2018 年度データ漏洩 侵害調査報告書 · ランサムウェアに警戒...
TRANSCRIPT
40%
20%
60%
40%
60%
80%
20%
60%
80%
40% 40%
20%
60%
80%
2013 2014 2015 2016
金銭目的
スパイ活動
愉快犯的イデオロギー
怨恨自己都合 その他
組織のセキュリティには、一人ひとりの役割が重要になります。データ漏洩の問題はセキュリティのプロフェッショナルだけが取り組む問題ではありません。組織のあらゆる部門にセキュリティの問題は影響を及ぼします。法務部門は提訴の対応に巻き込まれ、業務にあたる従業員は必要なツールが利用できなくなるといった事態に遭遇することになるのです。リスクを管理するためには、各自がそれぞれの役割を果たさねばなりません。まずは、データ漏洩について詳しく理解することから始める必要があります。最新のデジタルイノベーションを最大限に活用しようとするのであれば、万全のセキュリティ体制を整える必要があります。ベライゾンがデータ漏洩 /侵害調査報告書(DBIR:Data Breach Investigations Report)を毎年発行している理由もまさにこの点にあります。本報告書は、今年で第 11版を数えます。報告書は、数万件に上る実際のインシデントの分析に基づいており、本年は、53,000件を超えるインシデントを対象に調査を行い、2,216件のデータ漏洩が確認されています。
65か国で、67の組織の協力を得て、53,308件のセキュリティインシデントを調査。2,216件のデータ漏洩を確認
今年もまた、サイバー犯罪者は、これまで何度も試されてきた同じ手法で攻撃に成功しており、その被害者はこれまでと同じ過ちを繰り返しています。
一体どのような攻撃者に狙われているのでしょうか。攻撃者の目的はどこにあり、どのような手法を使ってそれを手に入れようとしているのでしょうか。セキュリティ対策の向上を図るうえで、まずはこの点について確認するところから始めましょう。
いつ標的にされるとも限らないサイバー犯罪のほとんどが、金銭的な目的をその動機としており、金銭を奪うために利用できる手段は何でも利用しようとします。具体的には、クレジットカードの情報や個人認証の情報、知的財産を盗み取るといった手口が使われます。しかも攻撃者は相手を選びません。巧妙なサイバー犯罪者なら大きな利益を上げている企業を狙うはずだと言う固定観念は捨てるべきです。攻撃のほとんどが日和見的です。富裕層や有名人がターゲットというわけではなく、攻撃の備えができていない相手を狙うのです。
攻撃の76%が金銭を奪う目的で行われる
攻撃者の実態は ?
サイバー攻撃の約 4分の 3(73%)が、外部の攻撃者によるものです。全体の半数において、その背後に組織犯罪グループの存在があり、また、12%において、国家または国家関連が関与しています。しかも、攻撃者は組織の外部だけに存在するわけではありません。4分の 1を超える攻撃(28%)に内部の攻撃者が関わっています。内部からの攻撃の場合、悪意のある目的でターゲットのデータにアクセスしていたとしても正規のアクセス手段を使っていると攻撃の兆候を特定しづらく、そのため、特に防御が難しくなります。
2
過去 1年間のデータに基づく調査結果です。 動機のトップは、金銭が目的となっています。
攻撃の背景にある動機(データ漏洩のパーセンテージ)
40%
20%
60%
40%
60%
80%
20%
60%
80%
40% 40%
20%
60%
80%
2013 2014 2015 2016
金銭目的
スパイ活動
愉快犯的イデオロギー
怨恨自己都合 その他
40%
20%
60%
40%
20%
60%
80%
40%
60%
80%
40%
20%
60%
80%
2013 2014 2015 2016
ハッキング
マルウェア
不正な操作
ソーシャルエンジニアリング
ヒューマンエラー
物理的な攻撃 環境の問題
ヒューマンエラー内部の脅威となるのは、私腹を肥そうと企む組織内の悪意ある従業員だけではありません。データ漏洩の約5分の 1(17%)が、ヒューマンエラーをその原因としています。機密扱いの情報を誤って拡散したり、間違った宛先にメールを送ったり、Webサーバーの構成を間違えたりするといった従業員の行動がこれに該当します。悪意はないものの、これらの行為はどれも、大きな損害につながるおそれがあります。
4%のユーザーが、フィッシングが仕掛けられたリンクをクリックする
過去 3年間にわたり報告してきた事実です。そして残念ながら、同じことが今でもあてはまります。いまだにユーザーは、フィッシング詐欺の手口に引っかかっているのです。幸い、78%のユーザーは、年間を通じて一度もフィッシング詐欺のリンクをクリックしていません。しかし、なんらかのフィッシング詐欺の標的となったユーザーのうち、平均して 4%が、仕掛けられたリンクをクリックする傾向にあります。信じられないことですが、過去にフィッシングメールのリンクをクリックしたユーザーほど、再度クリックする確率が高くなっています。
ユーザーがフィッシングのリンクをクリックするまでに16分かかっており、そのユーザーからフィッシング被害の報告があるのは、クリックしてから28分後です。
