ベライゾン・エンタープライズソリューションズ グローバルセキュリティサービス / RISKチーム担当 マネージングディレクターのブライアン・サーティン氏

ベライゾンジャパンは6月28日、4月27日に発表した英語版「2016年データ漏洩/侵害調査報告書」の日本語版エグゼクティブサマリー(要約版)の公開を開始した。完全版の日本語版は7月に公開予定。

同報告書は、82カ国を対象としており、10万件以上のインシデント、2260件のデータ漏洩を分析したもの。ベライゾン・エンタープライズソリューションズ グローバルセキュリティサービス / RISKチーム担当 マネージングディレクターのブライアン・サーティン氏は「データの数が多くなってこそ、調査結果の信頼性が増す」として、同報告書には、同社に調査を依頼した顧客のデータ、70にわたるセキュリティ関連の機関から提供を受けたデータが含まれていることを明らかにした。

サーティン氏は、インシデントの被害に遭った企業・組織の業種・規模について「これまで金融・小売りが多かったが、傾向が変わった。今回は、公的機関が最も多かったほか、社会インフラを提供する企業の被害も増えた」と説明した。

被害に遭った企業・組織の業界別および規模別のセキュリティインシデント件数(2015年)

また、データ漏洩の89%は金銭もしくはスパイ活動を目的としたものだった。金銭目的が75%超、スパイ活動が15%弱と、金銭目的の攻撃のほうが多いが、サーティン氏は「ハクティビスト(ハッキングを使う活動家)が増えているとともに、ハクティビストによる攻撃は複雑化と高度化が進んでいる」と述べた。

サーティン氏は、今年の調査の注目点として、「成功したサイバー攻撃の85%は、よく知られた脆弱性の上位10件を悪用したもの」だったことを挙げた。2015年に行われた脆弱性を悪用した攻撃は700万件に上るが、悪用された脆弱性の数が最も多かったのは2007年に発見されたものだった。この結果から、同氏は「いかに企業でパッチ管理が行われていないかが明らかになった。パッチ管理は重要」と訴えた。

公開日別の2015年に悪用されたCVE件数

加えて、前年度から著しい増加が見られた分野の1つが「フィッシング」だったという。900件以上のデータ漏洩にフィッシングが関与しており、受信者がフィッシングメッセージを開く割合が2015年の23%から30%に上昇し、そのうち13%が悪質な添付ファイルを開くという結果が出ている。

昨年までのフィッシングは、サイバースパイ活動を目的とした攻撃においてのみ最大の攻撃パターンとなっていたのに対し、今年度は9つのインシデントパターンのうち、7つでフィッシングが最大の攻撃パターンとして用いられるようになっているという。

サーティン氏は、「フィッシングに対する啓蒙が高まっているにもかかわらず、30%の受信者がフィッシングメールを開封し、そのうち13%が添付ファイルをクリックしてしまっているという驚くべき状況」と語った。

フィッシング対策としては、啓蒙活動にITを活用したシンプルな対策を組み合わせると効果的だという。サーティン氏は、ITによる対策について「ある企業は受信ボックスで外部からのメールのタイトルにeを付加することで、外部からのメールを内部のメールの視認性を高めている。シンプルさが重要」と説明した。

受信後24時間以内に開封・クリックされたフィッシングメール件数とクリックされた開封メールの割合

さらに、サーティン氏は同社が過去11年間に分析した10万件以上のインシデント・データの95%は、9種類の基本パターンに当てはまると紹介した。 9種類のパターンとは、「クライムウェア」「サイバースパイ活動」「DoS活動」「内部者および特権保持者による不正使用」「人的ミス」「ペイメントカードスキミング」「物理的窃取および紛失」「PoSへの侵入」「Webアプリケーション攻撃」だ。

9つのインシジデントの分類パターン

2015年は、セキュリティインシデント全体においては人的ミスによるものが最も多かったが、セキュリティ侵害においてはWebアプリケーション攻撃によるものが最も多かった。

セキュリティインシデントにおけるインシデント分類パターンの発生頻度と推移

セキュリティ侵害におけるインシデント分類パターンの発生頻度と推移

ちなみに、業種によって、被害が多かったパターンが異なるという結果が出ており、これを活用することで、効果的に投資を行って対策を打つことが可能になる。

VERISインシジデントパターン一覧(2015年)