メインコンテンツへスキップ
ブログへ戻る 業界の視点

Skyhigh Security が読み解く Verizon 2024年 Data Breach Investigations Report の要点

Rodman Ramezanian 著 - Skyhigh Security グローバルクラウド脅威リード

2024年5月21日 4 分で読めます

今年もこの時期がやってきました!Verizon の高く評価されている Data Breach Investigations Report (DBIR) の最新版が公開され、絶えず変化する脅威の状況、最も重要な攻撃ベクトル、および標的となる業界について、主要なハイライトと貴重な洞察を提供しています。情報セキュリティ業界の年間成績表と考えることができます。

2024年版は、このレポートの17回目の発行となり、進化するサイバー脅威環境の認識から始まります。特に、昨年はサイバー犯罪が非常に活発でした。Verizon は30,458件の実際のセキュリティインシデントを分析し、そのうち10,626件がデータ侵害として確認されました。これは過去最高を記録し、94カ国の被害者に影響を与えました。

まだこの最新の Verizon DBIR レポートをご覧になっていない方のために、いくつかの 主要なポイントと興味深い洞察 をご紹介します。

  • Verizon は「ヒューマンエレメント」の分類を改訂しました。
    • 以前は、ヒューマンエレメントには、フィッシング、ビジネスメール詐欺、内部脅威など、人間が関与するあらゆる活動が含まれていました。
    • 現在、Verizon は特に悪意のないヒューマンエレメントに焦点を当てています。
    • ヒューマンエレメントが関与するインシデントには、意図的な悪意のある活動は含まれなくなり、むしろ、個人がソーシャルエンジニアリング攻撃の被害に遭ったり、誤りを犯したりする状況を指します。
  • Verizon はまた、「ランサムウェア」の分類を調整しました。
    • ランサムウェアのみに焦点を当てるのではなく、Verizon は現在、ランサムウェアを類似の「恐喝」攻撃とまとめています。
    • 主な違いは、ランサムウェア攻撃では、攻撃者が被害者のデータを暗号化し、その解除のために身代金を要求するのに対し、恐喝攻撃では、攻撃者がデータを盗み、支払いがなければ公開すると脅迫することです。
    • ランサムウェアのインシデントはわずかに減少しましたが、恐喝攻撃は急増しています。これらの類似性から、Verizon は現在、これらを同じカテゴリーに分類しています。
  • 生成AIは特に言及されていません。
    • Verizon は、サイバーセキュリティコミュニティ内で生成AIに関する話題が盛り上がり、脅威アクターによるその利用の可能性が広く知られているにもかかわらず、現在、それが何らかの重要な形で利用されていることを示唆する証拠はないと述べています。
    • これは、攻撃側の最適化の可能性から、インシデント対応に差し迫った画期的な進展や顕著な影響はないことを示唆しています。Verizon は、大幅な変更がない限り、生成AIを重大な脅威とは見なしていません。
  • 侵害の32%がランサムウェアまたは恐喝の手口に関与しています。
    • 2022年に急増したランサムウェア攻撃は横ばいとなりわずかに減少したものの、恐喝事件は急増しており、これらの種類の攻撃全体が大幅に増加しています。
    • ランサムウェアと恐喝は、92%の業界で上位3つの脅威行為の1つであり、金銭目的のインシデントの62%に関与しています。
  • 侵害の68%は、悪意のない人間の行動に関連しています。
    • 例としては、従業員がソーシャルエンジニアリング攻撃に騙されたり、IT設定ミスが発生したりすることが挙げられます。
    • これは昨年の74%からわずかな減少を示しています。しかし、昨年のデータから悪意のあるインシデントを除外した場合、その割合も約68%であったことに留意することが重要です。したがって、人間要素を標的とする攻撃の割合は一貫して高いままです。
  • ユーザーがフィッシングメールに引っかかるまでにかかる時間の中央値は60秒未満です。
    • 最初にメールに引っかかった後、ユーザーは要求されたデータを入力するのに平均わずか28秒しかかかりません。
  • 過去10年間で、盗まれた認証情報は全侵害の31%に関与していました。今年は、侵害の38%で発見されています。

ソーシャルエンジニアリングやエラーベースの攻撃と比較して基本的なWebアプリケーション攻撃は減少したものの、盗まれた認証情報は依然として攻撃の77%に関与しています。

何をすべきでしょうか?

