Verizon マネージング プリンシパル-調査対応 アシシュ・ターパル氏

ベライゾンジャパンは8月1日、「2018年度ベライゾン漏洩/侵害調査報告書(略称:DBIR)」の日本語版エグゼクティブサマリー(要約版)を発表した。 同報告書は今年で11回目を迎え、65カ国67の企業・組織から情報が提供され、5万3308件のインシデント、2216件のデータ漏洩の調査結果をまとめたものとなっている。

Verizon マネージング プリンシパル-調査対応 アシシュ・ターパル氏は、同報告書の特徴について、「他社の報告書のように、ユーザーアンケートをまとめたものではなく、われわれは実際に発生したセキュリティ侵害の結果をまとめている」と語った。

ターパル氏は、脅威の傾向として、73%と「外部の人間による犯行」が圧倒的に多いが、2020年にオリンピック開催を控える日本としては、「組織的犯罪者集団による犯行」「国家または国家支援による犯行」を警戒し、対策を講じるべきだと指摘した。「国家レベルでオリンピック開催を妨害されるおそれがある」と同氏。」

  • 脅威と戦術 資料:2018年度ベライゾン漏洩/侵害調査報告書

  • データと資産 資料:2018年度ベライゾン漏洩/侵害調査報告書

昨年は、世界中で「WannaCry」と「Petya」と2種類のランサムウェアが大規模な被害をもたらしたが、同報告書でも、マルウェアによるインシデントにおいてランサムウェア最も多かった。2017年版DBIRの第5位から第1位に上昇した。ランサムウェアはユーザーデバイスを狙うケースが多いが、サーバを狙うものも増えてきているという。

  • マルウェアインシデントの内訳 資料:2018年度ベライゾン漏洩/侵害調査報告書

加えて、ターパル氏は注目すべきポイントとして「ソーシャルエンジニアリング」を挙げた。金融情報詐取やフィッシングは、ソーシャルなインシデントの98%、調査対象の侵害事象の93%を占めている。

これまで金融情報詐取の標的は財務部門が多かったが、今回、170のうち88のインシデントは、人事部門スタッフを意図的に狙ったもので、不正に還付申告するための個人データの詐取を目的としたものだった。

また、昨年のフィッシングのテストでは78%の人が引っかからなかったが、4%の人が何らかのフィッシングに引っかかったほか、ターパル氏は「4%の人は何度でも被害にあうということがわかった」と指摘した。

ターパル氏は、同報告書のポイントとして、不正侵入の成功から漏洩発覚までの期間を挙げた。不正侵入の87%は数分以内で達成されるにもかかわらず、漏洩の68%は発見までに数カ月要している。

この不正侵入の検出までの期間を短縮するには「スレットハンティングが重要」と、タ―バル氏は語った。スレットハンティングとは、企業であれば、社内のネットワークを分析して、導入済みのセキュリティ対策製品をすり抜けた脅威を検知するためのプロセスをいう。

同報告書では、「教育機関」「金融機関」「ヘルスケア」「情報産業」「製造業」「セキュリティプロバイダー」「公共機関」「流通・小売」と部門別の分析結果もまとめている。

ターパル氏は、部門別の調査結果において注目すべき点として、ヘルスケアが、外部からの脅威の数よりも内部からの脅威の数のほうが多い唯一の業界であることを挙げた。その要因としては、ヒューマンエラーがデータ漏洩の原因になっていることが大きく影響しているという。

また、日本に多い製造業においては、多くの場合、標的とされるのが、新たな製品に関する計画や研究開発の内容であり、データ漏洩のほぼ半数(47%)が、競争優位性の確保を目的とした知的財産の窃取に関係しているという。

同報告書は2017年のデータに基づいているが、ターパル氏は、2018年の傾向について「仮想通貨の不正マイニングが増加している。来年の報告書で詳細をお伝えできるだろう」と述べた。