ベライゾン・ビジネスは米国時間6月6日、第16版となる「2023年度 データ漏洩/侵害調査報告書(DBIR)」を公開した。
同報告書では、16,312件のセキュリティインシデントを分析し、そのうち5,199件のデータ侵害を確認したとのこと。最も重要な点は、ランサムウェア(組織のデータを暗号化してアクセス復旧に高額を請求するマルウェア)による身代金額の高騰だとしている。
ランサムウェアは引き続き猛威を振るう
ランサムウェアインシデントにかかるコストの平均は、ここ2年で倍増し、損失が生じたインシデントの95%は、100万ドル~225万ドルの費用がかかっていることがわかったという。費用の上昇と同時にその頻度も急激に増加しており、2022年度版の報告書では「ランサムウェアの攻撃の件数は2021年比で13%増加し、たった1年で過去5年間の増加率合計と同程度を記録した」と解説。今年もこの流行は続いており、ランサムウェアはデータ侵害全体の4分の1近く(24%)を占め、依然サイバー攻撃の主要な手段となっているという。
人的要因によるデータ侵害がインシデントの大部分を占める
また、企業は重要なインフラストラクチャーを保護し、サイバーセキュリティのプロトコルに関するトレーニングを強化し続けているものの、依然として人的要因がインシデントの大部分を占めており、データ侵害全体の74%にあたるとのこと。人間の性質を巧みに利用する最も一般的な手法はソーシャルエンジニアリング攻撃で、フィッシングや、プリキャスティング(なりすまし)などの手法により組織の機密情報を操作し、ハッカーがユーザーに悪意のあるリンクや添付ファイルをクリックさせるとしている。
特に、社員になりすまして金銭的利益を得るビジネスメール詐欺(BEC)と呼ばれる攻撃手法の増加を考えると、ソーシャルエンジニアリングはランサムウェアと同様、サイバー犯罪者にとって収益性の高い手法であるといえるとのこと。米国インターネット犯罪苦情センター(IC3)のデータによれば、ビジネスメール詐欺による被害額の平均は、ここ数年で5万ドルにまで増加し、なりすましによる攻撃が、昨年の2倍以上になった可能性があるとしている。BECの増加にともない、従業員が各地に分散している企業は、セキュリティのベストプラクティスの作成と厳密な実施というさらに重要な課題に直面しているという。
2023年度DBIRにおけるその他のポイント
- スパイ活動がメディアの注目を集めているが、現在の地政学的状況により、スパイ目的の攻撃者はわずか3%にすぎない。残る97%は金銭的収益を目的としている
- Log4jの年間脆弱性スキャンの32%は、リリースから30日以内に発生。これは概念実証から大規模な悪用に至る攻撃者の速さを示している
- 外部の攻撃者は様々な手法を用いて組織内部に侵入している。認証情報の盗用(49%)、フィッシング(12%)、脆弱性の悪用(5%)など
【関連記事】
・キンドリル、セキュリティインシデントの調査と対応が可能なサービスを発表
・ウィズセキュアが新サービス提供、インシデントへの準備と対応をパッケージ化
・過去3年でセキュリティインシデントは前年比約1.5倍、マルウェアは約10倍に デジタルアーツが発表
