ようやくベライゾンの「2019年度データ漏洩/侵害調査報告書」(日本語版)が出てきそうです。セキュリティ関係では海外で特に信頼がされ、引用例も多い年次調査レポートです。DBIRとも呼ばれるこのレポートは、協力事業者も多いので客観的と言われており、特に海外での犯罪傾向をつかむには必見のレポートと言っても過言ではないかと思います。
www.the-miyanichi.co.jp
■公式(ベライゾンHP)
2019年のレポート(日本語エグゼクティブサマリー)
・・2018年版はありますが、2019年版はまだ見当たらず
◆キタきつねの所感
ベライゾンから日本語エグゼクティブサマリーが出たというリリースなんですが、残念ながらベライゾンのホームページに当該内容が見当たりません。(※英語版はあります)
追って掲載されるのかと思いますが、DreamNewsに掲載されたPR記事内容を元に見ていきます。
経営幹部クラスがサイバー犯罪の最新の標的に
● 経営の幹部クラスがソーシャル侵害の標的になるケースが増加および活発化している――金銭目的によるソーシャルエンジニアリング攻撃の増加と連動
● 盗まれた認証情報(98%)を悪用したウェブベース電子メールアカウントへの侵害が増加――ウェブアプリケーションへのハッキングを含む攻撃の60%で観測
● いまでも全漏洩の4分の1はスパイ活動との関連がある
● ランサムウェア攻撃は依然強く、分析されたマルウェアインシデントの24%を占め、もっとも利用されたマルウェア種類で第2位だった
● データ漏洩/侵害調査報告書(DBIR)第12版に含まれるデータ提供者は調査開始以来最高の73団体
● 41,686 件のセキュリティインシデントを分析、86か国で確認された漏洩は2,013件
この辺りは、既に英語版が出ていたので、5月に簡単に記事にしています。(英語リリースから2か月かかっている訳ですが・・)
foxsecurity.hatenablog.com
ベライゾン側の分析が以下の内容です。
上級管理職へのなりすまし攻撃が成功すれば、彼らは(ほぼ間違いなく)承認権限や、基幹システムへの特権的なアクセス権限を有することで、多大な利益を得ることもできてしまいます。上級管理職は一般的に時間に追われることが多く、職務遂行へのプレッシャーを感じているため、メールをさっとレビューしてクリックし、すぐ次へ(あるいはアシスタントにメール管理を代行させて)と処理しているうちに、疑わしいメールでも通過させてしまうことがあります。ビジネスメール情報漏洩(BECS――分析のうち、インシデントは370件、確認された漏洩は248件)のように、ソーシャル攻撃の成功率の増加は、ストレスフルなビジネス環境とサイバー犯罪リスクについての教育の欠如が相まって、企業・組織にとって不健全な状態を生み出す可能性を秘めています。
特権ユーザの中でも社長や経営陣にロジカルの権限を持たせるのが危険である事を示している気がします。
今年度の調査では、コスト効率的なクラウドベースのソリューション内部で情報をシェアし保存するという流れが強まるほど、いかに企業がさらなるセキュリティリスクに晒されているかが浮き彫りにされています。分析によって明らかになったのは、盗まれた認証情報が使われることによってクラウドベースのメールアカウントの情報漏洩が増加するということです。さらに、クラウド上で公表されるエラーが年々増加しています。間違った設定(「混合型エラー」)により、大規模なクラウドベースのファイルストレージ漏洩が多数発生し、分析したDBIRのデータセットのうち、少なくとも6,000万件が流出していました。これはエラーを原因とする漏洩の21%にあたります。
この部分も事件が頻発しています。設定ミスは、AWSサービス利用事業者がここ1-2年、外部のホワイトハッカーに「見つけられてしまっています」が、この部分とも合致します。
AWSは以前から警告を発している - Fox on Security
サマリー内容で気になる部分は、
サマリーに載っている主な調査結果
DBIR は、サイバー脅威のランドスケープに関する包括的なデータ主導型分析を提供しつづけています。2019年度報告書の主な調査結果は以下の通りです。
