新しい事業を検討するとき、企業は投資から最も高い収益が得られるところに目を向けます。悪意のあるサイバー攻撃者も同じプロセスに関与します。そして昨年、そのプロセスにより、企業の機密情報にアクセスできる経営幹部がターゲットにされるようになりました。

この攻撃の焦点は年次報告書で強調されています(DBIR) によると、2018 年のレポートと比較して、上級管理職は社会的事件のターゲットになる可能性が 12 倍、社会的侵害のターゲットになる可能性が 9 倍高いことがわかりました。

「上級幹部に対するフリテキシング攻撃が成功すると、彼らの（しばしば異議の余地のない）承認権限と重要なシステムへの特権アクセスの結果として、大きな利益を得る可能性がある」と報告書は述べている。 「通常、時間に余裕がなく、配信のプレッシャーにさらされている上級管理職は、電子メールをすぐに確認してクリックしてから次のメールに進む（または、アシスタントに代わって電子メールを管理させる）ため、不審な電子メールが通過する可能性が高くなります。」

年次報告書の第 12 版では、86 か国の 41,686 件のセキュリティ インシデントと確認された 2,013 件の侵害を分析しました。 Verizon はまた、初めて FBI を含む 73 人の寄稿者とこのレポートに協力しました。

ベライゾンのセキュリティ調査責任者でレポートの著者であるアレックス・ピント氏は、これがデータの検討後に浮かび上がった主な物語である、つまり攻撃者は最大の利益をもたらすターゲットを優先している、と述べています。

「フィッシングの性質は変わっていません」とピント氏は付け加えますが、ベライゾンでは「今年は役員の約 1.5 パーセントが標的にされ、20 パーセントまで大幅に増加した」と見ています。

ビジネス電子メール侵害 (BEC) スキームを含むさまざまな攻撃によって幹部が標的にされています ( を参照)「CEO になりすます」 セキュリティ管理、2016 年 10 月)。ストレスの多い作業環境も、この種の攻撃の成功に貢献しているとベライゾンは発見しました。

「ビジネスメール侵害などのソーシャル攻撃の成功率が増加していることは、ストレスの多いビジネス環境と、サイバー犯罪のリスクに関する集中的な教育の欠如との不健全な組み合わせに関連している可能性があります。」

この種の活動が最も増加した業界は、法律事務所やコンサルティング パートナーなどの専門サービスです。

「これは興味深い。なぜなら、これらの企業の仕組みを考えると、電子メールを窃取したり、財務上の成果と機密データを組み合わせて入手したりする場合、これらの企業はおそらく最も標的となる企業の 1 つとなるはずだからです」とピント氏は付け加えた。 「彼らは経営幹部レベルの幹部をターゲットにするのに適しています。」

サイバーセキュリティ会社 GreatHorn の CEO である Kevin O'Brien 氏は、ピント氏の評価に同意し、サイバー犯罪者がますます経営幹部をターゲットにするようになっていることは驚くことではないと述べています。

「CEO からのタイミングの良い電子メールにより、従業員は財務上の機密情報を共有できるようになりますが、このグループから認証情報が盗まれると、企業の機密情報のほとんどにアクセスできるようになります。」と彼は説明します。 「これらの攻撃の大部分は BEC 攻撃を介して行われているため、企業は電子メール セキュリティに対して、フィッシングに対して脆弱なビジネス プロセスを特定し、対処し、強化する総合的なアプローチを使用する必要があります。」

しかし、この報告書で明らかになった点の 1 つは、BEC 攻撃の成功、つまり個人が詐欺師に資金を送金した事件が FBI のインターネット犯罪苦情センター (IC3) 回収資産チームに報告されたとき、同チームは送金先の銀行と協力して、全事件の半数で資金の 99 パーセントを回収または凍結することができたということです。

「何も回復できなかったのはわずか9%だった」と報告書は述べている。 「それをよく理解してください。BEC は当初の見た目ほどうまく展開しません。攻撃者が最初のラウンドで勝ったからといって、戦い続けるべきではないという意味ではありません。」

レポートから得られたもう 1 つの重要な発見は、クラウドベースのソリューションでデータを共有および保存する傾向が高まっていることです。これには独自のセキュリティ リスクが伴います。

「分析の結果、盗まれた資格情報の使用によるクラウドベースの電子メール アカウントの侵害への大幅な移行が見られた」と報告書は述べています。 「さらに、クラウドでの公開エラーは年々増加しています。設定ミスにより、多数の大規模なクラウドベースのファイル ストレージ侵害が発生し、DBIR データセット内の少なくとも 6,000 万件のレコードが流出しました。これは、エラーによって引き起こされた侵害の 21 パーセントを占めています。」

