本年度のポイント
-
アジア太平洋地域のサイバー攻撃の25%は、スパイ目的の活動
-
脆弱性の悪用は180%の増加
-
企業が重大な脆弱性の約50%にセキュリティパッチを適用するのに要した日数は、平均で約55日
-
データ侵害の3分の2以上には、悪意のない人的要因
ベライゾン・ビジネスグループ(日本法人:ベライゾンジャパン合同会社、以下「ベライゾン」)は、17版となる「データ漏洩/侵害調査報告書(DBIR)」を公開しました。
2023年に過去最高数の30,458件のセキュリティインシデントを分析
し、
そのうち10,626件のデータ侵害を確認
しました。この数字は
2022年の調査と比べると倍増
しています。
日本語版のレポートおよび、エグゼクティブサマリーはDBIRのウェブサイトからご覧いただけます。
(
https://www.verizon.com/business/ja-jp/resources/reports/dbir/)
アジア太平洋地域のデータ攻撃の25%がスパイ活動を目的とする
脆弱性の悪用は、サイバーセキュリティに対する脅威の中で最も急速に拡大しているインシデントの1つとなっていますが、
アジア太平洋地域のデータによると、データ攻撃の25%がスパイ活動
を目的としており、ヨーロッパ(6%)や北米(4%)を大きく上回っています。
アジア太平洋地域で確認された2,130件のセキュリティインシデントと523件のデータ侵害のうち、
システム侵入、ソーシャルエンジニアリング、基本的なウェブアプリケーション攻撃がアジア太平洋地域における侵害の95%を占めています。
最も多く漏洩したデータの種類は、認証情報(69%)、内部情報(37%)、機密情報(24%)
です。
ベライゾンのシニア・サイバーセキュリティ・コンサルティング・ディレクターのクリス・ノヴァック(Chris Novak)は「サイバー・スパイ攻撃のほとんどがAPT攻撃(持続的標的型攻撃)と定義できるため、アジア太平洋地域の組織が脅威アクターによる機密データの長期的な収集を阻止するには、
セキュリティ・プロトコルを継続的に更新することが特に重要です。
国家安全保障に関わる機密情報は、学術機関や研究施設など、サイバーセキュリティが甘い組織を経由してアクセスされることも考えられるため、サードパーティのネットワークを見直すことも同じ様に重要です」と説明しています。
脆弱性を悪用したインシデントは昨年から3倍に増加
世界的に、最初の侵入経路としての脆弱性が悪用されるインシデントは昨年からほぼ3倍に増加しており、全侵害インシデントの14%を占めています。
この急増は、主にランサムウェアアクターによるゼロデイ攻撃の範囲と頻度の増加によって引き起こされたもので、とりわけMOVEitの侵害は、ゼロデイ攻撃としては史上最も広範囲を対象としたインシデントの1つとなりました。
アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁(Cybersecurity Infrastructure and Security Agency: CISA)発行の「既知の悪用された脆弱性(Known Exploited Vulnerabilities: KEV)」カタログの分析によると、パッチが提供されてから重要な脆弱性の50%を修正するのに平均55日かかったことが明らかになりました。
一方、インターネット上でのCISA KEVの大量搾取を発見するのにかかった時間の中央値は5日です。
昨年は、データ管理者、サードパーティのソフトウェアの脆弱性、その他の直接的または間接的なサプライチェーンの問題など、15%の侵害にサードパーティに関与していました。
この指標は、2024年版のDBIRから新たに導入されたもので、
2023年版のDBIRに掲載された前年度期間と比べると68%の増加
を示しています。
サードパーティの関与にかかわらず、ほとんどの侵害(68%)には悪意のない人的要因が関与していますが、これらは人的ミスやソーシャルエンジニアリング攻撃のターゲットになったケースを示しており、この割合は昨年とほぼ同様です。
潜在的な対抗策のひとつは、報告実践の改善です。シミュレーションを行った結果、20%のユーザーがフィッシングを確認、報告し、メールをクリックしたユーザーの11%も同様に報告しています。
今年度報告書のその他のポイント
-
全侵害の32%が、ランサムウェアを含む何らかの恐喝手段に関与
-
過去2年間で、金銭的動機によるインシデントの約4分の1(24%~25%)がプリテキスティング攻撃(口実攻撃)に関与
-
過去10年間で、盗用された認証情報の使用は、すべての侵害のほぼ3分の1(31%)を占めている
エグゼクティブコメント
ベライゾン・ビジネスグループ アジア太平洋地域ヴァイス・プレジデント
ロバート・ル・ブスク(Robert Le Busque)
「情報漏洩における人的要因は引き続き根強く、サイバーセキュリティのトレーニングに関してまだまだ改善の余地があることを示しています。しかし、自己申告による報告数が増加したということは、人的ミスの報告をためらわない文化に変わってきたということを示しており、一般従業員のサイバーセキュリティ意識の重要性に光を当てる役割を果たしています」
◇データ漏洩/侵害調査報告書(DBIR)について
2024年度のDBIRは第17版であり、30,458件のセキュリティインシデントを分析し、そのうち10,626件でデータ侵害が確認された。
分析に使われたデータは、数カ国の法執行機関、法医学組織、法律事務所、CERTおよびISAC、
政府機関など、国内外の87カ所のデータ寄与協力組織から収集されたものです。
「2024年度 データ漏洩/侵害調査報告書」は、
専用ページ(
https://www.verizon.com/business/ja-jp/resources/reports/dbir
/)からご確認ください。
◇ベライゾンについて
ベライゾン・コミュニケーションズ(NYSE, Nasdaq: VZ)は、2000年6月30日に設立された、
テクノロジーおよび通信サービスを提供する世界有数のプロバイダーです。
ニューヨークに本社を置き、世界中に拠点を有するベライゾンは、2022年に1,368億ドルの売上高を記録しました。
同社は、受賞歴を誇るネットワークとプラットフォーム上でデータ、ビデオ、音声サービス、ソリューションを提供し、モビリティ、信頼性の高いネットワーク接続、セキュリティ、コントロールに対する顧客の要望に応えています。ベライゾンのオンラインメディアセンター: ニュースリリース、記事、メディア窓口、その他のリソースは次のサイト
https://www.verizon.com/about/news-center
で入手可能です。
また、ニュースリリースはRSSフィードから購読可能です。
購読するには、以下のサイトにアクセスください:www.verizon.com/about/rss-feeds/