ベライゾン、「2016年データ漏洩／侵害調査報告書」日本語要約版を公開

ベライゾンジャパン合同会社は、4月27日に発表した英語版「2015年度データ漏洩／侵害調査報告書（略称：DBIR）」に続き、同調査報告書の日本語版エグゼクティブサマリー（要約版）の公開を本日開始いたしました。完全版の日本語版は7月の公開を予定しております。

「2016年データ漏洩/侵害調査報告書」では、サイバー犯罪者は依然として人間性を悪用したフィッシングなどの旧来の攻撃パターンを続けており、さらに、ランサムウェアの悪用も増加していることが明らかになりました。

今年の報告書においても、前年度と同様の調査結果および人的な脆弱性を突いた攻撃が続けられていることが明らかになっています。主な調査結果は下記の通りです。

・サイバー攻撃の89%で金銭的な利益、もしくはスパイ活動に関連する動機が含まれている。
・攻撃の大半は、数カ月もしくは数年にわたって利用可能なセキュリティパッチが一度も適用されていない既知の脆弱性を悪用している。実際に、成功したサイバー攻撃の85%は、最も良く知られた脆弱性の上位10件を悪用したものである。
・確認されたデータ侵害の63%で、デフォルトのパスワード、不正に取得されたパスワード、もしくは安全性の低いものが使用されていた。
・データ侵害の95%、セキュリティインシデントの86%が9種類の攻撃パターンに分類できる。
・ランサムウェアを利用した攻撃が2015年からの1年間で16%増加している。
・多くの組織では依然として、基本的な防御対策が著しく不足している状況が続いている。

Verizon Enterprise Solutionsのプレジデント、クリス・フォーマント（Chris Formant）は次のように述べています。

「企業や法的機関、行政機関において、ベライゾンの『データ漏洩/侵害調査報告書』の重要性が増していることは、サイバー犯罪に対して先手を打ちたいという強い願望があることを示しています。脅威の全体像を完全に把握するためには、DBIRで証明されたように、世界中の組織からの協力や貢献がこれまで以上に求められるようになっています。そして、実態を理解することがサイバー脅威対策への最初のステップとなるのです。」

フィッシングが最大の懸念事項に

前年度から著しい増加が見られた分野の1つが、エンドユーザーが不正なソースからメールを受信するフィッシングです。驚いたことに、受信者がフィッシングメッセージを開く割合が2015年の23%から30%にまで高まり、そのうち13%が悪質な添付ファイルを開いたり、不正なリンクをクリックして、マルウェアがインストールされたり、サイバー犯罪の足掛かりにされたりする結果を招いていました。

昨年までのフィッシングは、サイバースパイ活動を目的とした攻撃においてのみ最大の攻撃パターンとなっていたのに対し、今年度の報告書では9つのインシデントパターンのうち、7つでフィッシングが最大の攻撃パターンとして用いられるようになっています。この手口は驚くほど効果的で、非常に短時間で端末を制御下に置き、特定の個人や組織を対象とした標的型の攻撃が行えるなど、攻撃者にとってさまざまなメリットがあります。

また、人的ミスの要因として、組織そのものが犯してしまった過誤も付け加えられています。今年度の報告書では、「様々なエラー」と分けられたセキュリティインシデントの最大の要因に、「人的ミス」として分類されるインシデントパターンが挙げられています。事実、これらの人的ミスの26%では、機密情報を誤った人物に送信してしまうケースが含まれています。このカテゴリーに含まれるミスには他に、会社情報の不適切な処分方法、ITシステムの設定ミス、ノートパソコンやスマートフォンなどの紛失や盗難などがあります。

ベライゾンのグローバルセキュリティサービス担当、エグゼクティブディレクターのブライアン・サーティン（Bryan Sartin）は次のように述べています。

「今回の調査結果を一言で言うなら、『人的要素』という共通項でまとめられるかもしれません。情報セキュリティにおける研究やサイバー検出ソリューションやツールが進化したにも関わらず、過去10年以上よく知られた同じ過ちが何度も繰り返されていることが分かります。これをどのように解決していくのかは大きな課題です。」

ベライゾンのセキュリティ研究者が一層懸念を強めていることの1つに、サイバー犯罪の実行スピードの速さがあります。93%のケースで、攻撃者は数分以内にシステムを制御下に置き、さらにその内28%で数分以内にデータ流出が発生しています。

2015年の報告書と同様、今年度の報告書でもモバイルやIoT（Internet of Things））デバイスの侵害は深刻な脅威の要素にはなっていません。しかし報告書では、概念的にはこれらの悪用が可能であることが実証されていることから、モバイルやIoT（Internet of Things）デバイスに対して、侵害の大規模な影響が及ぶことは時間の問題であり、組織として今後もスマートフォンやIoT機器に対して厳格な防御態勢を取り続けるべきであると指摘しています。

また、今回の報告書では、データ侵害の手口としてWebアプリケーション攻撃が最も多く使われるようになり、その攻撃の95%が金銭的な利益を動機とするものであったことにも注目しています。

