シマンテックは4月16日、「インターネット脅威レポート 第19号」(以下、ISTR)を発表した(米法人のWebサイトからダウンロードできる)。ISTRは、2013年の1年間を通じたセキュリティ上の脅威をまとめたレポートだ。同日に開催された記者説明会の内容から、個人ユーザーに影響の高い「データ侵害」と「ランサムウェア」、「モバイル&ソーシャル」に関してお伝えする

ISTRのハイライトを紹介したのは、シマンテック セキュリティレスポンス シニアマネージャーの浜田譲治氏。アプリケーション解析が専門分野だ(写真左)。2013年のインターネット脅威。データ侵害の脅威が重大なトピック(写真右)

一大トピックは「大規模なデータ侵害」

今回のISTRでトップハイライトとなるのは、大規模なデータ侵害事例だ。2013年は、8件の大規模データ侵害(1,000万件以上の個人情報漏えい)を含む、合計253件のデータ侵害事例が確認された。件数、規模ともに、過去最悪の年だったという。

グラフを見ると、データ侵害によって漏えいした個人情報の数が、10月から急増。原因として、外部からの攻撃以外にも、人的ミスやストレージの盗難紛失で90%を占めている。個人情報漏えい数で見ると、小売り・コンピューターソフト・金融機関で全体の77%を占めた。

データ侵害件数、大規模侵害事例数の両方で最悪の年だった2013年。この表からは、10月以降に漏えい件数が大きく増えたのが分かる。具体的な事例については説明がなかったが、Adobe社(9月)やTarget(11月)の侵害事例は共に1億件(個人情報)を超えており、日本ではYahoo! JAPANの大規模なアカウント情報流出(4月)がある。ちなみに今年(2014年)は、韓国で1,000万件以上の大規模な情報漏えい問題が頻発(クレジットカード会社、医療機関、電話会社、情報サービス)している

データ侵害のトップは外部からの攻撃だが、人的ミスや紛失盗難も多い

産業別に見ると医療・教育関係が多いが、これは公開義務の関係と思われる。個人情報漏えい件数では、小売り、ソフト、金融で全体の77%を占める。漏えいした情報を見ると名前と生年月日がトップだ