ランサムウェアに警戒サイバー犯罪者には、データを盗み出さずに金銭を稼ぐ手段もあります。ユーザーがデータを使えないようにしてしまうのです。DBIRにおいては、2013年度版で初めて、ランサムウェアの実態が明らかにされました。本年のレポートにおいて、ランサムウェアは、最も多くの種類が確認されたマルウェアとなっています。
ランサムウェアが最も多くの種類が特定された悪意のあるソフトウェアで、マルウェア感染の39%のケースにおいてその存在を確認
これほどまでにランサムウェアの感染が広がった理由はどこにあるのでしょうか。その利用は、ランサムウェアが、簡単に仕掛けられて非常に大きな威力を発揮する点にあります。犯罪の手口になんら精通していなくても、簡単に手に入るツールキットを使って、わずか数分でランサムウェアの作成と展開が可能です。低リスクかつコストを殆どかけずに、盗んだデータを金銭に換える必要もありません。
そして、ユーザーのデバイスを暗号化するだけでは満足しないサイバー犯罪者の数が増えています。ファイルサーバーやデータベースを暗号化できれば、もっと大きな被害を与えられて、もっと多くの金銭を稼げるというわけです。もしもバックアップを取っていないとしたら、業務停止のリスクがあります。
どのような対策を採るべきなのか以下のセクションでは、個々の業種において何が最大の脅威になっているのかをご説明します。
3
ランサムウェアの感染が広がっていますが、マルウェア全体の発生件数は減少しています。
主な脅威(データ漏洩のパーセンテージ)
4
自社のビジネスにとって最も大きなリスクは何か ?業界ごとに、さまざまな脅威が混在しています。業界の最大の脅威を理解することで、セキュリティ予算を最大限に活用し、リスクを軽減することができます。本年の DBIRでは、9つの業界が直面している脅威について報告します。以下にそのサマリーを示します。ご自身の業界についての記載がないことが、その業界が安全であることを意味するわけではありません。単に、有効なインサイトを提示するのに十分な量のデータを確保できなかったに過ぎません。
2018年版の DBIRでは、各業界が直面している脅威について、これまで以上に詳しく説明しているだけでなく、リスクを管理するうえで踏むべき手順についてもガイダンスを提供しています。
業種別にみたインシデントの件数とデータ漏洩の件数
368
流通・小売
公共機関
セキュリティプロバイダー
製造業
情報産業
ヘルスケア
金融機関
教育機関
総括
540
0 800600400200 1000
101
338 件のデータ漏洩 368 件のインシデント
146
292
598
750536
109 1,040
71 536
132 540
304 22,788
169 317データ漏洩の実態
総括
漏洩の起点 外部:99%、内部:1%
ターゲット カード情報:93%、個人情報:5%、 認証情報:2%
漏洩の要因 ハッキング:93%、マルウェア:91%
注目すべき点は非常にはっきりとしています。データ漏洩の 90%は、POSが攻撃者の侵入を受けて発生しています。実際のところ、分析したデータセットの平均的な産業の値と比較した場合、POSコントローラーが標的となる確率が100倍を超えています。
’15 ’16 ’17
データ漏洩の実態
金融機関
漏洩の起点 外部:79%、内部:19%
ターゲット 個人情報:36%、 カード情報:34%、銀行の口座情報:13%
漏洩の要因 ハッキング:34%、物理的な攻撃:34%
組織犯罪グループが ATMに仕掛けるカードスキマーには、依然として注意が必要です。さらに、現在では、ATMにソフトウェアをインストールしたりハードウェアを取り付けたりして、ATMに強制的に払い出しをさせる ATMジャックポッティングという手口も存在します。また、DoS(Denial of Service)攻撃による業務の停止という、きわめて重大な影響を及ぼす脅威もいまだに存在します。
’15 ’16 ’17
データ漏洩の実態
教育機関
漏洩の起点 外部:81%、内部:19%
ターゲット 個人情報:72%、機密情報:14%、医療情報:11%
漏洩の要因 ハッキング:46%、 ソーシャルエンジニアリング:41%
ソーシャルエンジニアリングによる攻撃は、従業員の個人情報をターゲットにしており、この情報を成りすましに悪用します。また、機密性の高い研究データも標的となっており、攻撃の 20%では、スパイ活動がその動機となっています。ただし、データの窃取は、金銭を目的にしているとは限らず、11%の攻撃が、「愉快犯的な目的」を動機としています。
’15 ’16 ’17
データ漏洩の実態
5
情報産業
漏洩の起点 外部:74%、内部:23%
ターゲット 個人情報:56%、 認証情報:41%、内部情報:9%
漏洩の要因 ハッキング:57%、 ヒューマンエラー:26%
大きな問題となっているのがWebアプリケーション攻撃で、ここでは、盗取された認証情報が特に多く悪用されています。また、従業員のヒューマンエラーも影響を及ぼしており、データベースの構成ミスや、誤って機密情報を公開してしまったケースなどがよく見られます。しかし、おそらく最大の脅威は DoS攻撃で、これは、2017年に確認されたインシデントの 56%を占めています。
’15 ’16 ’17
データ漏洩の実態
製造業
漏洩の起点 外部:89%、内部:13%
ターゲット 個人情報:32%、 機密情報:30%、認証情報:24%