「人間は最も弱いリンクである」という言葉がここでは当てはまります。厳格なセキュリティ対策にもかかわらず、人間はシステム設定ミス、脆弱なパスワード、悪意のあるリンクやソフトウェアの誤用といったソーシャルエンジニアリングやエラーに対して脆弱なままです。認知バイアスも役割を果たし、脅威検出への過信や攻撃リスクの過小評価につながります。Verizonの最近の調査結果は、これらの継続的な脆弱性を浮き彫りにしています。

ゼロトラストの原則を採用することは、人間のエラーや脆弱性に対処するために不可欠です。これは、すべてのユーザーとデバイスを継続的に検証し、内部ユーザーを本質的に信頼することへの依存を減らすためです。ゼロトラストは厳格なアクセス制御を強制し、人間のミスや悪意のある行動による潜在的な損害を制限し、監視を強化して疑わしい活動を迅速に検出し対応することで、人間の行動に関連するリスクを軽減します。

これらの攻撃が人間に大きな影響を与えたことは言うまでもありませんが、対象期間において、企業データが間違いなく最大の被害者でした。データが恐喝犯によって暗号化され身代金として保持されたか、多数発生したフィッシング攻撃で失われたか、あるいはレガシーVPNテクノロジーが悪用されたために盗まれたかにかかわらず、データ損失はレポート全体を通じて最も一般的な共通点の1つでした。

これは、セキュリティに対するデータ中心のアプローチの重要性を改めて強く認識させるものです。結局のところ、サイバーセキュリティは根本的にデータの問題です。フィッシング攻撃で主に標的となるメールベクトル、ますます多くのデータを保持するクラウド資産、そして企業環境全体に分散する内部データにおいて、データがどこに存在し、どこへ移動しても一貫して識別、分類、保護されることが不可欠です。

Verizonの「Year in review」スナップショットを見ると、VPN製品が関与する注目度の高い攻撃が何度か登場しました。Verizon自身の言葉を引用すると、「インターネット上の攻撃対象領域を増やすものはすべて標的となり、外部の脅威アクターにとって最初の足がかりとなる可能性があります。そのため、足がかりを最小限に抑えることに焦点を当てるべきです。」

これは、業界およびセキュリティのソートリーダーからのゼロトラストの原則を採用するという継続的な推進を改めて強化するものです。その理由をいくつかご紹介します。

  1. 信頼の前提:VPNは一度接続すると広範なネットワークアクセスを許可しますが、ゼロトラストはユーザーのIDとアクセス権を継続的に検証します。
  2. アクセス制御:VPNは広範なアクセスを提供するため、最小権限の原則を適用することが困難です。ゼロトラストは、特定の資源への厳格で詳細なアクセスを保証します。
  3. 静的なセキュリティ:VPNは静的な境界に依存するため、分散した従業員やクラウドサービスには効果が低いです。ゼロトラストは、場所に関係なく各アクセス要求を保護します。
  4. ラテラルムーブメント:VPNは侵害された場合、より容易なラテラルムーブメントを許します。ゼロトラストはネットワークをセグメント化し、継続的に検証することで、侵害と攻撃者の移動を制限します。

結論

Verizonの年次データ侵害調査報告書は、世界中のあらゆる規模の組織を悩ませ続けている、世界的に蔓延する脅威、リスク、脆弱性に光を当て続けているため、常に歓迎されます。

組織がこれらの洞察に注意を払い、セキュリティ体制を強化することを常に期待しています。しかし、現実は、フィッシング、ソーシャルエンジニアリング、ラテラルムーブメント攻撃といった、より一般的で繰り返される多くのテーマが、かなり驚くべき量で出現し続けていることです。

前述のとおり、私たちはセキュリティに対するデータ中心のアプローチを強く推奨します。これは、データがどこで使用されようと、どのデバイスによって、どのような接続手段やコラボレーションを通じて、どの場所からでも、データの保護に焦点を当てることを意味します。データの保護を優先することは、最終的にVerizonの報告書で強調されている多くの脅威やリスクを軽減する上で組織を支援することになるでしょう。

ブログへ戻る

トレンドブログ

業界の視点

Skyhigh Security 、2026年におけるIRAP評価を「PROTECTED」レベルでSkyhigh Security

サラン・ワルドカー、スチュアート・ベイリス 2026年5月21日

業界の視点

AI Tools Created a Security Gap Your Network Cannot See. Browser Controls Close it.

サラン・ワルドカル 2026年5月19日

業界の視点

現代企業の分断化への対応:データホスティングのジレンマ

ステ・ナディン 2026年5月14日