ベライゾンジャパンは7月12日、データの漏えいや侵害について調査した年次報告書「Data Breach Investigations Report」(DBIR)の説明会を開催した。それによれば、データの漏えいや侵害の74%が人に起因するものだとし、人へのセキュリティ対策が重要になると指摘している。
DBIRは、同社が対応を支援した実際のセキュリティインシデント事案や、連携機関から提供されたデータを基に、データの漏えいおよび侵害の傾向や特徴などを調査、分析した結果を取りまとめている。2023年版報告書は16回目となり、2022年に発生した1万6312件のセキュリティインシデントと5199件のデータ漏えい/侵害事件を分析している。
米Verizon サイバーセキュリティ・コンサルティング マネージング・ディレクターのChris Novak氏
米Verizon サイバーセキュリティ・コンサルティング マネージング・ディレクターのChris Novak氏によると、全体の状況では、ランサムウェアがサイバー攻撃全体の24%を占め、発生規模は2021年から高止まりしている。また、データ漏えい/侵害の83%が外部脅威によるもので、74%は人的ミスや特権の悪用、認証情報の窃取、人をだますソーシャルエンジニアリングといった人的要素が関係するものだった。ビジネスメール詐欺(BEC)は、分析対象事案全体の4%程度だが、前年から倍増し、ソーシャルエンジニアリング攻撃で発生したインシデントの50%以上を占めた。
Novak氏は、人的要素が関係するデータ漏えい/侵害の割合が前年の82%から74%に減少して改善傾向にあると述べつつも、「引き続き厳しい状況にある」と指摘した。また、ランサムウェア攻撃が高止まりしていることについては、「攻撃者人材の不足や効果的な攻撃技術の開発の停滞、防御技術の高度化など幾つかの理由が考えられるものの、一時的な兆候かもしれず、引き続き警戒しなけれならない」などと総括した。
ビジネスメール詐欺の状況
2022年に急増したBECの事案では、米連邦捜査局(FBI)が提供した情報によると、平均被害額が約5万ドル(約700万円)に達し、3年連続で増加している。BECは、攻撃者が企業の経営者や幹部などになりすまして、財務や経理の担当者らを標的に詐欺メールを送りつける。詐欺メールでは、「急に金が必要になった。指定先の口座に入金してほしい」などの文面を使う。標的になった財務や経理の担当者らがこの内容にだまされ指定先に振り込んでしまい、後で確認してようやく詐欺被害に気づくケースが多いという。
同社の分析では、ソーシャルエンジニアリングで使われる手口の半分以上がなりすましだった。フィッシングは約40%、盗まれた認証情報の悪用が約30%といった状況だ。Novak氏は、「ビジネスにはさまざまな人間が関与し、(一人一人が)攻撃者につけ込まれてしまうポイントになる。技術的なセキュリティ対策のみならず人間へのセキュリティ対策が極めて重要」と指摘する。
ソーシャルエンジニアリングの動向
昨今では生成AI技術が世界的に流行している。BECでの生成AIの悪用についてNovak氏は、「既に存在を確認しているが、まだまだ少ない。攻撃者は、生成AIをどのように使えるのか試行を重ねている段階にある。ただし、攻撃ツールの改良などにおいて生成AIが攻撃者の助けになり、人をだます上でも生成AIにより流ちょうな翻訳や文言が可能になる」と警鐘を鳴らす。
また、メールの送信ミスやアプリケーションなどの設定ミス、入力の間違いといった人的エラーに関するデータ漏えい/侵害は、前年の13%から9%に減少した。「人は間違いを犯すものだが、こうした要因によるインシデントが引き続き多い」(Novak氏)
業界別の動向は、金融・保険では「Fintech」の進展などを背景にウェブアプリケーションへの攻撃で多くのデータ漏えい/侵害が発生し、製造ではランサムウェアを使った攻撃によるサプライチェーンへの影響が目立つ。小売については、実店舗のシステムや業務システムの侵害がウェブアプリケーションに対する攻撃よりも多かった。Novak氏は、「コロナ禍でECに移行しウェブシステム環境のセキュリティが強化されたものの、逆にリアル店舗のシステムなどではパッチ適用といったメンテナンスが十分に行われず、相対的に危険性が増している」と解説している。
日本の状況については、ベライゾンジャパン ソリューションズ・エグゼクティブ・セキュリティの森マーク氏が解説した。ランサムウェア攻撃による被害が国内本社や海外拠点などで頻発し、マルウェア「Emotet」に関する調査対応も今なお実施しているとのこと。日本企業は、海外拠点などのセキュリティ対策を現地の担当者あるいはベンダーに任せており、現地の担当者やベンダーのセキュリティのスキルが十分ではなく、適切なガバナンスが確保されていないケースが少なくないという。
ベライゾンジャパン ソリューションズ・エグゼクティブ・セキュリティの森マーク氏
セキュリティ対策自体も技術重視かつ導入したセキュリティ製品の運用がおなざりになり、脆弱な状態に置かれてしまっているとする。森氏は、「本来のセキュリティ対策とはは人・プロセス・テクノロジーの順番で講じるものだが、海外拠点の対策では逆になっている」と指摘した。
中小企業(同社の定義では従業員1000人以下の組織)については、データ漏えい/侵害の92%をシステムへの不正侵入やソーシャルエンジニアリング、ウェブアプリケーションへの攻撃が占めた。漏えいしたデータの内訳は、認証情報が54%、内部情報が37%、その他が22%、システム関連が11%といった状況にあり、外部からのサイバー攻撃だけでなく、組織に恨みを持った内部関係者による犯行も少なくないという。
森氏は、中小企業では、従業員に対するセキュリティ教育や、事業継続のためのデータ復旧体制の整備、厳格なアクセス制御の実施、セキュリティインシデント対応体制の整備など多面的なセキュリティ対策を講じる必要があると解説した。
中小企業で推奨されるセキュリティ対策の指針として、森氏は米国の政府機関や企業、学術機関などが定める「CIS Controls」を挙げた