漏洩の要因 ハッキング:66%、マルウェア:34%
業界全体のデータを見た場合、ほとんどのサイバー攻撃は日和見的です。しかし、製造業では、86%のケースでターゲットが決まっています。多くの場合、標的とされるのが、新しいソリューションに関する計画や研究開発の内容です。データ漏洩のほぼ半数(47%)が、競争優位性の確保を目的とした知的財産の窃取に関係しています。
’15 ’16 ’17
データ漏洩の実態
ヘルスケア
漏洩の起点 外部:43%、内部:56%
ターゲット 医療情報:79%、 個人情報:37%、カード情報:4%
漏洩の要因 ヒューマンエラー:35%、 不正な操作:24%
ヘルスケアは、内部からの脅威の数が外部からの脅威の数を上回る唯一の業界です。このような統計結果には、ヒューマンエラーがデータ漏洩の原因になっていることが大きく影響しています。もっとも、システムやデータへのアクセスが必要以上に多く発生しているのも事実です。有名人が入院してきたことなどを理由とした興味本位でのアクセスが 13%のケースで確認されました。
’15 ’16 ’17
データ漏洩の実態
セキュリティプロバイダー
漏洩の起点 外部:70%、内部:31%
ターゲット 個人情報:56%、 認証情報:28%、内部情報:16%
漏洩の要因 ハッキング:50%、 ソーシャルエンジニアリング:21%
攻撃は通常、金銭的な目的をその動機としており、多くの場合、フィッシングや窃取した認証情報を悪用する手口などが使われます。また、従業員の犯したヒューマンエラーもリスクの原因となっています。一般に攻撃者がデータの侵害に要する時間は数時間未満である一方、それが発覚するのは、数日が経ってからです。しかも、第三者によって発見されることが少なくありません。
’15 ’16 ’17
データ漏洩の実態
公共機関
漏洩の起点 外部:67%、内部:34%
ターゲット 個人情報:41%、 機密情報:24%、医療情報:14%
漏洩の要因 ハッキング:52%、 ソーシャルエンジニアリング:32%
サイバー諜報活動が依然大きな問題となっており、スパイ活動が攻撃の 44%の動機となっています。攻撃には、通常、フィッシングのほか、バックドアや C2チャネルを仕掛ける手口などが使われます。攻撃のターゲットは、国家機密だけではありません。一般市民や職員の個人情報も標的となっています。
’15 ’16 ’17
データ漏洩の実態
流通・小売
漏洩の起点 外部:91%、内部:10%
ターゲット カード情報:73%、 個人情報:16%、認証情報:8%
漏洩の要因 ハッキング:46%、物理的な攻撃:40%
データ盗取の観点からみると、入力情報の検証機能の不備を突いたWebアプリケーション攻撃や窃取した認証情報を使ったWebアプリケーション攻撃が発生件数の上位を占めています。しかし、データの盗取の問題ばかりでなく、取引業務の停止やWebサイトおよび店舗システムにおける処理速度の低下といった DoS攻撃による深刻な影響についても注意を向ける必要があります。
’15 ’16 ’17
データ漏洩の実態
6
今こそ行動を起こすときです
サイバー犯罪者がシステムの侵害に要する時間は、通常わずか数分から数秒です。それほど時間もかけず、一般に必要以上に多く価値のあるデータを盗取するのです。その一方で、組織がこのデータ漏洩を発見するのは、多くの場合数週間あるいは数か月経ってからです。
at. 68%のデータ漏洩が、発見までに数か月以上を要する
多くの場合、当事者の組織自体は侵害に全く気付かず、警察当局やパートナーなどの第三者がこれを発見することが少なくありません。最悪なのは、顧客によって多数の侵害が見つかるケースです。言うまでもなく、このような事態は、ブランドの信用に多大な影響を及ぼします。ブランドの信用を守るために取るべき措置は 2つにまとめられます。攻撃に対する防御を固め、一方で、攻撃者が侵入した場合の対策も用意しておくのです。まずは、攻撃者が攻撃を諦めるほど強力な防御網を築かねばなりません。しかし、攻撃を 100%阻止できる防御環境を築くのは不可能です。万が一、攻撃者の侵入を許してしまった場合に備え、すみやかに適切な対応の取れる体制を整えておく必要があります。
とるべき対策とは警戒を怠らない 警察当局や顧客に指摘されるまで侵害に気付かないようでは困ります。ファイルのログを取り、管理システムを変更すれば、セキュリティ侵害のリスクを早期に把握できるようになります。
セキュリティについての教育を徹底するブランドの信用維持や収益の確保におけるサイバーセキュリティの重要性が組織内で理解されているでしょうか。組織内のトレーニングを徹底し、攻撃の兆候を把握する方法や攻撃者が侵入した場合の対処方法を教育する必要があります。データアクセスの権限を必要最小限に限定する機密性の高いデータやシステムに誰がアクセスできるのか把握しているでしょうか。このようなデータやシステムへのアクセスは、業務上それを必要としているユーザーだけに許可するようにします。また、ユーザーの役割が変わったときに、アクセス権限を無効にできるプロセスも導入します。パッチはすみやかに適用する サイバー犯罪者は、既知の脆弱性を狙った攻撃で成功しています。ウイルス対策ソフトウェアを最新の状態にするだけで、多くの脅威から環境を保護できます。機密性の高いデータは暗号化する 問題のない行動を取っていたとしても、誰もがデータ漏洩の被害者となり得ます。しかし、データを暗号化しておけば、データが盗まれた場合でも、データが悪用されることはありません。2要素認証を導入する フィッシング詐欺は依然、大きな効力を発揮しており、一方でユーザーはミスを犯します。2要素認証を利用すれば、認証情報を紛失したり、認証情報が盗難にあったりした場合でも、被害を抑えることができます。物理的なセキュリティにも配慮するデータの漏洩は、オンライン上だけで起こるとは限りません。たとえば、立ち入りが制限されているエリアに監視カメラや入室管理のシステムを設ければ、犯罪者がシステムを改ざんしたり機密情報を盗むのを防ぐのに役立ちます。
