2016年6月29日10:29
攻撃者の多くが既知の脆弱性を悪用
ベライゾンジャパン合同会社は、2016年4月27日に「2016年度データ漏洩/侵害調査報告書(略称:DBIR)」の英語版を公表したが、6月28日に同調査報告書の「日本語版エグゼクティブサマリー(要約版)」を公開した。同日には、記者説明会が行われ、米・ベライゾン グローバルセキュリティサービス RISK チーム マネージングディレクターのブライアン・サーティン(Bryan Sartin)氏が同報告書の内容について解説した。
データ漏洩の89%が金銭やスパイ目的
データ漏洩/侵害調査報告書は2016年度版で9回目の公開となる。今回は、10万件以上のインシデント、2,260件のデータ漏洩を基にした報告書となっている。ベライゾンでは、43カ国526の調査を実施。その内容に加え、日本のJPCERT など、70の機関から提供された内容をまとめている。
これまでの報告書では、金融や流通の被害が1位、2位を占めていたが、「今年は公共セクターが水をあけて侵害が多く、製造、公共事業、交通・運輸の被害が見受けられました」とサーティン氏は話す。
また、外部からの攻撃が圧倒的に多いが、内部の不正については、未知の部分もあるという。企業や組織にとって、インシデントの検知能力が弱いと、実際に被害が起こっているのにもかかわらず、検知されない期間が長く続く状況を危惧している。
攻撃者の動機として、大半は金銭目的の無差別な攻撃となっている。実にデータ漏洩の89%が金銭もしくはスパイ目的だ。
サイバー攻撃の85%は、最も良く知られた脆弱性の上位10件を悪用
サイバー攻撃は、脆弱性が発見されたのち数秒単位で行われると思われがちだが、実際は週、月、年単位が多いという。ベライゾンの過去10年間のリサーチでは、企業や組織が最初にシステムに侵入されてから大きな問題が起こっていることを発見するまでにかかる時間は約7カ月。仮にシステムに侵入されたとしても、基本的な対策を行っていれば多くの攻撃をストップできるとベライゾンでは考えている。報告書によると、被害の発見のうち、内部調査で見つかったデータ漏洩はわずか6%となった。
また、成功したサイバー攻撃の85%は、最も良く知られた脆弱性の上位10件を悪用したものであった。2015年の侵害のうち、2007年に発見された脆弱性が最も多かった。
さらに、900件以上のデータ漏洩にフィッシングが関与。30%の受信者がフィッシングメールを開封し、さらに13%の人が添付ファイルをクリックして個人情報などを入力してしまっているそうだ。その際の、最初のクリックまでの中央値は3分45秒となっている。
認証情報に関しては、全体の3分の2において、簡単に推測可能なパスワード、デフォルトのパスワード、盗まれたパスワードが悪用されていた。「例えば、認証に二要素認証などを用いていれば、こういったリスクは回避できます」とサーティン氏。
「VERIS」という分類方法でインシデントをパターン化
ペイメントカードのスキミングによるデータ漏洩の94%はATMが標的に
ベライゾンでは、「VERIS (Vocabulary for Event Recording and Incident Sharing)」という分類方法でインシデントをパターン化。それによると、ベライゾンが過去11年に分析した10万件以上のインシデントデータのうち95%は、「クライムウェア」「サイバースパイ活動」「DOS攻撃」「内部者および特権保持者による不正使用」「人的ミス」「ペイメントカードスキミング」「物理的搾取および紛失」「POSへの侵入」「Webアプリケーション攻撃」の9種類の基本パターンに当てはまるという。
過去2年のインシデント件数の傾向をみると、POSへの侵入は減少。一方で人的ミスが想定したよりも内訳としては多くなっている。侵害や情報漏洩につながった比率をみると、POSへの侵入やWebアプリケーション攻撃が多い。なお、日本は他国と比べて、決済データの盗難の比率は低いそうだ。
なお、同報告書によると、グローバルのペイメントカードのスキミングによるデータ漏洩の94%はATMが標的となった。
セキュリティ担当者が実施すべき7つの対策は?
ベライゾンでは、まとめとして、セキュリティ担当者が実施すべき対策として以下の7つを挙げた。
①警戒を怠らない
②従業員のセキュリティ教育を徹底する
③本当に必要な人だけにデータのアクセスを許可する
④セキュリティパッチを早期に適用する
⑤機密データを暗号化する
⑥二要素認証を使用する
⑦物理セキュリティを怠らない
