Verizon は先日、最新の「Data Breach Investigations Report」(DBIR、データ漏洩/侵害調査報告書) を発表しました。攻撃者がどう行動し、誰を標的にし、どの攻撃方法が成功しているかについて、最新の知見を提供しています。15 年目となるこのDBIR の冒頭では、特にサイバー犯罪において昨年度がどれほど「異常な年」であったかについて触れています。
レポートの作成者は次のように述べています。「よく知られている重大なインフラへの攻撃から大規模なサプライチェーンの侵害まで、金銭目的にしろ国家的意図にしろ、攻撃者たちが過去一年ほど強気に行動したことは、かつてありませんでした。」
このことには、セキュリティ専門家の多くが同意するでしょう。そしてプルーフポイントは、お客様が、急増するビジネスメール詐欺 (BEC) キャンペーン、ランサムウェア攻撃、データ侵害などに対する防御の強化に追われていることを知っています。
この記事では、2022 DBIR の主な調査結果を紹介します。持続可能なセキュリティ文化の構築と従業員の行動の改善に取り組む企業様に、今後の課題と機会を評価する上でお役立ていただけます。
データセット
今年度、Verizon は、2020 年 11 月 1 日~ 2021 年 10 月 31 日の分析期間において、およそ 20 の業界で発生した 23,896 件のインシデントを分析しました。これらのインシデントのうち 5,212 件が、実際にデータ侵害であったことが確認されました。
2022 年レポートは、前回と前々回に続き、マクロ地域の観点からインシデントを分析して提示することにより、「サイバー犯罪のより包括的なビュー」を提供しています。(このアプローチの詳細については、DBIR の「Introduction to Regions」(地域の説明) セクションをご覧ください。)
重要な調査結果 #1: 82% の侵害が人的要因による
割合が下がっているのは良い傾向ではありますが、まだまだ非常に高いといわざるをえません。昨年のレポートでは 85% でした。DBIR は、侵害における人的要因の割合を下げるには人の行動を変える必要があると述べる一方、その取り組みは企業にとって決して軽いものではないことも認めています。
図 1.侵害における人的要因 (全 4,110 件中) ※記号 1 つが 25 件の侵害を表しています (出典: 2022 DBIR)
まずは、的を絞った、データに基づくセキュリティ意識向上トレーニングをユーザーに提供することが重要です。そしてさらに重要なのは、People-Centric アプローチに基づくセキュリティ戦略を採用することです。人を標的にして利用しようとする脅威にフォーカスすることにより、セキュリティリスクをより効果的に抑え込むことができます。
People-Centric のセキュリティ アプローチにより、従業員の誰が標的にされ、どういう行動がリスクを高め、重要データがどうアクセスされうるかを把握することができます。このアプローチの第一歩は、組織内の Very Attacked People™ (VAP) を見極めることです。従業員がどの脅威にさらされているか、どう標的にされるのかを知れば、従業員を守り、事業を守るための、適切な防御メカニズムを実装することができます。
重要な調査結果 #2: ランサムウェアによる侵害は 2021 年に 13% 上昇
数字としてはあまり大きく感じられませんが、実はこの上昇率は、Verizon によれば、過去 5 年分を合わせたものに相当します。そして、これらの攻撃は企業に金銭的損害と混乱を招きます。重要なインフラが標的である場合、言うまでもなく社会全体に被害が及びます。
図 2.侵害におけるランサムウェア件数の経時的推移 (出典: 2022 DBIR)
しかし DBIR は、「ランサムウェアとは、要するにアクセスをお金に換えるメカニズムに過ぎない」とも述べています。セキュリティ財産への「4 つの重要なパス」、つまり認証情報、脆弱性エクスプロイト、ボットネット、そしてフィッシングをブロックすることにより、攻撃にさらされる機会を減らすことができます。
プルーフポイントの「2022 State of the Phish」レポートにおいて実施した調査によると、 78% の組織が 2021 年にメールベースのランサムウェア攻撃を経験しています。また、プルーフポイントの脅威リサーチャーは、感染後の後ろの段階でランサムウェア攻撃に進展するマルウェア ペイロードがある 1,500 万件のフィッシング メッセージを特定しました。
メール保護対策を改善し、かつ、効果的なセキュリティ トレーニングを提供することは、組織がフィッシングにさらされる機会を減らすのに大いに役立ちます。Proofpoint Email Protection は、これら両方に役立ちます。既知および未知の脅威を検出する、業界最先端のメールゲートウェイです。不審なメールに自動的にタグを付け、ユーザーの意識を向上させます。
Proofpoint Email Protection の詳細については、こちらをご覧ください。
重要な調査結果 #3: 62% のシステム侵入インシデントはサプライチェーンの侵害が関係する
ランサムウェア攻撃のように、サプライチェーンのインシデント件数も上昇しています。また、2022 DBIR が強調しているように、「正規パートナーを侵害することは、攻撃者の力を倍増させます。」
DBIR は、サプライチェーンの侵害を 1 つまたは複数の侵害が連鎖した状態であると定義し、こうした連鎖を引き起こしうる侵害の一例として、「パートナーが侵害され、アクセスするために認証情報セットまたは信頼された接続が利用される侵害」があります。
図 3. システム侵入インシデントのパートナー経路 (全 3,403 件中)
※記号 1 つが 25 件の侵害を表しています (出典: 2022 DBIR)
BEC 攻撃は、組織のサプライチェーンの複雑さを利用する侵害の方法です。攻撃者は、ソーシャル エンジニアリングの手口を主に活用し、サプライヤーになりすました請求詐欺などの BEC 攻撃を使用し、組織が取引しているベンダーやその他の第三者を標的にします。また、攻撃者が信頼されているベンダーを侵害し、なりすますことができれば、サプライチェーンの他の組織もたやすく侵害してしまうおそれがあります。
フィッシング詐欺について、DBIR によると、ソーシャル エンジニアリング攻撃の手法においていまだフィッシングが主な攻撃手段であることは注目すべき点です。レポートの作成者はこう述べています。「なぜ犯罪者がフィッシング攻撃を行うのかと聞かれれば、メールは標的にしやすいものだからです。」
図 4.ソーシャル エンジニアリングによる侵害におけるさまざまな攻撃手段 (全 1,063 件中) (出典: 2022 DBIR)
DBIR での調査結果は、プルーフポイントによる「2022 State of the Phish」レポートの調査を補完するものでもあります。レポートによると、BEC とスピア フィッシングなどの的を絞ったキャンペーンなどのフィッシング攻撃は、2020 年に比べ 2021 年は全体的に増加しています。
プルーフポイントでは、組織が BEC 脅威に対処できるようサポートするエンドツーエンドのソリューションを用意しています。これらは洗練されており、いくつもの戦術やチャネルを使用します。詳細については、Proofpoint EFD (Email Fraud Defense) のページをご覧ください。また、プルーフポイントの無料アセスメントで、貴社がこうした攻撃にどの程度備えているか評価することができます。
脅威レポートのご紹介
現在の脅威状況は動的かつ複雑であり、これについていくために、セキュリティ専門家は最新の業界調査を把握しておく必要があります。そのため、Verizon による最新の DBIR レポートだけでなく、プルーフポイントによる以下の資料もぜひご覧ください。
- 「State of the Phish 2022」 (レポート)
- 「2022 Voice of the CISO」 (CISO 意識調査レポート)
- 「Human Factor 2022」(サイバーセキュリティにおける人的要因分析)