2016年度データ漏洩/侵害調査報告書を公開、被害の85%は9つのパターンに該当(ベライゾン)

2016年6月29日10:29

攻撃者の多くが既知の脆弱性を悪用

ベライゾンジャパン合同会社は、2016年4月27日に「2016年度データ漏洩/侵害調査報告書(略称:DBIR)」の英語版を公表したが、6月28日に同調査報告書の「日本語版エグゼクティブサマリー(要約版)」を公開した。同日には、記者説明会が行われ、米・ベライゾン グローバルセキュリティサービス RISK チーム マネージングディレクターのブライアン・サーティン(Bryan Sartin)氏が同報告書の内容について解説した。

データ漏洩の89%が金銭やスパイ目的

データ漏洩/侵害調査報告書は2016年度版で9回目の公開となる。今回は、10万件以上のインシデント、2,260件のデータ漏洩を基にした報告書となっている。ベライゾンでは、43カ国526の調査を実施。その内容に加え、日本のJPCERT など、70の機関から提供された内容をまとめている。

米・ベライゾン グローバルセキュリティサービス RISK チーム マネージングディレクターのブライアン・サーティン(Bryan Sartin)氏
米・ベライゾン グローバルセキュリティサービス RISK チーム マネージングディレクターのブライアン・サーティン(Bryan Sartin)氏

これまでの報告書では、金融や流通の被害が1位、2位を占めていたが、「今年は公共セクターが水をあけて侵害が多く、製造、公共事業、交通・運輸の被害が見受けられました」とサーティン氏は話す。

また、外部からの攻撃が圧倒的に多いが、内部の不正については、未知の部分もあるという。企業や組織にとって、インシデントの検知能力が弱いと、実際に被害が起こっているのにもかかわらず、検知されない期間が長く続く状況を危惧している。

攻撃者の動機として、大半は金銭目的の無差別な攻撃となっている。実にデータ漏洩の89%が金銭もしくはスパイ目的だ。

サイバー攻撃の85%は、最も良く知られた脆弱性の上位10件を悪用

サイバー攻撃は、脆弱性が発見されたのち数秒単位で行われると思われがちだが、実際は週、月、年単位が多いという。ベライゾンの過去10年間のリサーチでは、企業や組織が最初にシステムに侵入されてから大きな問題が起こっていることを発見するまでにかかる時間は約7カ月。仮にシステムに侵入されたとしても、基本的な対策を行っていれば多くの攻撃をストップできるとベライゾンでは考えている。報告書によると、被害の発見のうち、内部調査で見つかったデータ漏洩はわずか6%となった。

また、成功したサイバー攻撃の85%は、最も良く知られた脆弱性の上位10件を悪用したものであった。2015年の侵害のうち、2007年に発見された脆弱性が最も多かった。

さらに、900件以上のデータ漏洩にフィッシングが関与。30%の受信者がフィッシングメールを開封し、さらに13%の人が添付ファイルをクリックして個人情報などを入力してしまっているそうだ。その際の、最初のクリックまでの中央値は3分45秒となっている。

verizon2

認証情報に関しては、全体の3分の2において、簡単に推測可能なパスワード、デフォルトのパスワード、盗まれたパスワードが悪用されていた。「例えば、認証に二要素認証などを用いていれば、こういったリスクは回避できます」とサーティン氏。

 

「VERIS」という分類方法でインシデントをパターン化
ペイメントカードのスキミングによるデータ漏洩の94%はATMが標的に

verizon3

ベライゾンでは、「VERIS (Vocabulary for Event Recording and Incident Sharing)」という分類方法でインシデントをパターン化。それによると、ベライゾンが過去11年に分析した10万件以上のインシデントデータのうち95%は、「クライムウェア」「サイバースパイ活動」「DOS攻撃」「内部者および特権保持者による不正使用」「人的ミス」「ペイメントカードスキミング」「物理的搾取および紛失」「POSへの侵入」「Webアプリケーション攻撃」の9種類の基本パターンに当てはまるという。

 

過去2年のインシデント件数の傾向をみると、POSへの侵入は減少。一方で人的ミスが想定したよりも内訳としては多くなっている。侵害や情報漏洩につながった比率をみると、POSへの侵入やWebアプリケーション攻撃が多い。なお、日本は他国と比べて、決済データの盗難の比率は低いそうだ。

 

なお、同報告書によると、グローバルのペイメントカードのスキミングによるデータ漏洩の94%はATMが標的となった。

verizon4

セキュリティ担当者が実施すべき7つの対策は?

ベライゾンでは、まとめとして、セキュリティ担当者が実施すべき対策として以下の7つを挙げた。

①警戒を怠らない
②従業員のセキュリティ教育を徹底する
③本当に必要な人だけにデータのアクセスを許可する
④セキュリティパッチを早期に適用する
⑤機密データを暗号化する
⑥二要素認証を使用する
⑦物理セキュリティを怠らない

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

最強レベルのホワイトハッカーによるペネトレーション試験をお引き受けします。(決済ネットワーク、Webアプリ、決済ターミナル向け)(FIME JAPAN)
【8/26(水)開催】CREPiCO「ペイジー口座振替受付サービス」フィットネス・スポーツ業界向けWebセミナー(セイコーソリューションズ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

設立25年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

オリジナルデザインで作れる、Amazonギフト券(トリニティ)

モバイル決済端末 (mPOS/SmartPOS) やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
PayBやWeChatPay/Alipay等のスマートフォン決済、 リアルタイム口座振替、信頼性の高い収納代行、送金など、 様々な決済ソリューションを提供(ビリングシステム)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

国内ICカードシェアNo.1(大日本印刷)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通FIP)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP