本ブログは、英語版ブログ「https://www.proofpoint.com/us/security-awareness/post/verizons-2019-dbir-phishing-top-threat-action」の翻訳です。
米Verizonが、2019年のデータ侵害調査レポート(DBIR:Data Breach Investigations Report)を発表しました。これは世界の組織に影響を与える実際のセキュリティイベントに関する年次分析で、Proofpoint Security Awareness Trainingを含む73の協力団体からのデータを利用しています。41,686件のセキュリティインシデントが分析され、そのうち2,013件でデータ侵害が確認されています。*
フィッシングは侵害における最大の脅威
2019年のDBIRは、昨年同様ソーシャルエンジニアリングとフィッシング攻撃が広く活用されていることを示しており、サイバーセキュリティにおける人を中心としたアプローチの必要性が浮き彫りになっています。フィッシングは最大の脅威であり、確認された侵害の32%、そしてサイバースパイ行為の78%に関与していました。
また、侵害の28%にマルウェア感染が関与しており、29%のケースで盗まれたクレデンシャルが使われたことも、注目に値します。どちらもフィッシング攻撃で頻繁に使われる手法です。
プリテキスティング(なりすまし)は、フィッシングに続いて2番目に多いソーシャルエンジニアリング手法で、特に電話で使われることが多く、会話の中から情報を盗み出します。攻撃者は財務または人事部門の従業員を標的とするためにプリテキスティングを使用することが多く、ビジネスメール詐欺(BEC)攻撃の一環として役員になりすますこともあります。
攻撃者はさまざまな業界のエンドユーザーを狙っている
データ侵害はあらゆる業界の組織にリスクをもたらしますが、業界によっては特定の種類の攻撃を受けやすいという結果が出ています。そのためDBIRは、脅威アクターとその動機、戦術、および攻撃パターンがさまざまな業界にどのように影響しているのかを分析しています。以下のポイントは、セキュリティ意識向上トレーニングを通じてエンドユーザーのリスクを軽減することの重要性を示しています:
- 教育 - 教育業界における侵害の多くは「セキュリティハイジーン(衛生状態)の悪さと細部への気配りの欠如」によるものであり、セキュリティ意識向上トレーニングが有効であることを示唆しています。この業界ではしばしば、クラウドベースの電子メールサービスが侵害されており、その際の主な経路は偽のログインページに誘導するフィッシングリンクです。
- 金融 - 金融業界における主要な脅威はフィッシングであり、攻撃者はソーシャルエンジニアリングを使ってユーザーを騙してWebベース電子メールのクレデンシャルを盗み出します。DBIRは、フィッシングから身を守るためのセキュリティ意識向上トレーニングを推奨することに加えて、金融機関が顧客にサイバーセキュリティのベストプラクティスについて啓蒙することを推奨しています。
- ヘルスケア - この業界では、悪意のあるものでも意図的でないものでも、インサイダーの脅威が最大の侵害リスクをもたらします。ひとつの大きな原因はヒューマンエラーによる誤送信で、従業員が機密情報や文書を間違った受信者に送信してしまうことです。クレデンシャル侵害もまた、クレデンシャルを狙った数多くのフィッシング攻撃によってヘルスケア機関を悩ませています。
- 製造業 - この業界への侵害のほとんどは経済的動機(68%)に起因するものですが、サイバースパイ(27%)も他の業界よりも多くなっています。侵害の多くはフィッシングやプリテキスティングで始まり、競合上の情報を失う結果になります。
- プロフェッショナルサービス - この業界を狙う主な攻撃は、フィッシング、クレデンシャルの盗用、ビジネスメール詐欺(BEC)です。詐欺的な取引の約80%でプリテキスティングが使われています。
- 行政 - この業界を狙う主な動機はサイバースパイ活動です。2017年には侵害の25%でしたが、2018年には42%に増加しました。これらの攻撃は、悪意のある添付ファイルを含むフィッシングメールを介して配信されるマルウェアから始まります。
組織は人中心のセキュリティアプローチをとるべきです
サイバー犯罪者は、技術的な脆弱性ではなく人々を標的にしています。組織はサイバーセキュリティに対する視野を拡大し、人中心のアプローチをとるべきです。DBIRは、侵害を防止するための多くの推奨事項を提供しており、そのうちのいくつかには、エンドユーザーの教育が含まれています:
- 従業員に繰り返しセキュリティトレーニングを実施することで、「攻撃に巻き込まれる可能性を減らすことができます。」
- あらゆる場所に2要素認証を実装します:「顧客向けアプリケーション、リモートアクセス、クラウドベースの電子メールで強力な認証を使用します。」
- フィッシングに気づいた場合に報告して貰うために、できれば報酬を用意して「早期報告者を優遇する」ことで精度を改善します。迅速に対応することで脅威が企業ネットワーク内で活動する時間を短縮し、より多くの人がフィッシングメールをクリックしてしまうのを防ぐことができます。
これらの推奨事項は、多くの情報セキュリティの専門家にとっては既知のことでしょうが、知られていることとそれらが効果的に適用されているかどうかは別問題です。Verizonのセキュリティプロフェッショナルサービス担当エグゼクティブディレクタであるBryan Sartin氏は、次のように述べています。「基本的なセキュリティ対策と常識を持つだけで、サイバー犯罪を阻止できることも多いのです。」
* Verizonはセキュリティインシデントとセキュリティ侵害を明確に区別しています。インシデントは「情報資産の完全性、機密性や可用性を損なうセキュリティイベント」を指し、侵害は「不正なグループへのデータ流出が(疑われるだけでは無く)確認されたインシデント」のことです。