カジノサイト
Verizon DBIR: 脅威アクターは侵害された資格情報を利用して企業データを盗み続けています
脅威アクターはどのようにして組織のシステムにアクセスしているのでしょうか?おそらくあなたの資格情報を使用することによって行われます。
Verizon の年次報告書で分析された侵害の 38% 近く今週リリースされました。侵害された認証情報が使用されました。フィッシングと悪用による侵害の 2 倍以上です。
Verizon の研究者は、この最新のレポートのために、2022 年 11 月 1 日から 2023 年 10 月 31 日までの期間に発生した 30,458 件のインシデントと 10,626 件の侵害を調査しました。これは、17 年目を迎える単一の DBIR で最も多く評価されたものです。注意として、DBIR はインシデントと侵害を次のように定義します。
- 事件:情報資産の完全性、機密性、または可用性を損なうセキュリティ イベント。
- 違反:不正な当事者へのデータの開示(潜在的な暴露だけでなく)が確認されたインシデント。
DBIR のデータは 94 か国から収集されており、新たなサイバーセキュリティ インシデント開示要件によりヨーロッパからの堅牢なデータセットが含まれていると、脅威インテリジェンス担当アソシエート ディレクターで Verizon DBIR の著者である Dave Hylender 氏が水曜日のプレゼンテーションで述べました。
データを地理的地域別に分類すると、北米が 16,619 件のインシデントで最も多く、続いて EMEA が 8,302 件、APAC が 2,130 件のインシデントでした。行政部門は、新たに義務付けられた報告措置の影響もあり、2024 年の DBIR で評価されたインシデント数が最も多かった。
- 行政:12,217件の事件; 1,085件、データ開示が確認済み
- 金融と保険:3,348 件の事件。 1,115件、データ開示が確認済み
- 専門的、科学的、技術的サービス:2,599 件の事件。 1,314件、データ開示が確認済み
- 製造:2,305 件の事件。データ開示が確認された849件
- 教育サービス:1,780件。 1,537件、データ開示が確認済み
- ヘルスケア:1,378 件の事件。 2,220 件(データ開示が確認済み)
- 情報:1,367 件の事件。 602、データ開示が確認済み
- 小売:725件の事件; 369、データ開示が確認済み
- 宿泊施設と食事サービス:220 件の事件。データ開示が確認された 106 件
資格情報の悪用とフィッシングは、引き続き組織を侵害する強力な戦術です。過去 10 年間、すべての侵害の約 3 分の 1 で、盗まれた認証情報の使用が発生しているとハイレンダー氏は述べました。
「これは大規模な侵害です」とハイレンダー氏は付け加えた。 「私たちは何年もの間、資格情報を適切に保護することに取り組んできました。今回の発見は、その重要性を本当に強調しています。文字通り、資格情報は王国への鍵であり、そのため、犯罪者は可能な限りあらゆる方法で資格情報を入手することを非常に好みます。」
たとえば、DBIR 研究者は、パスワードを盗む者から収集した資格情報と Cookie を販売するマーケットプレイスを調査しました。わずか 2 日間で、1 日あたり 1,000 件を超える認証情報が平均価格 10 ドルで投稿されました。
「これらの投稿を調査した結果、これらの資格情報の 65% が収集されてから 1 日以内に販売のために投稿されたことが判明しました」と DBIR は説明しました。 「これらは、個人またはその雇用主に対する他の攻撃の足がかりとして利用する攻撃者によって購入されることがよくあります。」
悪意のある攻撃者はどのようにしてあなたの認証情報にアクセスしているのでしょうか?おそらくフィッシングによるものと考えられます (資格情報に関連する侵害の 14%)。 Verizon がパートナーと実施したシミュレーションでは、攻撃者がターゲットにフィッシング メッセージを送信してから「成功するまでに 60 秒もかからなかった」ことが判明しました。ハイレンダー氏は、この統計は「ややひどい」と述べました。
しかし、1 つの明るい点は、フィッシングの試みを報告する人が増えていることです。シミュレーションに参加したユーザーの約 20 パーセントがフィッシング メールを特定して組織に報告し、同様にフィッシング メールをクリックしたユーザーの 11 パーセントもフィッシング メールを報告しました。
