ベライゾン、認証アタックとWeb アプリケーション・エクスプロイトを、 2013年に企業・組織が直面するサイバー攻撃と結論
[12/12/26]
提供元:DreamNews
提供元:DreamNews
Verizon Communicationsの日本法人、ベライゾンジャパン合同会社(東京都渋谷区、執行役員社長:平手 智行、以下 「ベライゾン」)は、「ベライゾン2012年版データ漏洩/侵害調査報告書」の研究者が、2013年に組織が直面する可能性が高いデータ漏洩/侵害として、認証アタックおよび障害、継続的なスパイ行為および「ハクティビズム」攻撃、Webアプリケーション・エクスプロイト、およびソーシャル エンジニアリングを想定していると発表しました。ベライゾンRISK (Research Intelligence Solutions Knowledge) チームメンバーである研究者の調査結果は、過去8年間におよぶ数千のケースに基づいており、クラウド・エクスプロイト、モバイルデバイス攻撃、および全面的なサイバー戦争を、2013年のデータ漏洩/侵害の原因として挙げる多くのセキュリティエキスパートの予測と、まったく異なる結論を示しています。
ベライゾンデータ漏洩/侵害調査報告書の主席執筆者であるWade Baker は、次のように語っています。
「多くのセキュリティー エキスパートは、逸話や意見を元に予測を立てていますが、ベライゾンの研究者は経験的証拠に基づいて、企業が2013年ビジネスにおける優先順位を見極め、本当に重要なビジネス課題に注力できるよう導いていきます。また、私たちは、全面的なサイバー戦争の可能性は否定できないものの、発生しないと考えます。むしろ、企業における 2013 年のデータ漏洩/侵害は、小規模で低速な攻撃によってもたらされる可能性が高いと考えます」
ベライゾン の RISK チームは、次に挙げる、もっとも起こりえるデータ脅威を特定しています。
-90% の確率で起こりえる攻撃は、脆弱な、または盗まれたユーザー名 /パスワードを含む認証に関連する攻撃/障害です。これらの攻撃/障害は、多くの場合漏洩/侵害シナリオにおける初期段階に発生します。
「10 回中9 回の侵入に、改ざんされたIDまたは認証システムが関与しています。このような理由から、企業はすべてのシステム、デバイスおよびネットワークにおいて、ユーザー アカウントと認証情報の作成、管理およびモニタリングに堅固かつ有効的なプロセスを導入する必要があります(Baker談)」
-次に、Web アプリケーション エクスプロイトは、中小企業よりも大規模な組織、特に政府に影響を及ぼす可能性が高いと予測されます。RISK チームが纏めたデータによると、このような攻撃が発生する可能性は 4 回中3 回です。
「この確率から判断すると、機会がありながらセキュアなアプリケーションの開発と評価を実施しなかった組織は、2013年、このような危機に晒されることとなります(Baker談)」
-最後に、ソーシャル エンジニアリングは、マシンよりも人物をターゲットとし、要領のよい(そしてときには要領の悪い)手口を使います。
「フィッシングなどの手口は、大規模な企業や政府組織で 3 倍に増加しています。組織からすべてのヒューマン エラーや脆弱性を取り除くことは不可能ですが、従業員に対する警戒と、教育の徹底・周知によって、これらの手口をコントロールし、阻止することができます(Baker談)」
Bakerは、スパイ行為やハクティビズム(政治的、社会的な理由によるコンピューター システムへの侵入)による敵対者からの攻撃は継続的に発生するので、「警戒を怠らないことが重要」と語っています。
また、当社RISK チームは、組織のクラウド技術や構成の障害が、漏洩/侵害の根本原因になるとは考えていません。しかしながら、組織のサービスプロバイダーが何らかの事情で適切なアクションを起こさなかったり、不適切なアクションを起こしたりすることによって、漏洩/侵害の可能性は、増大します。
モバイル デバイスについてベライゾン研究者は、紛失、盗難された、暗号化されていないモバイル デバイスの数は、ハッキングやマルウェアをはるかに超えて増加すると考えています。
RISK チームは、ビジネスおよび一般顧客層にモバイル ペイメントが普及すれば、すぐに犯罪組織によるモバイル デバイスへの攻撃が開始されると予想しています。
「2013年、私たちはこのモバイル ペイメントへのシフトを目撃することになるでしょう。しかし、当社の研究者は、2013 年以降、大企業においてモバイルデバイスが漏洩/侵害の媒体となるまでには、少し時間が掛かると考えています(Baker談)」
大企業は、自社のセキュリティー戦略と、それに付随するプログラムについて、過信する傾向にあります。しかしながら、企業への侵害において、企業が自社で特定するよりも、法的措置によって通知される確率が高いでしょう。
