2016年度データ漏洩/侵害調査報告書を公開、被害の85%は9つのパターンに該当(ベライゾン)

2016年6月29日10:29

攻撃者の多くが既知の脆弱性を悪用

ベライゾンジャパン合同会社は、2016年4月27日に「2016年度データ漏洩/侵害調査報告書(略称:DBIR)」の英語版を公表したが、6月28日に同調査報告書の「日本語版エグゼクティブサマリー(要約版)」を公開した。同日には、記者説明会が行われ、米・ベライゾン グローバルセキュリティサービス RISK チーム マネージングディレクターのブライアン・サーティン(Bryan Sartin)氏が同報告書の内容について解説した。

データ漏洩の89%が金銭やスパイ目的

データ漏洩/侵害調査報告書は2016年度版で9回目の公開となる。今回は、10万件以上のインシデント、2,260件のデータ漏洩を基にした報告書となっている。ベライゾンでは、43カ国526の調査を実施。その内容に加え、日本のJPCERT など、70の機関から提供された内容をまとめている。

米・ベライゾン グローバルセキュリティサービス RISK チーム マネージングディレクターのブライアン・サーティン(Bryan Sartin)氏
米・ベライゾン グローバルセキュリティサービス RISK チーム マネージングディレクターのブライアン・サーティン(Bryan Sartin)氏

これまでの報告書では、金融や流通の被害が1位、2位を占めていたが、「今年は公共セクターが水をあけて侵害が多く、製造、公共事業、交通・運輸の被害が見受けられました」とサーティン氏は話す。

また、外部からの攻撃が圧倒的に多いが、内部の不正については、未知の部分もあるという。企業や組織にとって、インシデントの検知能力が弱いと、実際に被害が起こっているのにもかかわらず、検知されない期間が長く続く状況を危惧している。

攻撃者の動機として、大半は金銭目的の無差別な攻撃となっている。実にデータ漏洩の89%が金銭もしくはスパイ目的だ。

サイバー攻撃の85%は、最も良く知られた脆弱性の上位10件を悪用

サイバー攻撃は、脆弱性が発見されたのち数秒単位で行われると思われがちだが、実際は週、月、年単位が多いという。ベライゾンの過去10年間のリサーチでは、企業や組織が最初にシステムに侵入されてから大きな問題が起こっていることを発見するまでにかかる時間は約7カ月。仮にシステムに侵入されたとしても、基本的な対策を行っていれば多くの攻撃をストップできるとベライゾンでは考えている。報告書によると、被害の発見のうち、内部調査で見つかったデータ漏洩はわずか6%となった。

また、成功したサイバー攻撃の85%は、最も良く知られた脆弱性の上位10件を悪用したものであった。2015年の侵害のうち、2007年に発見された脆弱性が最も多かった。

さらに、900件以上のデータ漏洩にフィッシングが関与。30%の受信者がフィッシングメールを開封し、さらに13%の人が添付ファイルをクリックして個人情報などを入力してしまっているそうだ。その際の、最初のクリックまでの中央値は3分45秒となっている。

verizon2

認証情報に関しては、全体の3分の2において、簡単に推測可能なパスワード、デフォルトのパスワード、盗まれたパスワードが悪用されていた。「例えば、認証に二要素認証などを用いていれば、こういったリスクは回避できます」とサーティン氏。

 

「VERIS」という分類方法でインシデントをパターン化
ペイメントカードのスキミングによるデータ漏洩の94%はATMが標的に

verizon3

ベライゾンでは、「VERIS (Vocabulary for Event Recording and Incident Sharing)」という分類方法でインシデントをパターン化。それによると、ベライゾンが過去11年に分析した10万件以上のインシデントデータのうち95%は、「クライムウェア」「サイバースパイ活動」「DOS攻撃」「内部者および特権保持者による不正使用」「人的ミス」「ペイメントカードスキミング」「物理的搾取および紛失」「POSへの侵入」「Webアプリケーション攻撃」の9種類の基本パターンに当てはまるという。

 

過去2年のインシデント件数の傾向をみると、POSへの侵入は減少。一方で人的ミスが想定したよりも内訳としては多くなっている。侵害や情報漏洩につながった比率をみると、POSへの侵入やWebアプリケーション攻撃が多い。なお、日本は他国と比べて、決済データの盗難の比率は低いそうだ。

 

なお、同報告書によると、グローバルのペイメントカードのスキミングによるデータ漏洩の94%はATMが標的となった。

verizon4

セキュリティ担当者が実施すべき7つの対策は?

ベライゾンでは、まとめとして、セキュリティ担当者が実施すべき対策として以下の7つを挙げた。

①警戒を怠らない
②従業員のセキュリティ教育を徹底する
③本当に必要な人だけにデータのアクセスを許可する
④セキュリティパッチを早期に適用する
⑤機密データを暗号化する
⑥二要素認証を使用する
⑦物理セキュリティを怠らない

関連記事

ペイメントニュース最新情報

ポータブル決済端末、オールインワン決済端末、スマート決済端末、新しい決済端末3製品をリリースしました(飛天ジャパン)

国内最大級のクレジットカード情報データベース(アイティーナビ)

「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP