米Verizon社は、5月19日に2020年情報漏洩調査レポート (Data Breach Investigations Report:DBIR) を公表しました。この年次レポートは、世界中の企業や組織に影響を与えた実際のセキュリティインシデントを分析しています。
このレポートでは、当社Proofpointを含む、81の協力組織のデータを利用しています。32,002件のセキュリティインシデントを分析した結果、3,950件が情報漏洩によるものであると確認されました。
この記事では、包括的な分析によって特定した情報漏洩の原因トップ3を明らかにし、保護対策とその実践方法をご紹介します。
情報漏洩の種類と傾向
1. クレデンシャル盗用
盗まれたクレデンシャル情報は、80%以上の割合でWebアプリケーションへの攻撃に悪用されます。また、情報漏洩のうちの43%は、Webアプリケーションに対する攻撃でした。その数は昨年の2倍にあたります。組織がワークフローやコミュニケーションを、Micosoft365・Slack・Google Cloudなどのクラウド・サービスに移行する傾向は懸念事項です。
クラウド・サービスに移行することで、サイバー犯罪者には願ってもない新たなチャンスを与えてしまいます。ユーザーからクラウド環境へのパスワードをだまし取るだけになれば、わざわざネットワークに「ハッキング」する必要はあるでしょうか?
クレデンシャル盗用は、幅広いサイバー攻撃で悪用できます。この脅威に関連した別の調査レポートにも同じ傾向が見られるほど、有力であることがわかります。例を挙げると、マイクロソフト社は2019年にはマルウェア感染が67%減少したと報告しています。一方で、弊社の脅威リサーチチームによると、同期間内に他に類を見ないほどの悪質なURLの数が大きく増加していました。
- 85%の企業は、パスワード関連の標的型攻撃、特に情報処理によるブルートフォースアタック(総当たり攻撃)を少なからず一度は経験していました。
- 45%の企業は、悪質な方法でアカウントが動作していると確認できる情報漏洩が一度以上起きました。(実例:フィッシングメールの送信、悪質なメール添付、ファイルの大量ダウンロード)
2. フィッシング攻撃
サイバー犯罪者にとってクレデンシャル盗用が最終目標だとすると、フィッシング による情報漏洩は目標達成のために完璧な手段です。フィッシング攻撃は信頼できる立場を装い、もっぱら技術的脆弱性よりも、人的脆弱性を悪用します。
レポートでは、情報漏洩の25%がフィッシングに関連しています。フィッシング攻撃により危険にさらされていたデータのうち、群を抜いて多くかつ一般的なのはクレデンシャル情報でした。
フィッシングは、Proofpointで確認しているマルチチェーン攻撃のあらゆる段階で用いられている問題の一つです。フィッシング攻撃の成功は、独特な脆弱性に依存しています。次に、情報漏洩の3つ目の原因である、ヒューマンエラーについて紹介します。
3. ヒューマンエラー
Verizon社のレポートでは、ヒューマンエラーがすべての情報漏洩のうち22%を占めていました。組織内の人間は、利用可能な情報の機密性とインテグリティにとって課題となります。Proofpointの調査によると、組織内部の人間による脅威の損害は、世界平均で2年間のうちに31%増加し、11兆4500万ドルにまで及びました。また、同期間内に発生頻度が47%も増加していました。そして現在は、企業ガバナンスの範疇から離れ、多くの労働者が広く分散しているため、人為的なミスが起こる可能性が急激に高まっていると言えます。
情報漏洩から自を守るには
それでは、情報漏洩の各原因から自分自身とリモートワークの従業員を保護するために、最良の方法は何でしょうか?ここからは、人を中心とするサイバーセキュリティ戦略の5つの重要なヒントをご紹介します。
企業デバイスの私的利用まで保護する
職場で従業員が何気なく個人のメールチェックをすると、組織内に既知や未知の脅威を招き入れてしまう可能性があります。Osterman社によると、実際に企業への攻撃の60%が企業デバイスでのネットサーフィンや私的なメールの使用によるものでした。
このような脅威を対処するには、ユーザーの妨げにならないよう、組織のセキュリティニーズに見合う適応型であるリスクベースのソリューションを実装しなければなりません。そのソリューションは、万能な手段としてではなく、ユーザー各自の脆弱性に合わせた制御になるよう調整することが必要とされます。
メールの経路を保護する
エンドツーエンド(経路全体)のメールセキュリティは、組織全体でフィッシング攻撃を検出、対処、修復するために重要です。効果的なメールセキュリティのソリューションでは、次のことが必要になります。
- 直面している脅威を可視化し、誰が標的となり、どのように何の情報を盗もうとしているのかを明確にする
- バルクメール、クレデンシャル情報のフィッシング、BEC攻撃など従業員を標的としたさまざまなメールを識別するメール制御と内容分析によって、ユーザーが悪質なメールをより簡単に見つけるためのカスタマイズ可能なメールポリシーを提供すること
- 正当なメールが適切に認証され、組織の管理下で不正行為のブロックを確認できる、DMARC (Domain-based Message Authentication Reporting and Conformance) のようなメール認証
- 機密情報がゲートウェイをすり抜けることを防ぐDLP (Data loss prevention)
- 防御を通過する不可避な脅威を、効果的に識別・作用する脅威へのリアルタイム応答性
ヒューマンエラーのリスクを軽減する
従来のセキュリティプログラムは、一般的に外部からの脅威に対する保護に焦点を当てています。ところが、情報漏洩の52%は組織内の人間により引き起こされ、その損害額は過去3年間で2倍になりました。リスクを軽減するために、脅威を検出、調査を効率化、情報漏洩を防止する能力を組織が兼ね備えなければなりません。(Proofpointが対策実施をサポートします。詳細はこちら)
クラウドを保護する
リモートワーカーは、クラウドアプリを利用しています。攻撃者はユーザーアカウントを乗っ取るために、ログイン時のクレデンシャル情報を盗み取り、企業のリソースに潜入する可能性があります。インターネットやクラウドアプリを使用するユーザーを守るためには、次のことが必要です。
- 私的なメールに含まれる、潜在的に悪質なURLからデータを保護する
- リスクに応じてURLのクリックを隔離するための適応制御を導入する
- IDとロールベースの制御によりSaaSアプリへの不正アクセスを予防する
- 情報漏洩の防止とデバイス毎のデータ制御により、クラウド上の機密ファイルを保護する
- 内部関係者の偶発的かつ悪質なリスクをリアルタイムに検出し対処する
ユーザーを教育する
所属部署に関わらず、ユーザーを強力な防衛ラインにします。
- 攻撃のシミュレーションや評価の知識を含む社内教育を提供する
- サイバーセキュリティとコンプライアンスに関する資料をリモートワーカーに配布する
- メールレポートと分析ツールを実装し、ユーザーが不審なメールを簡単に報告できるようにする
社内教育を実施するには
当社Proofpointがいかに認証情報を保護し、フィッシングを対処しているのか。ユーザー教育に興味をお持ちでしたら、こちらをご覧ください。