調査

クラウドベースのデータ／ウェブアプリの攻撃が2倍に増加--ベライゾン調査

渡邉利和

2020-08-31 10:00

　ベライゾンジャパンは8月28日、「2020年度ベライゾンデータ漏洩侵害調査報告書」（略称DBIR：Data Breach Investigations Report）の日本語版を発表した。

2020年度版DBIRの概要。13年にわたって発行が継続されている報告書で、2020年度は81カ国、81の協力者を得て、15万7525件のインシデント、3950件のデータ漏えいについて調査した。なお、Novak氏は「インシデントは『何らかの調査が必要な事件／状況が発生すること』、情報漏洩（Data Breaches）は『実際に情報が漏えいしたことをわれわれもしくは調査協力者が確認したもの』」だと説明している
※クリックすると拡大画像が見られます

Verizon Threat Research Advisory CenterのGlobal DirectorであるChris Novak氏

　調査では、「86％のデータ侵害が金銭的利益目的（2019年の71％から増加）」「データ侵害の大多数は外部の行為者（70％）によるものであり、組織犯罪がこれらの55％を占める」「認証情報を盗難やフィッシング、ビジネスメールのデータ侵害などのソーシャル攻撃がデータ侵害の67％以上」「ウェブアプリケーションのデータ侵害が前年比で2倍（43％）に増加、盗取された認証情報がこれらのケースの80％以上で使用されたことが示された」などが報告されている。

　2020年度版DBIRについて説明したVerizon Threat Research Advisory CenterのGlobal DirectorであるChris Novak氏は、報告書の意義について「過去の案件から学んだことを共有し、将来の予防に役立てること」だと指摘した。

　また同氏は、データ漏えいの原因として「人的ミス」の比重が高まっていることも明かした。同氏は「クラウドやSaaSだからリスクが高いということではない」と前置きしつつ、企業や組織のクラウド移行／クラウド活用が本格化する中で、「新しい環境」に不慣れなどの理由で設定が適切に行われなかったり操作ミスがあったりすると分析し、「新しいテクノロジーに移行した場合、そこでの適切なセキュリティ設定のやり方が分からないことがある」と指摘した。

“エラー”に起因する情報漏洩について、エラーの内容に着目して時系列で傾向を見たもの。ここ数年で「設定ミス（Misconfiguration）」が急増していることがわかる。また、「Misdelivery」は情報の送信先を間違ってしまった結果、情報漏えいにつながるというもので、近年になってMisconfigurationに抜かれたものの、以前として多数発生している
※クリックすると拡大画像が見られます

　これと、ウェブアプリケーションなどのクラウドやSaaSを対象とした攻撃の増加傾向を重ね合わせて考えれば、攻撃者は防御が手薄だったり攻撃が容易だったりするポイントを的確に狙ってくるとも言えそうだ。

　また、もう1点同氏が紹介した興味深いデータとして、情報漏えいを成功させるまでに攻撃者が実行した「ステップ数」（手順の複雑さと理解してよいだろう）がある。これによると、圧倒的多数は1ステップ、つまり、ごくシンプルに脆弱性を突くだけといった形で成功しているということが分かる。標的形攻撃等でイメージされるような、周到に情報を収集して準備を行い、巧妙な手口で攻撃を成功させるという攻撃ばかりではなく、むしろ「お手軽に成果を得られる」防御の甘い対象が選ばれる傾向があるということだ。

攻撃者が攻撃成功までに実施する“ステップ数”。左が情報漏洩、右はインシデントについてだが、いずれも傾向は同一で、極端な“ロングテール型”のグラフになっており、大抵は1ステップもしくは数ステップで目的を達成していることが分かる
※クリックすると拡大画像が見られます

　この点に関して同氏は「本当に価値の高い情報があると分かっていてそれを何としてでも手に入れたいという場合もあるが、通常はあまり手間暇を掛けていては割に合わない」という理由だと指摘している。逆に言えば、セキュリティパッチを確実に当てるなどの対応を行うだけでも被害に遭う可能性を大幅に下げられるということでもある。

　また同氏はアジア太平洋地域（APAC）の特徴についても紹介した。グローバルのデータと比較した場合のAPACの特徴としては「ウェブアプリケーションに対する攻撃やさまざまなミスに起因するデータ漏えいが多い」といい、「金銭的利益目的の攻撃の比率がやや低く（63％）、スパイ行為（Espionage）が比較的多い（39％）」という。