ベライゾンジャパン(ベライゾン)は6月10日、4月15日に発表した英語版「2015年度データ漏洩/侵害調査報告書DBIR)」の日本語版エグゼクティブサマリー(要約版)を公開した。

報告書によると、サイバー攻撃の洗練度は向上しているものの、サイバー攻撃の大半(70パーセント)はフィッシングやハッキングなどの旧来の手法を組み合わせて二次的被害者を関与させ、複雑な侵害を行っているという。特に、既存の脆弱性の多くが対策のないまま残されていることを問題点として指摘。これは主に、長期間にわたって利用可能なセキュリティパッチが一度も実装されていないためとしている。

インシデント分類パターン別のデータ漏洩/侵害発生頻度

また、一般的にモバイルの脅威は誇張されていると指摘。すべてのモバイルプラットフォーム全体でセキュリティの脆弱性が悪用された総件数は少数にとどまる。

2014年版の報告書では、マシンツーマシン(M2M)のセキュリティ侵害は取り上げなかったが、2015年版では、システム侵害の入り口として、ネット接続デバイスが使用されたインシデントと、DoS攻撃のためにボットネットにIoTデバイスが組み込まれたことについても分析している。

同社のセキュリティアナリストは、約200件のサイバー損害賠償保険金の実際の請求金額情報に基づき、セキュリティ侵害の被害額を計測する新しい評価モデルを使用。このモデルは、漏洩したデータのタイプと総数によって影響度を評価し、窃取されたデータ(クレジットカード番号、医療記録など)の被害額の範囲を示したものだ。この評価モデルでは、1000万件の記録に関連する侵害のコストは210万-520万ドル、状況によっては7390万ドルに達すると予測している。

2014年のDBIRで特定された9種類の脅威パターンは、誤った相手へのメールの送信などの人的ミス、クライムウェア、内部者および特権保持者による不正使用、物理的窃取および紛失、Webアプリケーション攻撃、DoS攻撃、国家スパイ活動、POSへの侵入、ペイメントカードスキミングだった。今年の報告書は、業界別のセキュリティインシデントの83パーセントに上位3種類の脅威パターンが関連していたことを示しており、これは、2014年の数値より上昇している。