適用すること。
  • すべての入力情報を監視し、全ての履歴を精査して悪意のある行動の特定に役立てること
  • データを暗号化すること。盗まれたデバイスが暗号化されていれば、攻撃者がデータにアクセスすることは大幅に困難となる
  • 組織内でスタッフのトレーニングを行うこと。フィッシング攻撃が増加している状況では、セキュリティに対する意識を高めることが特に重要になる
  • 自社のデータを知った上で防御すること。また、データにアクセスする人を制限すること

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]