数か月 数週間 数週間 数か月数日 数日数時間 数時間数分 数分経過時間
侵害の実態
87%
68%
< 攻撃者が侵害に要する時間 侵害が発見されるまでの時間 >
ほとんどの場合、攻撃者が侵害に要する時間は数分未満
すぐに発見される侵害はわずか 3%
侵害の 3分の 2は、数か月以上、気付かれず放置される
数か月 数週間 数週間 数か月数日 数日数時間 数時間数分 数分経過時間
侵害の実態
87%
68%
< 攻撃者が侵害に要する時間 侵害が発見されるまでの時間 >
7
ベライゾンのインテリジェンスを活用する攻撃者は、標的のシステムやデータにアクセスするための新たな戦術を絶えず開発しています。それにもかかわらず、弊社の調査によれば、あまりにも多くの組織が適切なセキュリティ対策を怠ったままでいます。ウイルス対策ソフトウェアを最新の状態に維持したり、攻撃の兆候を特定する方法をスタッフに教育したりするといった最も基本的なセキュリティ対策を講じていない企業も一部見受けられます。セキュリティリスクを軽減する最良の方法は、自身が直面している脅威について理解することです。その際に DBIRが役立ちます。2014年にベライゾンは、組織が直面する可能性のあるほぼすべての脅威をカバーする 9つのインシデントパターンを特定しました。そして、このパターンは、現在でも有効です。
2014年から現在までのところ、セキュリティインシデントの94%および、確認されているデータ漏洩の90%が、9つのインシデント分類パターンにあてはまっています。
このパターンを利用すれば、自身の組織にとって最も大きなリスクをすばやく簡単に評価できるので、新たにアプリを導入する場合や、システム更新するときに、最初から効果的なセキュリティを構築できます。それは、セキュリティ担当者による投資の優先順位付けを可能にします。分類パターンの詳細ならびに、パターンを自身の組織と関連付ける詳しい方法を、2018年度版の DBIRに記載しておりますので、是非ご覧ください。
パターン別の侵害件数
DoS攻撃
カードのスキマー
クライムウェア
資産の紛失/資産の盗難
15
サイバースパイ活動
特権の悪用
その他
POSに対する攻撃
多種多様なヒューマンエラー
Webアプリケーション攻撃
414
347
324
308
145
140
111
0
276
100%0% 20% 40% 60% 80%
171データ漏洩の実態
Verizonの2018年度データ漏洩/侵害調査報告書を是非ご覧ください。自身の組織にとっての脅威や、リスクを軽減する方法がご理解いただけます。2018年度版の報告書は、53,000件を超えるセキュリティインシデントの詳細な分析に基づいており、2,216件のデータ漏洩が確認されています。今年で11版を数えるDBIRは、セキュリティ業界における特に有用な情報ソースの1つとして高い評価を受けています。報告書のダウンロードはこちら:verizonenterprise.com/DBIR2018
20
0.62Gbps
0.14Mpps
pps
bps
1001K
10K100K
1M10M
100M
1K 10K 100K 1M 10M 100M 1B 10B 100B
Count
Den
sity
2013
n=1,9292014
n=2,7822015
n=6,1492016
n=10,4272017
n=7,889
DDoS attack bandwidth and packet count levels
Den
sity
14. CLDAP, CharGEN, DNS, memecached, NetBIOS, NTP, RIP, RPC, SNMP, SSDP, ECHO, etc.
Figure 24. DDoS attack bandwidth and packet count levels
Most days the sun will shine on your backdoorMost companies that do suffer a DDoS normally aren’t under
attack that long each year—the median is three days. Some
organizations have to contend with more days under some
level of attack, but the good news is that the majority of the
organizations in our data are not close to realizing consistent
waves of attack.
