Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

2019年版Verizonデータ漏洩/侵害調査報告書

Verizonの最新レポート(英語版)がリリースされていました。

f:id:foxcafelate:20190518085439p:plain

2019 Data Breach Investigations Report | Verizon Enterprise Solutions

 

◆キタきつねの所感

このレポート(Verizonデータ漏洩/侵害調査報告書)は、海外のセキュリティセミナーで引用されることも多く、セキュリティ業界では最も信頼されているレポートの1つだと思います。

日本でもVerizonが毎年セミナーを開催してくれてますが、まだ知名度が低い気がするのは残念な所です。英語版が出たので、日本語のエグゼクティブサマリーか、リリースが出てないかなと見てみたのですが、、、まだの様です。

ホーム | ベライゾンエンタープライズソリューション

 

暫くすると(日本語でも)リリースされてくるとは思いますが、取り急ぎエッセンス部分(エグゼクティブサマリー)だけでも参考までに書いておこうかと思います

 ※機械翻訳、意訳内容も含みますので、(若干の)誤訳はご容赦下さい。

 

■エグゼクティブサマリー 主なポイント(Key Takeaways)からの抜粋(意訳)

1)経営幹部が危ない(Take me to your leader)

   経営幹部は一般社員の12倍、被害を受けた可能性が9倍と、過去にないレベルで社会的侵害の標的

   として狙われている。

 

2)クラウドは人の脆弱性を突かれている(Get out of my cloud)

   企業はよりコスト効率の良いクラウドに移行し、犯罪者はクラウド移行に伴って移動する貴重な

   データを見つけて盗んでいる。これはクラウドの安全性が低い訳ではなく、フィッシング、

   ID情報、設定エラーなど人の脆弱性が突かれている。

 

3)非対面決済が狙われている(What a tarngled web we weave)

   決済カードWebアプリ(非対面決済)でのデータ侵害は決済端末(対面決済)を超えている。

 

4)ランサムは依然として脅威(Still held for ransom)

   ランサム攻撃は依然として激しいが、インシデントの24%は(ランサムではなく)マルウェア

   使われていた。ランサムは一般化してしまい、知名度が高い企業を除きあまり報じらないが、

   依然として深刻な脅威である。

 

5)ICカードは勝ったのか?(Chip and Pin for the win?)

   物理的な決済端末(対面決済)経由のデータ漏洩は、Webアプリケーション(非対面決済)と

   比較して減少している。これはICカード技術の実装が影響しており、進歩を見せ始めている。

 

6)人事の反撃(HR strikes back)

   興味深い事に、人事担当者への攻撃は去年より1/6に減少している。去年は税金書類の詐欺

   事件があった影響が考えられる。

 

7)モバイル機器でのフィッシング(I click, therefore I am)

   過去7年間でフィッシングシュミレーションでのクリック率は24%から3%に減少しましたが、

   クリックした人の18%はモバイル機器でした。メールとソーシャルメディア(アプリ)の

   ユーザインターフェイスの問題である可能性が高いと考えられる。

 

 

 

f:id:foxcafelate:20190518211726p:plain

 

更新履歴

  • 2019年5月18日PM(予約投稿)