ランサムウェア被害、1件あたりの「身代金」は前年から倍増～ベライゾンが2023年度のDBIR発表

ベライゾン サイバーセキュリティ・コンサルティング マネージング・ディレクターのクリス・ノバック（Chris Novak）氏

　ベライゾンは7月12日、「2023年度データ漏えい／侵害調査報告書」（DBIR：Data Breach Investigations Report）を発表した。ランサムウェアによるインシデントは前年に比べて1件あたりの身代金額が倍増していることや、データ侵害の74％は人的ミスや特権の悪用、認証情報の盗用といった人的要因が関係していることなどが明らかにされている。

　ベライゾンのDBIRは、過去16年間にわたって継続的に調査を実施しており、今回の調査では、世界81カ国の法執行機関、法医学組織、法律事務所、CERTおよびISAC、政府機関などから収集した1万6312件のセキュリティインシデントを分析し、そのうち5199件のデータ侵害を確認し、その傾向をとりまとめている。

　同社サイバーセキュリティ・コンサルティング マネージング・ディレクターのクリス・ノバック氏は、「この1年は、サイバー犯罪が多発し、その対応に追われた年だった。多数の攻撃者による活動があり、その多くが金銭目的である。また、人的要因が理由となっているデータ侵害は、前年度の82％に比べると減少はしているが、依然として大きな比率を占めており、これは大きな問題である」と述べた。

　概況を見ていくと、サイバー攻撃は組織的犯罪が最多であり、データ漏えい・侵害の74％は人的ミス、ソーシャルエンジニアリングなどの人的要素が関係している。そして、最も多い動機は金銭目的で、全体の95％である

サイバー攻撃は組織的犯罪が最多であり、動機として最も多いのは金銭目的で、全体の95％である

企業幹部になりすまし、従業員をだますソーシャルエンジニアリングが目立つ

　2022年のソーシャルエンジニアリング攻撃のインシデントの50％は、シナリオを作り、巧妙にだまして情報を提供させたり、データ漏えいの侵害につながる恐れのある行為を実行させたりする「なりすまし（プリテキスティング）」によるものである。

　ノバック氏は、これについて「なりすましは、前年に比べて倍増している。信憑性があり、説得力のあるメールが送られ、それがメールボックスのなかにはいってしまうため、多くの人がだまされてしまう。CEOやCFOになりすましたビジネスメールが送られ、正当な要求のように感じてしまい、送金してしまう例が目立っている」と補足した。

ソーシャルエンジニアリングの50％がなりすまし（Pretexting）によるもの

盗んだパスワードで複数サイトを攻撃できてしまう状況

　ウェブアプリケーション攻撃によるデータ漏えいや侵害が、インシデント全体の4分の1を占めており、認証情報を得た攻撃だけでなく、盗んだ認証情報を使って、さまざまなリソースにアクセスする傾向があり、被害が拡大しているという。また、ウェブアプリケーション攻撃によるデータ漏えい／侵害の86％は、認証情報の盗用であることも分かった。

　この背景には、「メールアドレスやユーザーID、パスワードだけでウェブアプリケーションを利用しているユーザーが多く、多要素認証を使っているユーザーはまだ少ない。そのため、盗用したパスワードなどは、複数のサイトへの攻撃の展開に流用できることが多く、それが攻撃しやすい環境を生んでいる」と、ノバック氏は背景を説明した。

ウェブアプリケーション攻撃によるデータ漏えい／侵害の86％は、認証情報の盗用（Use of stolen cords）

ランサムウェアはデータ侵害のトップ要因で、システム侵入の80％に関係

　ランサムウェアに関連したことでは、サイバー攻撃全体の24％をランサムウェアが占めること、データ漏えい侵害の83％は金銭やデータを目的とした外部からの攻撃によるものであること、データ漏えい侵害の19％は内部関係者が関与したものであることが明らかにされた。

　ランサムウェアは、引き続きデータ漏えい侵害のトップの要因となっており、あらゆる業種のあらゆる規模の組織が対象となっているという。「全ての業界の91％で、ランサムウェアが上位3つのアクションに入っている。また、システム侵入インシデントの80％はランサムウェアが関係しており、攻撃者は、さまざまなランサムウェアの手法を活用している」とノバック氏は説明した。

　また、ランサムウェアによる身代金などの損失が生じたインシデントの95％は、100万～225万ドルの損害を被っているという。これは、米インターネット犯罪苦情センター（IC3）に報告された損失のデータによるもので、前年（2021年）のおよそ2倍にあたる。

システム侵入の80％にランサムウェアが関係している

内部関係者による漏えいが増加、「Log4j」は対策が進んだ好例に

　内部関係者によるデータ漏えい侵害が増加傾向にあることも指摘された。「働き方が変化し、リモートで勤務する人が多い。これが悪いことをしても見つからないという状況を生み、モラルを下げることになっている。オフィスであれば人の目があり、不正に対する抑止効果があるが、リモートではそうした効果が薄れることが背景にある」と、ノバック氏は言う。

　また、脆弱性を悪用したデータ侵害の90％が、Javaのロギングライブラリ「Log4j」の脆弱性を悪用したものであることも明らかになった。だが、Log4jの脆弱性がメディアで注目を集めたため、多くの企業が優先的にこの課題に迅速に対処したことで、事態が収束する方向に向かったという。「業界の迅速な修正対応により、大きな災害にはならなかった」と、ノバック氏は、情報を拡散することによって対策が進展した好例として位置付けた。

　さらに、エラーに関するデータ漏えい侵害は、前年調査の13％から9％に減少しているが、その多くは、依然として開発者やシステム管理者によるものであることも分かった。ノバック氏は「アクセスする権利を持っていたり、システム構成を変更する役割を担っていたりする社員によるエラーが多い」とした。

脆弱性の悪用によるデータ侵害の、90％の原因がLog4jを対象にしたものだという。ただし、迅速な対応により対策が進んだ

業界ごとに業務慣行や問題点を突いた攻撃の傾向が見られる

　レポートでは、業界別の傾向についても分析している。

　金融・保険業界では、ウェブアプリケーション攻撃が最も多く、ノバック氏によれば「金融・保険業界では、さまざまなサービスに、ウェブアプリケーションを利用していることが背景にある。また、内部者の誤配信などによる保護データの漏えいも目立っている。攻撃者の97％が金銭目的であるのも特徴である」という。

金融・保険郊外を狙った攻撃では、ウェブアプリケーション攻撃が最も多く、内部者のミスによるものが目立つ

　製造業では、システム侵入のパターンの大部分をランサムウェアが占め、金銭目的が97％となっている。「製造業では、外部からの攻撃が多く、個人情報や認証情報を盗むケースが多く、その結果、サプライチェーンに影響を及ぼすような被害も発生している」とノバック氏は指摘した。

製造業ではランサムウェアによる侵入が大部分。サプライチェーンに影響を及ぼす被害も発生

　小売業では、最も侵害を受けたデータがカード情報であり、全体の37％を占めたほか、カード情報の漏えいの70％はウェブアプリケーションによるものだったという。また、システム侵入が増加しているのも特徴だ。ノバック氏は「この数年間のコロナ禍において、多くの小売業が物流システムを変更し、eコマースサイトに方向転換した。それに伴い、ウェブアプリケーションに対するセキュリティは強化されているが、物理店舗の閉鎖などにより、レガシーシステムなどへの対策が遅れ、そこへの侵入が増加している。攻撃しやすいターゲットになっている」と課題を指摘した。

小売業では、最も侵害を受けたデータがカード情報。その漏えい／侵害の70％はウェブアプリケーションによるもの

　専門的科学技術サービス業では、システム侵入が多いのが特徴で、47％を占めている。またランサムウェアによる攻撃が、前年調査では14％だったものが、今回の調査では23％に増加している。「ランサムウェアの増加とともに、外部からの攻撃が92％を占めているのが特徴であり、個人情報や認証情報を得て、ほかのシステムに侵入し、研究機関や技術サービス企業から、企業秘密やIPに関わる情報を入手しようとする動きが目立つ」という。