Amped upIn Figure 25, we see amplification attacks dominating by
2017. Amplification attacks take advantage of the ability to
send small spoofed packets to services that, as part of their
normal operation, will in turn reply back to the victim with a
much larger response. It is similar to asking a friend “How are
you?” and then receiving a twenty-minute response about the
price of gas, how much they love CrossFitTM, their cat’s hairball
problem, etc.Amplification attacks are reliant on people leaving services14
open and with vulnerable configurations to the internet. Don’t
be that person.
21
Amplified
Not amplified
25%
50%
75%
100%
20132014
20152016
2017
Per
cent
of D
DoS
att
acks
Relative prevalence of amplified DDoS attacks
Figure 25. Amplification DDoS attacks over time (n=3,272)Things to considerDon’t roll the diceWhile we are not seeing the biggest and baddest attacks on
a daily basis, ensure that you have retained DDoS mitigation
services commensurate to your tolerance to availability loss.
Verify that you have covered all of your bases from a scoping
standpoint.Things can really get rough when you go it aloneIn addition to the above, find out from your ISP(s) what
defenses are already built-in as there may be pre-existing
relief in the form of rate throttling amplifiable services when
anomalous volumes of traffic are detected. While this will not
stop powerful attacks, it may help with smaller spikes in traffic.
Avoid tunnel visionUnderstand that availability issues can occur without a DDoS
attack. Identify and patch server vulnerabilities with availability
impacts. Perform capacity planning testing to handle
spikes in legitimate traffic. Build in redundancy and conduct
failover testing.
Research report2018 Data Breach Investigations Report11th edition
http://bfy.tw/HJvH
verizonenterprise.com/jp© 2018 Verizon.All Rights Reserved.Verizonの名称およびロゴならびに、Verizonの製品およびサービスを識別するためのその他の名称、ロゴ、およびスローガンのすべては、Verizon Trademark Services LLC、あるいは米国またはその他の国における系列会社の商標およびサービスマーク、または登録商標およびサービスマークです。その他の商標およびサービスマークは、各所有者に帰属する資産です。2018年 6月
表紙の図について表紙のアーク型の図は、メインレポートの付録 C『Beaten paths』のデータをもとに作成されています。この図では、攻撃者、攻撃者の行動、属性をノードで示し、攻撃の発生順序をエッジとして表しています。ここでは、個々の攻撃における各ノードの出現回数をカウントし、その回数に応じてノードの大きさを変えており、出現回数の多いノードほど、そのサイズが大きくなっています。各エッジとノードの間には弧が描かれており、個々の弧の色は、2つのノード間での攻撃回数によって異なります。