Skyhigh Securityベライゾンの2024年データ侵害調査報告書から読み取れること

Rodman Ramezanian - Global Cloud Threat Lead、Skyhigh Security

2024年5月21日 4 分で読む

今年もこの季節がやってきた！絶賛されているベライゾンの「データ漏えい調査報告書（DBIR）」の最新版が発表され、刻々と変化する脅威の状況、最も重大な攻撃ベクトル、標的とされている業界に関する主要なハイライトと貴重な洞察が提供されました。情報セキュリティ業界の年次報告書とお考えください。

2024年版はこのレポートの17回目となり、進化するサイバー脅威環境についての認識で幕を開ける。昨年は特にサイバー犯罪が活発であった。ベライゾンは30,458件の実際のセキュリティ・インシデントを分析し、そのうち10,626件がデータ侵害と確認され、94カ国の被害者に影響を及ぼし、過去最高となった。

ベライゾンのDBIR最新レポートをまだお読みになっていない方は、主要な要点と興味深い洞察をご覧ください：

• ベライゾンは「人的要素」の分類を見直した：
• 以前は、人的要素には、フィッシング、ビジネスメールの漏洩、内部脅威など、人が関与するあらゆる活動が含まれていた。
• 現在、ベライゾンは特に悪意のない人的要素に焦点を当てている。
• 人的要素が関与するインシデントには、もはや意図的な悪意ある活動は含まれず、むしろソーシャル・エンジニアリング攻撃の犠牲になったり、ミスを犯したりする状況が含まれる。
• ベライゾンはまた、「ランサムウェア」の分類を調整した：
• ベライゾンは現在、ランサムウェアだけに焦点を当てるのではなく、ランサムウェアを同様の「恐喝」攻撃とグループ化している。
• 主な違いは、ランサムウェア攻撃では、加害者が被害者のデータを暗号化し、その解放のために身代金を要求するのに対し、恐喝攻撃では、加害者がデータを盗み出し、支払わなければ公開すると脅すことである。
• ランサムウェアのインシデントはわずかに減少しているが、恐喝攻撃は急増している。その類似性から、ベライゾンは現在、両者を同じ傘下に分類している。
• ジェネレーティブAIの不在は際立っている。
• ベライゾンは、サイバーセキュリティ業界ではジェネレーティブAIが話題となり、脅威行為者による使用の可能性が知られているにもかかわらず、現在のところ、それが重要な形で使用されていることを示唆する証拠はないと指摘している。
• 潜在的な攻撃側の最適化によって、インシデントレスポンスに差し迫ったブレークスルーや顕著な影響はないことを示唆している。ベライゾンは、実質的な変化がない限り、ジェネレーティブAIを重大な脅威とは見ていない。
• 侵害の32％がランサムウェアや恐喝に関与している。
• ランサムウェアのインシデントは、2022年に急増した後、横ばいになり、わずかに減少しているが、恐喝事件は急増し、この種の攻撃全体の大幅な増加につながっている。
• ランサムウェアと恐喝は、92％の業界で脅威のトップ3に入っており、金銭的な動機によるインシデントの62％に関与している。
• 侵害の68％は悪意のない人為的行為に関連している。
• 例えば、ソーシャル・エンジニアリング攻撃やITの設定ミスによって騙される従業員などである。
• これは昨年の74％からわずかに減少したことになる。ただし、昨年のデータから悪意のあるインシデントを除外した場合、その割合も68％程度になることに注意が必要だ。このように、人的要素を標的とした攻撃の割合は一貫して高いままである。
• ユーザーがフィッシング・メールに引っかかるまでの時間の中央値は60秒未満である。
• 最初にメールに引っかかった後、ユーザーは要求されたデータを入力するのに平均28秒しかかからない。
• 過去10年間、盗まれたクレデンシャルはすべての侵害の31%に関与してきた。今年は38％の侵害で見つかっている。

ソーシャル・エンジニアリングやエラー・ベースの攻撃と比較すると、ベーシック・ウェブ・アプリケーション攻撃は減少しているものの、依然として77％の攻撃で盗まれた認証情報が関与している。

何をすべきか？

人間は最も弱いリンクである」という格言は、まさにここに当てはまる。厳格なセキュリティ対策にもかかわらず、人間はソーシャル・エンジニアリングや、システムの設定ミス、脆弱なパスワード、悪意のあるリンクやソフトウェアを誤って使用するなどのエラーに対して脆弱なままである。また、認知バイアスも一役買っており、脅威の検知を過信し、攻撃リスクを過小評価することにつながっている。ベライゾンの最近の調査結果は、こうした継続的な脆弱性を浮き彫りにしている。

ゼロ・トラストの原則を採用することは、ヒューマンエラーや脆弱性に対処するために不可欠である。なぜなら、ゼロ・トラストは、すべてのユーザーとデバイスを継続的に検証し、本来信頼できる内部ユーザーへの依存を減らすからである。厳格なアクセス制御を実施し、人間のミスや悪意のある行動による潜在的な損害を制限し、疑わしい行動を迅速に検出して対応するための監視を強化することで、人間の行動に関連するリスクを軽減する。

これらの攻撃が人体に大きな影響を与えたことは言うまでもないが、対象期間中、間違いなく最大の被害者となったのは企業データである。データが暗号化され、恐喝者の手によって身代金を要求されたにせよ、フィッシング攻撃で失われたにせよ（その数は多い）、レガシーVPN技術が悪用されて盗まれたにせよ、データ損失はレポート全体を通して最も共通した要因の1つであった。

これは、セキュリティに対してデータ中心のアプローチをとることの重要性を改めて痛感させるものである。結局のところ、サイバーセキュリティは基本的にデータの問題である。フィッシング攻撃の主な標的である電子メールのベクトル、ますます多くのデータを保有するクラウド資産、企業環境に散在する内部データなど、データがどこに存在し、どこに移動しようとも、データを一貫して識別、分類、保護することが基本である。

Verizonの "Year in review "スナップショットを見ると、VPN製品が関係する著名な攻撃が何度か登場している。ベライゾン自身の言葉を引用すると、「インターネット上の攻撃対象領域を増やすものはすべて標的にされる可能性があり、外部の脅威行為者にとって最初の足がかりとなる可能性がある。

これもまた、業界やセキュリティのオピニオンリーダーたちが、ゼロ・トラストの原則を採用するよう働きかけ続けていることを裏付けている。以下はその理由である：

1. 想定される信頼：VPNは一度接続されると広範なネットワーク・アクセスを許可するが、ゼロ・トラストはユーザーの身元とアクセス権を継続的に検証する。
2. アクセス・コントロール：VPNは広範なアクセスを提供するため、最小特権を強制することが難しい。ゼロ・トラストでは、特定のリソースへのきめ細かなアクセスを保証します。
3. 静的なセキュリティ：VPNは静的な境界線に依存するため、分散したワークフォースやクラウドサービスにはあまり有効ではない。ゼロ・トラストは、場所に関係なく、各アクセス・リクエストを保護します。
4. 横方向への移動：VPNは、侵入された場合に横方向の移動を容易にする。Zero Trustはネットワークをセグメント化し、継続的に検証することで、侵入や攻撃者の動きを制限する。

結論

ベライゾンが毎年発表する「データ漏えい調査報告書」は、世界中のあらゆる規模の組織に蔓延している脅威、リスク、脆弱性に光を当て続けているため、常に歓迎されている。

組織がこうした洞察に耳を傾け、セキュリティ体制を強化することが常に期待されている。しかし、現実には、フィッシング、ソーシャル・エンジニアリング、横移動攻撃といった、より一般的で、繰り返し発生するテーマの多くが、非常に顕著な数で現れ続けている。

前述したように、私たちは、データがどこで使用され、どのようなデバイスで使用され、どのような接続とコラボレーションの手段で使用され、どのような場所から使用されるかにかかわらず、データの保護に重点を置くことによって、データ中心のセキュリティ・アプローチを取ることを徹底して推奨しています。データの保護を優先することは、ベライゾンの報告書で強調された脅威やリスクの多くを軽減する上で、最終的に組織をサポートすることになります。

ブログへ戻る