専門的科学技術サービス業では、システム侵入が47％と多い。また、ランサムウェア攻撃が前年の14％から23％に増えている

　行政機関では、スパイ行為が動機の30％と、平均よりも高い比率であるのが特徴だ。「金銭目的（68％）のほかに、スパイ行為が多く、知的財産などのデータ盗用や、秘密情報の取得、妨害活動につながる情報取得が目立つ。内部の協力者をみつけて攻撃を仕掛けたり、国家と国家が戦っている状況が感じられたりする」という。

行政機関では、スパイ行為を動機とした攻撃の比率が高い

「日本はテクノロジーに頼りすぎ、セキュリティスキル教育が遅れている」

　日本における状況についても説明が行われた。

　日本の企業においては、ランサムウェアによる被害が国内拠点のみならず、海外拠点や支社で感染が多いこと、日本では、Emotetが調査対象となるほど感染が多いこと、ソーシャルエンジニアリング攻撃に対するユーザーのスキル不足が課題であることを指摘した。

　ベライゾンジャパン ソリューションズ・エグゼクティブ・セキュリティーの森 マーク氏は、「海外拠点から感染が多いのは、日本の企業がネットワークやセキュリティ対策を現地法人に任せていることが多く、現地では専任者がいない状況にあるのが理由だ」と指摘する。

　さらに、森氏によれば、セキュリティ対策が現地のベンダー任せになっていることも課題だという。特に東南アジアでは、現地のベンダー自身がセキュリティに対する意識が低く、侵入される入口になっている。さらに、ファイアウォールなどの防御デバイスを一度設置すると、そのまま放置してしまうケースも見受けられるという。

　内部不正によるデータ漏えいが海外拠点だけでなく、国内でも発生していることが目立つのも、日本の特徴的な点だという。「セキュリティは、人、プロセス、テクノロジーの順番で対応していくべきだが、日本の企業は順番が逆になっており、テクノロジーに頼りすぎている。人に対するセキュリティスキル向上に向けた教育が遅れている」と森氏は指摘する。

ベライゾンジャパン ソリューションズ・エグゼクティブ・セキュリティーの森 マーク氏

日本での動向まとめ。対策として「人、プロセス、テクノロジーの順番が逆になっている」と指摘する

　今回の調査では、従業員数1000人以下の日本の中小企業についても分析している。インシデントが699件あり、そのうち、データ漏えいが381件あったという。漏えいしたデータの54％が認証情報であり、盗用した認証情報を使って、取引先などのほかの企業に横展開するケースもあるという。また、内部情報漏えいが37％、システム侵入が11％となっている。

　日本の中小企業では、ランサムウェアによるシステム侵入が多く、ソーシャルエンジニアリング、ウェブアプリケーション攻撃をあわせると、データ漏えい侵害の92％を占めている。これは大企業と同じ傾向で、「中小企業では、守る部分が確立できていない実態が明らかになった」という。

　こうした分析結果を受け、森氏は、「日本の中小企業においては、セキュリティ意識向上スキルのトレーニングが必要である。アクセス制御管理やインシデントレスポンス、データ復旧プロセスの確立、アプリケーションソフトウェアのセキュリティ、ペネトレーションテストの実施なども大切なコントロールになる」と述べた。

日本の中小企業を対象とした分析。ランサムウェア、ソーシャルエンジニアリング、ウェブアプリケーション攻撃がインシデント全体の92％を占める

　なお、本発表では、生成AIを活用した攻撃についても言及があった。「目にはしているが、まだ比率は少ない。ただし注意して、その動向を見ているところである。たとえば、生成AIを活用してランサムウェアのツールを作り変えたり、さまざまな言語において、スムーズな文章を作ったりできるようになるといったように、生成AIの悪用が懸念される部分がある」と、ノバック氏は説明している。