ベライゾンジャパンは7月12日、「DBIR(Data Breach Investigations Report)」の2023年版を基に、同社が注目するサイバー攻撃の動向を紹介するメディア向けのオンライン説明会を開催した。

DBIRは、米ベライゾンが2008年から毎年発行しているグローバルなデータ漏えい/侵害の動向を分析した調査報告書となる。2023年版は同年6月に発行され、81カ国・1万6312件のインシデントが分析対象となった。そのうち、データ漏えい/侵害の件数は5199件に上る。なお、分析対象は2022年の1年間に同社が収集したインシデントのデータとなる。

説明会では、データ漏えい/侵害の原因と傾向、ランサムウェアやビジネスメール詐欺(BEC)などの動向とともに、日本企業のサイバーセキュリティ対策の課題が解説された。

  • 「2023年度データ漏えい・侵害調査報告書(DBIR)」のサマリー

    「2023年度データ漏えい・侵害調査報告書(DBIR)」のサマリー

サイバー攻撃への生成AI活用は準備段階にある

2023年版のDBIRによれば、データ漏えい/侵害全体の74%は人的ミス、特権の悪用、認証情報の盗用、ソーシャルエンジニアリングなど、人的要素が関わっていたものだったという。また、83%は外部からの攻撃によるもので、攻撃の主な動機は昨年版のDBIRに続いて金銭目的が多く、95%を占めた。

データ漏えい/侵害の最大の要因はシステム侵入(2700件)で、ソーシャルエンジニアリング(1696件)、基本的なWebアプリケーションへの攻撃(1287件)が続く。

  • データ漏えい/侵害の経時的変化、出所:米ベライゾン

    データ漏えい/侵害の経時的変化、出所:米ベライゾン

システム侵入は、その80%にランサムウェアが関係しているという。過去数年にわたってランサムウェアの件数は上昇を続けてきたが、2022年には横ばいになったことが今回の調査でわかった。

米ベライゾン Threat Research Advisory Center 共同設立者のクリス・ノバック氏は、「ランサムウェアの開発などを行う技術的な人材が不足し、攻撃におけるイノベーションが飽和状態になっていることが理由として挙げられる。だが、多くの業界でランサムウェアが攻撃方法の上位3位に入っており、業界を問わず共通化されたサイバー攻撃と言えることから用心を続ける必要がある」と述べた。

  • 米ベライゾン Threat Research Advisory Center 共同設立者 クリス・ノバック氏

    米ベライゾン Threat Research Advisory Center 共同設立者 クリス・ノバック氏

ソーシャルエンジニアリングの50%以上はビジネスメール詐欺によるもので、昨年の調査と比べて倍に増えたという。攻撃の大半は「なりすまし(プリテキスティング)」で、巧妙に作ったシナリオを基に情報を提供させたり、データ漏えいにつながる恐れのある行為を実行させたりする。

基本的なWebアプリケーションへの攻撃の86%は、認証情報の盗用によるものだ。原因としては多要素認証を利用していないことに加え、複数のアカウント認証に共通のメールアドレスとパスワードの組み合わせが使用されることが多く、1度のサイバー攻撃で情報が漏えいし、被害が拡大するケースも少なくない。

  • ソーシャルエンジニアリングの50%以上はビジネスメール詐欺

    ソーシャルエンジニアリングの50%以上はビジネスメール詐欺

話題は生成AIにも及んだ。従来のような翻訳ツールを使用していた攻撃に比べて、生成AIを利用すれば人が違和感を覚えない詐欺メールを多言語で作れてしまうため、引き続き動向を注視する必要がある。

「生成AIを利用したサイバー攻撃は準備段階にあると言える。生成AIを利用した攻撃を行うとなるとツールを作り変える必要があるし、ビジネスプロセスの変更も発生するため、実行まではまだ時間がかかるだろう」とノバック氏は予想した。

海外現地法人任せにしている日本企業のセキュリティ対策

説明会では、中小企業(従業員数1000人以下)の調査結果とともに、日本におけるサイバー攻撃の動向も解説された。

今回の調査において中小企業のインシデント件数は699件で、データ漏えい/侵害は381件だった。大企業と同様に、データ漏えい/侵害の原因の上位にはシステム侵入、ソーシャルエンジニアリング、基本的なWebアプリケーションへの攻撃が挙がり、発生したインシデント全体の9割を占めた。攻撃者の動機は金銭目的が98%で、他社によるスパイ行為や、恨みなどの個人的な感情によるものも比率は少ないが確認されたという。

ベライゾンジャパン ソリューションズエグゼクティブセキュリティーの森・マーク氏は、「発生したインシデント数に対して、データ漏えいが半数も確認されている点が中小企業の特徴だ。大企業に比べて、中小企業ではサイバー攻撃を受けた際の対処法が確立していないからだろう」と推察する。

  • ベライゾンジャパン ソリューションズエグゼクティブセキュリティー 森・マーク氏

    ベライゾンジャパン ソリューションズエグゼクティブセキュリティー 森・マーク氏

中小企業へのサイバー攻撃対策として、森氏は米CIS(Center for Internet Security)が、組織内で最低限行うべきセキュリティ対策として推奨するCIS Controlsの実践を推奨する。中小企業向けに推奨する項目は、「セキュリティ意識向上スキルのトレーニング」「データ復旧」「アクセス制御管理」「インシデントレスポンスと管理」「アプリケーションソフトウェアのセキュリティ」「ペネトレーションテスト」が挙がった。

また、日本におけるサイバー攻撃の動向については、ランサムウェアの感染が国内だけでなく、海外拠点や支社でも起こっている点が特徴的だという。米ベライゾンが日本の顧客企業を調査したところ、セキュリティマインドが浸透しておらず、トレーニングも行われていない事例が少なくなかったそうだ。

  • 2022年に特徴的だった日本のサイバー攻撃動向

    2022年に特徴的だった日本のサイバー攻撃動向

「日本企業では、ネットワークやセキュリティの運用を現地法人に任せてしまっている点が問題だ。現地にはセキュリティの専任担当者がいないため、運用がベンダー任せになっていることが多い。本社で方針が固められていても、海外法人がその方針に沿っていない実態がある」と森氏は警鐘を鳴らした。

加えて、今回の調査によれば、ファイヤーウォールを一度設置するだけでフォローアップがないなど、日本企業はテクノロジー頼みのセキュリティ対策になっている傾向があるという。

併せて森氏は、「本来であれば人・プロセス・テクノロジーの順番でセキュリティ対策を実施するものだが、逆になってしまっている。当社が調査した企業では、フィッシングメールが届いても、IT部門に共有されず、エンドユーザーが消して隠してしまうといったような行動も見られた。どういうリスクがあるか知らずに、ビジネス詐欺メールに引っかかってしまうケースも珍しくない」としてセキュリティトレーニングの重要性を訴えた。