ベライゾンのデータ漏洩調査に関する最新の年次報告書によると、2013 年における IT セキュリティ上の主な脅威には、Web アプリケーション攻撃、サイバースパイ活動、POS 侵入などが含まれていた。
確認されたデータ漏洩件数で見ると、最も漏洩が多かったのは金融業界で、465件の漏洩が発生しました。一方、公共部門では175件、小売業界では148件、宿泊施設では137件の漏洩が発生しました。
侵害の大部分は金銭目的によるものでしたが、前年と比較すると全体の件数に占める割合は減少しています。一方、サイバースパイ活動に起因する侵害の件数は、ここ数年で増加傾向にあることが報告書で示されています。
ハッキング、マルウェア、ソーシャルエンジニアリングは、依然としてデータ侵害インシデントに関連する主要な脅威です。Verizonがハッキングに分類する盗難認証情報の利用は、2013年の主な脅威行為であり、422件の侵害につながりました。これに続き、マルウェアによるデータ窃取、フィッシング、RAMスクレーパーの使用、バックドアの使用が続きました。
同社の2014年データ侵害調査報告書は、確認済みのデータ侵害1,367件に加え、情報資産の完全性、機密性、または可用性を危険にさらしたセキュリティインシデント63,437件を網羅しています。法執行機関、コンピュータ緊急対応チーム(CERT)、業界団体、民間の情報セキュリティ企業など、世界50の組織が調査に協力し、95カ国の被害者を網羅しています。
(クリックすると拡大します。)
データによれば、組織が侵害を検出する速度はわずかに向上しただけである一方、攻撃者は標的を侵害する技術と速度を向上させていることがわかります。
「多くの攻撃者は、インターネット上で脆弱な被害者を探し出し、自動化された攻撃を仕掛けるだけです」と、ベライゾンのリスクチームの調査マネージャー、ポール・プラトリー氏は述べています。ネットワークが侵害されるまでには数秒から数分かかる場合が多いですが、組織がそれに気付くまでには非常に長い時間がかかり、数週間から数ヶ月、あるいは1年かかることもあるとプラトリー氏は言います。「私たちは、この状況にぜひ変化を見出したいと思っています。」
明るい材料としては、DBIRレポート史上初めて、組織自身によって発見されたデータ侵害の件数が、外部の不正検知システムによって発見された件数を上回ったことが挙げられます。また、このデータは、法執行機関やコンピュータセキュリティインシデント対応チーム(CSIRT)などの第三者機関が、侵害の発見と被害者への通知においてますます重要な役割を果たしていることも示しています。
ウェブ アプリケーション攻撃は、昨年確認されたデータ漏洩を伴うセキュリティ インシデントの主な原因であり (侵害の 35%)、主にイデオロギー的または金銭的な動機によって引き起こされました。
政治的または社会的な理由で行動するイデオロギー的な攻撃者や、楽しみのために行動するハッカーは、最も機密性の高いデータを探し出すよりも、プラットフォーム全体を侵害し、自らの目的のために利用することに関心を持っています。彼らは通常、Joomla、WordPress、Drupalなどのコンテンツ管理システムで構築されたウェブサイトを標的とし、これらのプラットフォームやアドオンの脆弱性を悪用します。
一方、金銭目的の攻撃者は、フィッシングやその他の認証情報窃盗の手法を使用してオンラインバンキングのアカウントを狙ったり、小売業者の Web サイトの SQL インジェクションやリモート ファイル インクルードなどの脆弱性を悪用して決済カード情報を盗んだりします。
レポートのデータによると、Webアプリケーション攻撃による侵害は通常、外部の関係者によって発見されます。金銭目的のWebアプリケーション侵害の場合、問題に最初に気づくのは通常顧客であり、被害組織のうち、内部でそのようなインシデントを発見したのはわずか9%でした。イデオロギー攻撃の場合、状況はさらに悪く、通知の99%は、被害者の侵害されたホストが他の攻撃に利用されていることに気づいた外部関係者からのものです。
(クリックして拡大)
