SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2024 春の陣

2024年3月13日(水)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZineニュース

ソーシャルエンジニアリング攻撃の頻度が飛躍的に増加か──ベライゾン・ビジネス調査

 ベライゾン・ビジネスは米国時間6月6日、第16版となる「2023年度 データ漏洩/侵害調査報告書(DBIR)」を公開した。

 同報告書では、16,312件のセキュリティインシデントを分析し、そのうち5,199件のデータ侵害を確認したとのこと。最も重要な点は、ランサムウェア(組織のデータを暗号化してアクセス復旧に高額を請求するマルウェア)による身代金額の高騰だとしている。

ランサムウェアは引き続き猛威を振るう

 ランサムウェアインシデントにかかるコストの平均は、ここ2年で倍増し、損失が生じたインシデントの95%は、100万ドル~225万ドルの費用がかかっていることがわかったという。費用の上昇と同時にその頻度も急激に増加しており、2022年度版の報告書では「ランサムウェアの攻撃の件数は2021年比で13%増加し、たった1年で過去5年間の増加率合計と同程度を記録した」と解説。今年もこの流行は続いており、ランサムウェアはデータ侵害全体の4分の1近く(24%)を占め、依然サイバー攻撃の主要な手段となっているという。

人的要因によるデータ侵害がインシデントの大部分を占める

 また、企業は重要なインフラストラクチャーを保護し、サイバーセキュリティのプロトコルに関するトレーニングを強化し続けているものの、依然として人的要因がインシデントの大部分を占めており、データ侵害全体の74%にあたるとのこと。人間の性質を巧みに利用する最も一般的な手法はソーシャルエンジニアリング攻撃で、フィッシングや、プリキャスティング(なりすまし)などの手法により組織の機密情報を操作し、ハッカーがユーザーに悪意のあるリンクや添付ファイルをクリックさせるとしている。

 特に、社員になりすまして金銭的利益を得るビジネスメール詐欺(BEC)と呼ばれる攻撃手法の増加を考えると、ソーシャルエンジニアリングはランサムウェアと同様、サイバー犯罪者にとって収益性の高い手法であるといえるとのこと。米国インターネット犯罪苦情センター(IC3)のデータによれば、ビジネスメール詐欺による被害額の平均は、ここ数年で5万ドルにまで増加し、なりすましによる攻撃が、昨年の2倍以上になった可能性があるとしている。BECの増加にともない、従業員が各地に分散している企業は、セキュリティのベストプラクティスの作成と厳密な実施というさらに重要な課題に直面しているという。

2023年度DBIRにおけるその他のポイント
  • スパイ活動がメディアの注目を集めているが、現在の地政学的状況により、スパイ目的の攻撃者はわずか3%にすぎない。残る97%は金銭的収益を目的としている
  • Log4jの年間脆弱性スキャンの32%は、リリースから30日以内に発生。これは概念実証から大規模な悪用に至る攻撃者の速さを示している
  • 外部の攻撃者は様々な手法を用いて組織内部に侵入している。認証情報の盗用(49%)、フィッシング(12%)、脆弱性の悪用(5%)など

【関連記事】
キンドリル、セキュリティインシデントの調査と対応が可能なサービスを発表
ウィズセキュアが新サービス提供、インシデントへの準備と対応をパッケージ化
過去3年でセキュリティインシデントは前年比約1.5倍、マルウェアは約10倍に デジタルアーツが発表

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
関連リンク
この記事の著者

EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/news/detail/17874 2023/06/12 15:40

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2024年3月13日(水)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング