ベライゾンが火曜日に発表する報告書によると、データ侵害の大部分は依然として金銭目的のサイバー犯罪者の攻撃によるものだが、サイバースパイ活動も相当数のデータ盗難事件の原因となっている。
Verizonの2013年データ漏洩調査報告書(DBIR)は、同社のリスクチームと、各国のコンピュータ緊急対応チーム(CERT)や法執行機関を含む世界18の組織が2012年に調査したデータ漏洩を網羅しています。この報告書は、47,000件を超えるセキュリティインシデントと、少なくとも4,400万件のレコードが侵害された621件の確認済みデータ漏洩に関する情報をまとめています。
本レポートは、これまでで最も多くの情報源を網羅していることに加え、ベライゾンにとって初めて、国家関連のサイバースパイ攻撃による侵害に関する情報を収録しています。この種の攻撃は知的財産を標的としており、本レポートで取り上げられたデータ侵害の20%を占めています。
中国を超えて
ベライゾン・リスクチームのシニアアナリスト、ジェイ・ジェイコブス氏によると、サイバースパイ攻撃の95%以上は中国から発信されたものだったという。同チームは攻撃者の特定に非常に力を入れ、侵入に使用された手法やマルウェアを既知の中国ハッカーグループに結び付ける様々な既知の指標を活用したという。
しかし、サイバースパイ攻撃が中国からのみ発生していると決めつけるのは甘すぎるとジェイコブス氏は述べた。「たまたま2012年に収集できたデータには、他のどの国よりも中国の攻撃者が多く反映されていただけです。」
アナリストによると、これらの攻撃のより興味深い点は、使用された戦術の種類と、標的となった組織の規模や業種だという。
ベライゾン「私たちのデータセットで見られるのは、通常、金銭目的の侵害です。そのため、標的となるのは通常、小売業、レストラン、食品サービス業、銀行、金融機関です」とジェイコブス氏は述べた。「スパイ活動の事例を調べてみると、これらの業界はリストの最下位に急降下し、製造業や専門サービス業、コンピューターやエンジニアリングのコンサルティング会社など、大量の知的財産を保有する組織が標的となることがほとんどでした。」
アナリストによると、サイバースパイ活動に関連した侵害を経験した大規模組織と小規模組織の数がほぼ半々だったことは驚くべき発見だったという。
「スパイ活動というと、大企業と彼らが保有する膨大な知的財産を思い浮かべるが、全く同じ戦術で標的にされた小規模組織も数多くあった」とジェイコブス氏は語った。
これらのスパイ集団による標的選定には、膨大な情報収集が関わっているとジェイコブス氏は述べた。「彼らが小規模な組織を選ぶのは、彼らが大規模な組織と提携関係にあるか、あるいは協力関係にあるためだと考えられます。」
サイバースパイ活動と比較すると、報告書で取り上げられているデータ侵害事件の 75 パーセントは金銭目的のサイバー犯罪によるもので、残りの 5 パーセントはハクティビストによるものであった。
パスワードに関する質問
この報告書で注目すべき発見の一つは、すべての脅威アクターが有効な認証情報を標的にしていることだ、とジェイコブス氏は述べた。5件の侵害のうち4件で、攻撃者は被害者のネットワーク上で存在感を維持するために有効な認証情報を盗んだとジェイコブス氏は述べた。
ジェイコブス氏は、これが一要素パスワード認証への広範な依存について疑問を投げかけるきっかけになることを期待していると述べた。「二要素認証に切り替え、パスワードへの依存を減らせば、こうした攻撃の件数は減少するだろう。あるいは少なくとも、攻撃者に(その手法の一部を変えさせるよう)強いるだろう」
データ侵害事件の 52 パーセントはハッキング技術、40 パーセントはマルウェアの使用、35 パーセントは ATM スキミングなどの物理的攻撃、29 パーセントはフィッシングなどのソーシャル戦術の使用に関連しています。
ベライゾンフィッシングに関連する侵害の件数は、2012 年には前年に比べて 4 倍に増加しましたが、これはおそらく、この手法が標的型スパイ活動でよく使用されていることによるものと考えられます。
過去 1 年間、モバイルの脅威に注目が集まっていたにもかかわらず、Verizon のレポートで取り上げられた侵害のうち、モバイル デバイスの使用に関連したものはごくわずかでした。
「今のところ、モバイルデバイスを悪用した侵害はほとんど見られません」とジェイコブス氏は述べた。「モバイルデバイスの安全性の低さを訴えるニュースが相次いでいる中、これは非常に興味深い発見ですが、直感に反する面もあります。モバイルデバイスが脆弱ではないというわけではありませんが、攻撃者にはデータを入手するためのより簡単な方法が既にあるのです。」
クラウド技術についても同様だとジェイコブス氏は述べた。クラウドでホストされているシステムに関連する侵害はいくつか発生しているものの、それらはクラウド技術を悪用した攻撃によるものではないと同氏は述べた。「サイトがSQLインジェクションに対して脆弱であれば、クラウド上であろうとローカルであろうと、どこにホストされているかは関係ありません。現在発生しているような侵害は、システムがクラウド上にあるかどうかに関係なく発生する可能性があります。」
Verizonのレポートには、企業が導入すべき20の重要なセキュリティ対策のリストが掲載されており、分析されたデータセットで特定された最も一般的な脅威行動に対応付けられています。ただし、各企業が各対策をどの程度導入すべきかは、企業が属する業界や、より危険にさらされる可能性のある攻撃の種類によって異なります。