サイバースパイ活動は、昨年確認されたデータ侵害の原因として2番目に多く、本レポートで取り上げられた全インシデントの22%を占めました。今年レポートに追加された新たな情報源により、データセットに含まれるサイバースパイ活動関連の侵害件数が増加した可能性があります。しかし、組織はこの種の攻撃に対する認識を高めており、サイバースパイ活動は間違いなく増加しており、これはVerizon自身の取扱件数にも反映されているとプラトリー氏は述べています。
サイバースパイ攻撃の大部分(87%)は国家関連組織によるものとされていますが、組織犯罪も関与しており、インシデントの11%を占めています。この種の侵害で最も多くみられた攻撃経路は、悪意のあるメールの添付ファイルと、標的が訪問した正規のウェブサイトを侵害した際に実行されるウェブベースのドライブバイダウンロードでした。
サイバースパイ活動に関連した侵害の最も多くの件数は、公共部門、製造部門、専門部門、技術分野で発生しており、これは、攻撃者が主に企業の内部データ、企業秘密、機密情報を盗むことを目的としていたためである。
サイバースパイ攻撃によって生じた侵害の 85% は、被害組織ではなく外部の当事者によって発見され、62% のケースでは侵害が数か月後に発見されました。
POS(販売時点情報管理)への侵入も重大な脅威であり、全侵害の14%を占めています。しかし、その件数は前年、特に2010年と2011年と比べると減少しています。
過去 5 か月間に Target やその他の小売店で、POS システムの侵害による大規模で広く報道された決済カード データの侵害が報告されましたが、このような事件は中小企業に長年にわたり影響を及ぼしてきました。
POS攻撃は金銭的な動機に基づいており、そのほとんどは東欧を拠点とする組織犯罪グループによるものだと、ベライゾンは報告書の中で述べている。「こうしたグループは非常に効率的に行動し、あなたのようなPOSを朝食に食べ、ウォッカで流し込むのです。」
報告書によると、リモート アクセス接続のブルート フォース攻撃と盗まれた認証情報の使用は、2013 年も POS 侵入の主なベクトルでしたが、昨年の興味深い展開は、RAM スクレイピング マルウェアの再出現でした。
RAM スクレーパーは、2009 年に 5 番目に多い脅威アクションでしたが、その後トップ 20 リストの最下位に落ち、昨年は 4 位に上昇しました。
RAM スクレイピング マルウェア プログラムは、POS 端末にインストールされると、情報が処理されて暗号化される前に、システムのランダム アクセス メモリ (RAM) 内の平文のトランザクション データを監視します。
2013年に発生したPOS関連データ侵害のほぼすべてのケースにおいて、第三者が被害組織に侵入を報告しており、法執行機関や外部の不正検知システムからの通知が主な発見要因となっています。つまり、組織がPOS侵害に気付くのは、攻撃者が盗んだデータを金銭目的で悪用し始めた後であることが多いのです。
ベライゾンのデータ漏洩調査報告書の最新版は、前年版と比べてより実践的な内容となっています。同社は、特定した9つの主要なインシデントパターン(POS侵入、Webアプリケーション攻撃、内部者による不正使用、物理的な盗難と紛失、その他のエラー、クライムウェア、カードスキマー、サービス拒否攻撃、サイバースパイ活動)それぞれについて、推奨されるセキュリティ対策を盛り込んでいます。これにより、様々な業種の組織が、直面する可能性が高い攻撃の種類に応じて、特定の防御策を優先順位付けすることが可能になります。
例えば、宿泊業や小売業の企業は、このレポートからPOSシステムへの侵入攻撃の標的となる可能性が高いことを認識し、その脅威に対する推奨対策に注力することができます。具体的には、POSシステムへのリモートアクセスを制限し、強力なパスワードポリシーを適用すること、POS端末でのWeb閲覧、メール、ソーシャルメディアの使用を禁止すること、POSシステムにウイルス対策プログラムをインストールすること、POS端末との間のネットワークトラフィックを監視すること、そしてPOSシステムにアクセスするサードパーティおよび社内ユーザーを認証するための二要素認証を使用することなどが挙げられます。