「三方面攻撃」の台頭

今年度の報告書では、昨年1年間で極めて頻繁に繰り返された新たな三方面攻撃の台頭に注目しています。

・悪質なWebサイトのリンクや悪質なファイルを添付したフィッシングメールを送信
・マルウェアを被害者個人のパソコンにダウンロードして攻撃の糸口とする。これを足掛かりにしてマルウェアを稼働できるようにし、個人情報にアクセスしたり、内部情報を盗み出す（サイバースパイ活動）、あるいはファイルを暗号化して身代金を要求したりする。
・認証情報を使って、銀行やショッピングサイトなど、外部（第三者）のウェブサイトにログインする。

サーティンは次のように述べています。

「サイバー攻撃がどのように行われるのかを理解することが重要であり、攻撃者の手口のパターンを知ることで、そうした攻撃に対して最善の防御、検知、対応を取ることができます」

今年度の報告書は基本的な防御の必要性を改めて強調

ベライゾンのセキュリティ研究者は、複雑なシステムを導入するよりも、まず下記のような基本的な防御をしっかりと実行することの重要性を再度指摘しています。

・自分の業界で最も一般的な攻撃パターンを知ること。システムやアプリケーションに二要素認証を用いること。
・セキュリティパッチを速やかに適用すること。
・すべての入力情報を監視し、全ての履歴を精査して悪意のある行動の特定に役立てること
・データを暗号化すること。盗まれたデバイスが暗号化されていれば、攻撃者がデータにアクセスすることは大幅に困難となります。
・組織内でスタッフのトレーニングを行うこと。フィッシング攻撃が増加している状況では、セキュリティに対する意識を高めることが特に重要になります。
・自社のデータを知った上で防御すること。また、データにアクセスする人を制限すること。

「今年度の報告書でも、侵害されないシステムなど存在しないものの、犯罪者の狙いは、より攻撃しやすいターゲットに移っていくため、基本的な防御さえしっかりとしておけば阻止できるケースも多いことを改めて示しています」と、サーティンは述べています。

現実の事例に基づく「データ漏洩/侵害調査報告書」シリーズ

今年で9回目となる「2016年データ漏洩/侵害調査報告書（DBIR）」は、100,000件以上のセキュリティインシデント、および2,260件以上の確認されたデータ侵害情報を分析して作成されました。調査されたインシデント件数は2008年に報告書の発行を開始して以来、最も多くなっています。この報告書は過去11年以上に渡って発生した10,000件以上の侵害と、約300,000件のセキュリティインシデントに対応しています。また、サイバーセキュリティの現況に対する理解を高めるため、DBIRにはデータ漏洩には至らなかったセキュリティインシデントも収録されています。今年のDBIRでは、ベライゾンを含む67のグローバル組織の協力の下で、データの収集・分析が行われています。

本報告書のダウンロード

「2016年データ漏洩/侵害調査報告書」全文および高解像度の図表や関連資料は、ベライゾンのWebサイトのDBIR メディアリソースセンターMedia Resource Center＜ http://news.verizonenterprise.com/2016/04/2016-data-breach-report-info/ ＞よりダウンロードが可能です。

圧倒的な水準のマネージド型セキュリティサービスを提供するベライゾン

ベライゾンは、金融サービス、小売、公共部門、テクノロジー、医療、製造、エネルギー、輸送分野の企業向けに、グローバルなマネージドセキュリティソリューションを提供するリーダー企業です。ベライゾンは、カスタマイズ可能な高度なセキュリティオペレーションとマネージド脅威保護サービス、次世代商用テクノロジーモニタリングと分析、迅速なインシデント対応とフォレンジック調査、IDマネジメントなど、広範なプロフェッショナルおよびマネージドサービスと組み合わせて最先端のインテリジェンスと分析技術を提供しています。ベライゾンは世界各国550人以上のコンサルタントを擁する強みと専門知識を通じて、セキュリティの脅威をプロアクティブに削減し、組織・企業の情報リスクを低減します。
ベライゾンのセキュリティの詳細については、＜ http://www.verizonenterprise.com/solutions/security/ ＞をご覧ください。
世界で最も著名なセキュリティ研究者からの最新の洞察および分析については、ベライゾンのセキュリティブログ［英語］＜ https://securityblog.verizonenterprise.com/ ＞をご覧ください。

ベライゾンについて：
Verizon Communications Inc.（NYSE, NASDAQ:VZ）はニュ－ヨ－クに本社を置き、ブロ－ドバンド、無線・有線通信サービスを消費者、法人、政府組織、ホールセール顧客企業に提供するグローバルリーダーです。ベライゾン ワイヤレスは米国で最も信頼性に優れた無線ネットワ－クを展開し、米国内接続数は1億1200万を上回ります。ベライゾンは統合された通信、情報、エンタ－テイメントのサービスを米国内最先端の光ファイバーネットワ－クで提供し、さらに革新的でシームレスなビジネスソリュ－ションをワールドワイドに提供しています。ダウ工業株30銘柄企業の一社であるベライゾンは、世界中に177,700名以上の社員を擁し、2015年度1,320憶ドルの連結売上を発表しています。詳細については、日本法人サイト＜ www.verizonenterprise.com/jp ＞、＜ www.verizon.jp ＞およびVerizon Communications 本社サイト（英語）＜ www.verizon.com ＞をご参照ください。