「おなじみの攻撃」増加中:フィッシング、関係者による不正使用、マルウェア

    本ページは英語ドキュメントを翻訳したものです。

     


     

    Verizon 社がデータ漏洩の実情を公表 

    サイバーセキュリティ月間を締めくくるにあたり、Verizon 社の最新の『Data Breach Investigations Report(データ漏洩調査レポート)』 [英語] を取り上げます。この全 70 ページにわたる年次レポートでは、一般的なサイバー脅威のパターンや各種のデータ漏洩を広範囲にわたって詳細に分析しています。レポートのダウンロード ページでは、3 分間の要約ビデオ、データ漏洩に関する一般的な FAQ に答える短い SlideShare プレゼンテーション(1 時間 20 分のウェビナーにリンク)、見やすいインフォグラフィックなどの関連資料も多くあります。皆様の関心がある分野や学習スタイルに関する情報も見つかるはずです。

    レポートの最大のテーマは、サイバーセキュリティが IT 部門だけの問題からビジネス全体における必須条件に変わったということです。ご存知の通り、セキュリティが破られると、顧客の信頼を損ない収益にも影響を与える可能性があります。


    データ漏洩調査レポートのキーポイント

    Verizon のレポートに掲載された、不安をかき立てる統計情報を次に示します。

    • データ漏洩のコストは、最も少ない場合は、1 レコードにつき 9 ¢ ドルで済むこともありますが、最高で 254 ドル、平均で58 ¢ ドル必要です。一部の大規模な企業や組織では 1 億件もの膨大なレコードが存在する場合もあることに留意してください。
    • 注意すべき点として、企業が漏洩を検出するまでの時間が長期化する傾向にあります。Verizon 社の調査では、全体の 4 分の 1 では攻撃に気づくまでに数日を要しており、なかには数か月かかった事例すらあります。
    • 2014 年には 7 百万件のセキュリティ上の脆弱性が存在していましたが、幸いなことに、すべてのインシデントのうち 97 % は、わずか 10 個の主な脆弱性によるものでした。
    • 脆弱性のほとんどはごく最近発生したものと思われているかもしれませんが、Verizon 社の調査結果によると、それは見当違いです。脆弱性の大多数は2007 年から存在しており、すでに 7、8 年以上も経過しています。問題なのは、これら古い脆弱性に対処するパッチが何年も前から存在しているにもかかわらず、企業がそれをまだ適用していないことです。Verizon が調査したデータ漏洩の中には、パッチによる解決策が1999 年から存在していた事例すらあります。
    • 脅威は数百万種類も存在しますが、『Data Breach Investigations Report(データ漏洩調査レポート)』では、それらを企業が対処すべき 9 つの主要カテゴリに大分しています。
      1. クライムウェア
      2. サイバー スパイ
      3. サービス妨害攻撃
      4. 関係者による不正使用および権限の悪用
      5. さまざまなエラー
      6. クレジット カード スキマー
      7. 物理的な窃盗、紛失
      8. POS 侵入
      9. Web アプリケーション攻撃
    • 上記 9 つのカテゴリのうち 4 つ(「クライムウェア」、「関係者による不正使用および権限の悪用」、「さまざまなエラー」、「物理的な窃盗、紛失」)が漏洩全体の 90 % を占めています。また、この 4 つすべてに人的エラーや不正使用が関わっています。
    • ただし一般的な予想とは違い、現時点ではモバイル デバイスはマルウェア侵害の大きな発生源となっていません。マルウェアによるモバイル デバイスの被害の事例は、毎年 0.03 % 未満です。
    • 多くのユーザは、いまだにフィッシング攻撃の被害にあっています。23 % のユーザがフィッシング電子メールを開封し、11 % がフィッシング メールの添付ファイルを開いています。また、フィッシングの手口はさらに巧妙化しており、組織内のすべてのシステムに影響を与えるマルウェアもフィッシング メールを通して配信されています。

    Internet of Things が話題に取り上げられ、それに伴う潜在的なセキュリティ脅威に関する懸念も広がっていますが、当面の中心課題は、Verizon 社が「おなじみの攻撃」と呼ぶ 3 つの攻撃(フィッシング攻撃、資格情報の不正使用、新しいタイプのマルウェア)です。

    サイバーセキュリティやリスク管理については、知識が武器になります。ですから、ぜひ『Data Breach Investigations Report(データ漏洩調査レポート)』[英語] をダウンロードしてお読みください。企業や組織のサイバー犯罪対策に関心がある場合は、特にお勧めです。セキュリティやサイバーセキュリティに関するトレーニングの受講を希望される方には、シスコがサポートします。

    また、日常業務の中で非常に大規模なセキュリティ脅威を発見した方は、以下のコメント欄に書き込んでお知らせください。

     

    最新の IT 業界のニュースとシスコだけの教育サービスをご確認ください。今すぐ登録

     

    gary48a.jpg

    Gary Pfitzer は Learning@Cisco のコンテンツ マネージャです。ビジネス誌、ブログ、お客様成功事例、その他の執筆を通じて、今日の IT の変遷に関する様々な側面に光を当てることに取り組んでいます。

     

     

     

    CLNBanner