たとえば、2019 年 2 月、ウィスコンシン州メディカル大学は、2018 年 12 月 24 日に Web サーバーの設定ミスにより内部ファイルがオンラインで利用可能になり、974,000 人の患者に影響を与える可能性があることを確認しました。

「ファイルには、ワシントン州の報告要件に従って、さまざまな規制機関への報告など、UW Medicine が法的に追跡する必要がある報告に関する保護された医療情報が含まれていた」と病院は声明で述べた。

患者が自分の名前をグーグルで検索し、個人の健康情報が含まれるファイルを見つけた後、病院はその情報がオンラインにあることに気づきました。患者はそれをUW Medicineに報告した。その後、病院は Google と協力して、2019 年 1 月 10 日までにファイルを検索結果から削除しました。

「財務情報や社会保障番号が漏洩していないため、個人情報が盗難されるリスクは無視できると考えています」と UW Medicine は述べています。 「ファイルにはあなたの名前と医療記録番号が含まれていましたが、医療記録番号は通常、内部目的でのみ使用され、患者との連絡には使用されません。」

同様の事件の発生を防ぐために、企業は新しいテクノロジーによるセキュリティ リスクを特定し、評価するプロセスを確立する必要があります。

企業は「最新のサイバー脅威に関する統計に裏付けられたセキュリティ体制の日常的な状況を把握するには、サイバー検出ツールにアクセスする必要がある」と、Verizon のセキュリティ プロフェッショナル サービス担当エグゼクティブ ディレクターのブライアン サーティン氏はプレス リリースで述べています。 「セキュリティは、企業に継続的に提供し、収益に影響を与える、柔軟で賢い戦略的資産として見なされる必要があります。」

報告書では、特定のターゲットと攻撃場所が時間の経過とともに変化していることが判明しましたが、犯罪者が侵入するために使用する戦術はほとんど変わっていません。

「企業の大小を問わず、ビジネスのセキュリティと顧客データの保護を最優先にすることが緊急に必要です」とサーティン氏は述べた。 「多くの場合、基本的なセキュリティ慣行と常識さえあればサイバー犯罪を抑止できます。」

これらの一般的な推奨事項には、2 要素認証の実装、セキュリティ トレーニングの提供、過剰なアクセスを防ぐためのユーザー権限の定期的な評価が含まれます。

組織をさらに支援するために、Verizon は、2018 年のデータセットで特定された傾向に基づいて、各業界分野に対するさまざまな推奨事項も含めました。

たとえば、専門的、技術的、科学的サービスのカテゴリにおいて、ベライゾンでは、BEC 攻撃と同様、クラウドベースの電子メール アカウントに関連したフィッシングや資格情報の盗難が増加していることに気づきました。

「不正取引に関連するインシデントで侵害される可能性が最も高いのは財務スタッフでしたが、インシデントの 20% で経営陣が侵害される可能性が最も高く、プロフェッショナル サービス侵害で資産が侵害される可能性が業界の中央値よりも 6 倍高いことに留意する必要があります。」と報告書は述べています。

これを防ぐために、レポートの作成者は、これらの業界が静的パスワードの使用を防ぐためにパスワード マネージャーと 2 要素認証を使用することを推奨しました。

「すべてのドアがどこにあるのかを監査することを忘れないでください」と著者らは付け加えた。 「後ろに XO-9 があり、網戸を揺さぶっている場合は、ほとんどの入り口に XO-9 を設置しても役に立ちません。」

レポートの作成者は、電子メールのリンクや実行可能ファイルを監視し、フィッシングの可能性を報告する方法を作成することも推奨しました。

「成功に向けてスタッフを整えます。個人データにアクセスするプロセスを監視し、単一の間違いが侵害につながることがないように冗長な制御を追加します。」と彼らは説明しました。

Verizon は、ほとんどの侵害が組織のシステムにアクセスできる内部関係者に関連しているため、医療分野が際立っていることを発見しました。

「有効なビジネス用途や患者ケアに必要のないデータへの異常または不適切なアクセスを効果的に監視し、フラグを立てることは、この業界にとって真の懸念事項である」と報告書は説明している。 「あらゆる業界において、内部関係者による侵害は、外部関係者が関与する侵害よりも検出が難しく、検出に何年もかかることがよくあります。」

これらの問題に対処するために、レポートでは、医療機関がデータ ストアの場所を特定し、データ ストアへのアクセスを制限し、アクセス試行を追跡することを推奨しています。

「業務の実行には必要のない大量のアクセス権を持つユーザーを監視することから始め、不必要な検索を見つけることを目標にします。」

組織によっては、これらの推奨事項をすぐに実行できない場合もありますが、ピント氏は、これらの推奨事項は、組織に全体的なサイバーセキュリティ体制を改善するための目標を与えるように設計されていると述べています。

「ここでの私たちの仕事は、人々に北極星を与えることです」と彼は言います。 「私たちはあなたのリソースが有限であることを知っています。」