Bakerは、次のように結論づけています。
「自身で侵害を発見した場合、往々にしてそれは偶発的なものです。企業は、そういった侵害がまだ解決すべき課題になっていることを留意する必要があります。しかしながら、当社の過去のデータによると、これらの侵害は、過剰に喚起されているだけで、組織では、次の侵害として考慮されていない可能性が高いのが現状です」
メディアお問い合わせ:
株式会社ジェイスピン
担当:清水
Tel: 03-5269-1038
Email: verizonenterprisesolutions@jspin.co.jp
ベライゾンデータ漏洩/侵害調査報告書の主席執筆者であるWade Baker は、次のように語っています。
「多くのセキュリティー エキスパートは、逸話や意見を元に予測を立てていますが、ベライゾンの研究者は経験的証拠に基づいて、企業が2013年ビジネスにおける優先順位を見極め、本当に重要なビジネス課題に注力できるよう導いていきます。また、私たちは、全面的なサイバー戦争の可能性は否定できないものの、発生しないと考えます。むしろ、企業における 2013 年のデータ漏洩/侵害は、小規模で低速な攻撃によってもたらされる可能性が高いと考えます」
ベライゾン の RISK チームは、次に挙げる、もっとも起こりえるデータ脅威を特定しています。
-90% の確率で起こりえる攻撃は、脆弱な、または盗まれたユーザー名 /パスワードを含む認証に関連する攻撃/障害です。これらの攻撃/障害は、多くの場合漏洩/侵害シナリオにおける初期段階に発生します。
「10 回中9 回の侵入に、改ざんされたIDまたは認証システムが関与しています。このような理由から、企業はすべてのシステム、デバイスおよびネットワークにおいて、ユーザー アカウントと認証情報の作成、管理およびモニタリングに堅固かつ有効的なプロセスを導入する必要があります(Baker談)」
-次に、Web アプリケーション エクスプロイトは、中小企業よりも大規模な組織、特に政府に影響を及ぼす可能性が高いと予測されます。RISK チームが纏めたデータによると、このような攻撃が発生する可能性は 4 回中3 回です。
「この確率から判断すると、機会がありながらセキュアなアプリケーションの開発と評価を実施しなかった組織は、2013年、このような危機に晒されることとなります(Baker談)」
-最後に、ソーシャル エンジニアリングは、マシンよりも人物をターゲットとし、要領のよい(そしてときには要領の悪い)手口を使います。
「フィッシングなどの手口は、大規模な企業や政府組織で 3 倍に増加しています。組織からすべてのヒューマン エラーや脆弱性を取り除くことは不可能ですが、従業員に対する警戒と、教育の徹底・周知によって、これらの手口をコントロールし、阻止することができます(Baker談)」
Bakerは、スパイ行為やハクティビズム(政治的、社会的な理由によるコンピューター システムへの侵入)による敵対者からの攻撃は継続的に発生するので、「警戒を怠らないことが重要」と語っています。
また、当社RISK チームは、組織のクラウド技術や構成の障害が、漏洩/侵害の根本原因になるとは考えていません。しかしながら、組織のサービスプロバイダーが何らかの事情で適切なアクションを起こさなかったり、不適切なアクションを起こしたりすることによって、漏洩/侵害の可能性は、増大します。
モバイル デバイスについてベライゾン研究者は、紛失、盗難された、暗号化されていないモバイル デバイスの数は、ハッキングやマルウェアをはるかに超えて増加すると考えています。
RISK チームは、ビジネスおよび一般顧客層にモバイル ペイメントが普及すれば、すぐに犯罪組織によるモバイル デバイスへの攻撃が開始されると予想しています。
「2013年、私たちはこのモバイル ペイメントへのシフトを目撃することになるでしょう。しかし、当社の研究者は、2013 年以降、大企業においてモバイルデバイスが漏洩/侵害の媒体となるまでには、少し時間が掛かると考えています(Baker談)」
大企業は、自社のセキュリティー戦略と、それに付随するプログラムについて、過信する傾向にあります。しかしながら、企業への侵害において、企業が自社で特定するよりも、法的措置によって通知される確率が高いでしょう。
Bakerは、次のように結論づけています。
「自身で侵害を発見した場合、往々にしてそれは偶発的なものです。企業は、そういった侵害がまだ解決すべき課題になっていることを留意する必要があります。しかしながら、当社の過去のデータによると、これらの侵害は、過剰に喚起されているだけで、組織では、次の侵害として考慮されていない可能性が高いのが現状です」
メディアお問い合わせ:
株式会社ジェイスピン
担当:清水
Tel: 03-5269-1038
Email: verizonenterprisesolutions@jspin.co.jp