ベライゾンジャパンは6月28日、「2016年度データ漏洩/侵害調査報告書(DBIR)」の日本語版エグゼクティブサマリ(要約版)を公開した。今年で9回目の発行で、英語版は4月27日に発表されており、完全版の日本語版は7月の公開を予定している。サイバー犯罪者は依然として人間性を悪用したフィッシングなどの旧来の攻撃パターンを続けており、さらに、ランサムウェアの悪用も増加していることが分かった。
今回の主な調査結果は以下の通り。
- サイバー攻撃の89%で金銭的な利益、もしくはスパイ活動に関連する動機が含まれている
- 攻撃の大半は、数カ月もしくは数年にわたって利用可能なセキュリティパッチが一度も適用されていない既知の脆弱性を悪用している。実際に、成功したサイバー攻撃の85%は、最も良く知られた脆弱性の上位10件を悪用したものである
- 確認されたデータ侵害の63%で、デフォルトのパスワード、不正に取得されたパスワード、もしくは安全性の低いものが使用されていた。
- データ侵害の95%、セキュリティインシデントの86%が9種類の攻撃パターンに分類できる
- ランサムウェアを利用した攻撃が2015年からの1年間で16%増加している
- 多くの組織では依然として、基本的な防御対策が著しく不足している状況が続いている
フィッシングが最大の懸念事項に
前年度から著しい増加が見られた分野の1つがフィッシングで、受信者がフィッシングメッセージを開く割合が2015年の23%から30%にまで高まり、そのうち13%が悪質な添付ファイルを開いたり、不正なリンクをクリックして、マルウェアがインストールされたり、サイバー犯罪の足掛かりにされたりする結果を招いていた。
このフィッシングは、2015年まではサイバースパイ活動を目的とした攻撃においてのみ最大の攻撃パターンとなっていたのに対し、今年度では9つのインシデントパターンのうち、7つでフィッシングが最大の攻撃パターンとして用いられるようになっている。この手口は驚くほど効果的で、非常に短時間で端末を制御下に置き、特定の個人や組織を対象とした標的型の攻撃が行えるなど、攻撃者にとってさまざまなメリットがあるという。
「三方面攻撃」の台頭
今年度の報告書では、2015年の1年間で極めて頻繁に繰り返された新たな三方面攻撃の台頭に注目している。その手口は以下の通り。
- 悪質なウェブサイトのリンクや悪質なファイルを添付したフィッシングメールを送信
- マルウェアを被害者個人のパソコンにダウンロードして攻撃の糸口とする。これを足掛かりにしてマルウェアを稼働できるようにし、個人情報にアクセスしたり、内部情報を盗み出す(サイバースパイ活動)、あるいはファイルを暗号化して身代金を要求したりする
- 認証情報を使って、銀行やショッピングサイトなど、外部(第三者)のウェブサイトにログインする
人的ミスによるインシデントも多発
一方、今年度の報告書では、組織そのものが犯してしまった過誤として、「さまざまなエラー」と分けられたセキュリティインシデントの最大の要因に、「人的ミス」として分類されるインシデントパターンを挙げている。これらの人的ミスの26%では、機密情報を誤った人物に送信してしまうケースが含まれている。他にも、会社情報の不適切な処分方法、ITシステムの設定ミス、ノートパソコンやスマートフォンなどの紛失や盗難などがある。
ベライゾンのグローバルセキュリティサービス担当、エグゼクティブディレクターのBryan Sartin氏は、次のようにコメントしている。
「今回の調査結果を一言で表現するなら“人的要素”という共通項でまとめられるかもしれません。情報セキュリティにおける研究やサイバー検出ソリューションやツールが進化したにも関わらず、過去10年以上よく知られた同じ過ちが何度も繰り返されていることが分かります。これをどう解決していくかが課題です」
報告書では、複雑なシステムの導入より、まずは基本的な防御をしっかり実行することが重要だとしている。その基本的な防御とは、以下のような内容だ。
- 自分の業界で最も一般的な攻撃パターンを知ること。システムやアプリケーションに二要素認証を用いること。
- セキュリティパッチを速やかに適用すること。
- すべての入力情報を監視し、全ての履歴を精査して悪意のある行動の特定に役立てること
- データを暗号化すること。盗まれたデバイスが暗号化されていれば、攻撃者がデータにアクセスすることは大幅に困難となる
- 組織内でスタッフのトレーニングを行うこと。フィッシング攻撃が増加している状況では、セキュリティに対する意識を高めることが特に重要になる
- 自社のデータを知った上で防御すること。また、データにアクセスする人を制限すること