● FBI インターネット犯罪苦情センター(通称IC3)による新分析:ビジネスメール情報漏洩(BEC)やコンピュータデータ漏洩(CDB)の影響に関する知見に満ちた分析を提供。BECの改善方法にフォーカスした調査結果。IC3のリカバリーアセットチームがBECに対処し、メールの送付先となった銀行と協力した結果、アメリカを拠点とするビジネスメール情報漏洩案件の半分で資金の99%が回復または凍結された。まったく回復できなかったのはわずか9%。
● 人事部への攻撃は昨年度より減少:DBIRデータセットから「W-2詐欺」がほとんど消滅したことにより、今年度の人事部への攻撃は昨年度の6分の1だったことが判明。
● チップ・アンド・ピンによるペイメントテクノロジーが功を奏しはじめた:物理端末での支払いカードに関連する情報漏洩件数は、Webアプリケーションからの情報漏洩と比較して、減少傾向。
● ランサムウェアによる攻撃は依然衰えず:マルウェアを利用したインシデントの24%近くを占めている。ランサムウェアは当たり前になりすぎて、目立った標的でもなければ専門メディアではあまり話題にならなくなった。
● メディアが煽ったような暗号検索攻撃はほぼ皆無:これらのタイプの攻撃は、マルウェア上位10種に入っておらず、インシデントのわずか2%を占めるのみ。
● 外部の驚異は依然として優勢: 攻撃の裏にいる主力はいまでも外部の脅威行為者(漏洩の69%)であり、内部の行為者は34%。
ビジネスメール詐欺は、米国では被害が激減している・・という点。下火になるという考え方も正しいかも知れませんが、日本を含む、防御態勢が弱い米国以外の他国に攻撃の対象が移るという可能性もあるので要注意なのかなと思います。
チップ・アンド・ピンは、クレジットカードのICカード化の事を指しています。米国で急速にクレジット/デビットカードのICカード化が進んでいるので、その成果が出ていますよという内容です。
ランサムは被害が拡大せずに攻撃被害が隠蔽された(軽微な)件を含め、日常化している様です。特に米国では地方自治体、病院、学校などの被害が未だに頻発しています。WannCry級の拡大被害をもたらすランサムがまた出てくる事も十分に考えられますし、来年はWindows7のサポート切れがやってきますので、2020年は特に警戒すべき年となるかも知れません。
犯行の内外比率は、正直内部34%・・・の方が驚きです。米国などのデータと日本のデータは少し違う気がしますが、外部ハッカーからの攻撃に対して常にアンテナを張っておくべきなのは変わりが無い様です。
注目すべき業界ごとの発見は以下の通りです。
● 教育サービス:金銭目的の犯罪が目立って増加(80%)した。全漏洩の35%がヒューマンエラーによるもので、漏洩の約4分の1はWebアプリケーション攻撃によるものだった。そのほとんどが、クラウドベースのメールにアクセスするのに盗まれた認証情報を悪用したものだった。
● 医療:この事業分野だけは、外部からの攻撃よりも内部によるもののほうがつねに上回っている(それぞれは42%と60%)。驚くことではないが、この業界では医療データの漏洩が18倍もある。内部行為者が絡んでいる場合、それは医師や看護師などの医療専門職であるケースが14倍となっている。
● 製造業:昨年度に続き今年度も、製造業における漏洩の主な理由となったのは金銭目的の攻撃がサイバースパイよりも多く、今年度はさらにその割合が増加した(68%)。
● 公共機関:今年度はサイバースパイが増加した。とはいえ、漏洩の47%近くは最初の攻撃から何年も経過してから発見された。
● 小売業: 2015年以降、店頭(PoS)での漏洩が10分の1に減少した一方で、ウェブアプリケーションからの漏洩は13倍に増加した。
業界別の内容がサマリーの最後にありました。日本では教育・医療・公共・小売(POS)はあまり被害が出ていませんが、今後は要注意かも知れません。
製造業は今年はトヨタもサプライチェーン攻撃を受けましたし、対象企業のすそ野も広いですので、欧米よりも日本が影響を受けるリスクは毎年高くなってきている様な気がします。
トヨタも狙われる - Fox on Security
もう少ししたら、日本版サマリーや日本版のフルレポートがベライゾンから出るかと思いますが、セキュリティ関係者は、是非継続的に見てみると良いかと思います。確かベライゾンは、DBIRのセミナーを毎年東京で開催していたかと思いますので、こうしたセミナーに参加されるのもお勧めです。
■日本人のためのパスワード2.0 ※JPAC様 ホームページ
7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。
更新履歴