ハイレンダー氏は、これは従業員が不審なメッセージやフィッシング コンテンツに誤って関与した可能性のある事例を簡単に報告できる方法の重要性を強調していると述べました。
侵入者は他にどのようにして企業データにアクセスしているのでしょうか?脆弱性の悪用に関連した侵害の件数は記録的なものとなり、その件数は 15 パーセントを超え、2023 年の DBIR と比較して 180 パーセント増加しました。ハイレンダー氏はこれをその他のゼロデイエクスプロイト。
パッチが利用可能になってから重大な脆弱性の 50% を修復するには、組織が平均して約 55 日かかるため、これは今後の注目分野です。さらに、米国サイバーセキュリティ インフラストラクチャ セキュリティ庁 (CISA) の既知の悪用された脆弱性 (KEV) カタログに掲載されている脆弱性を組織が検出するまでの時間の中央値は 5 日です。
「パッチをより強力に適用したり、より積極的にアプローチしたりすることがこの問題の解決策であるかどうかはわかりません。」とハイレンダー氏は述べ、その代わりに、最初からシステムの脆弱性を減らす方法を検討することが解決策かもしれないと付け加えました。
注目すべきもう 1 つの傾向は、DBIR で分析された侵害のうち、およそ 3 分の 1 がランサムウェアまたは恐喝手法に関連していたということです。純粋な恐喝攻撃、つまり脅威アクターが企業データを盗み、そのコピーを作成し、最初に暗号化せずに公開すると脅す攻撃は、現在、すべての侵害の 9 パーセントを占めています。
「従来のランサムウェア攻撃者がこれらの新しい技術に移行した結果、ランサムウェアは 23% に若干減少しました」と DBIR は説明しました。 「しかし、脅威アクターが共通であることを考えると、これらを組み合わせると、侵害の 32 パーセントへと大幅な増加を示しています。ランサムウェアは、92 パーセントの業界で最大の脅威でした。」
DBIR データセットへの新たな導入は、パートナーのインフラストラクチャやソフトウェア サプライ チェーンの問題など、サードパーティが関与する侵害を評価することでした。 2024 年の DBIR における侵害の 15 パーセントがこのカテゴリに該当し、2023 年から 68 パーセント増加しました。研究者らは、これがゼロデイ エクスプロイト、ランサムウェア、恐喝攻撃の使用によるものであると考えています。
「私たちは、全体的なセキュリティスタンスに基づいて、取引先について賢明な決定を下す必要があります。」とハイレンダー氏は言いました。
大部分の侵害には依然として外部の関係者が関与しており、65 パーセントを占めていますが、2024 年の報告書では内部の関係者が侵害のきっかけとなったものが 35 パーセントであり、2023 年の 20 パーセントから増加しています。ただし、これには注意が必要です。「内部行為者の侵害の 73 パーセントは、その他のエラー パターンに属しており、実際に火に足を向けるべきではありません」と DBIR は説明しました。
攻撃者は組織をターゲットにする際、依然として金銭的な動機を持っています。しかし、スパイ行為の動機を持つ人はわずかに増加し、2023 年の 5% に対して 2024 年は 7% でした。また、APAC 地域の事件ではスパイ活動がより蔓延しており、侵害の 25% にはスパイ行為の動機が関係していました。
2024 年の DBIR で調査された侵害で侵害されたデータのうち、秘密が占める割合は 10% 未満であり、個人データがトップの座 (60% 近く) を占めました。
「個人データがトップの座に蔓延し続けるこの状況は、ある意味、自己実現的な呪いである。なぜなら、より頻繁に開示される侵害は、規制により影響を受ける被害者に通知することが求められている顧客データに関係するものだからだ」とDBIRは説明した。 「さらに、顧客データは必要性も適切なケアもなしに蔓延し、蓄積されているため、特にそれをターゲットにしていない可能性のあるあらゆる種類の攻撃の巻き添え被害となることがよくあります。」
企業データを狙う攻撃者の割合は組織犯罪が最も多く (60% 以上)、続いてエンド ユーザー (20% 以上)、国家支援の攻撃者 (10% 未満)。
「国家支援の関係者は異常に機知に富み、戦術を適応させる能力がある」とDBIRは説明した。 「平均的な組織にとって幸運なことに、ありふれた企業が日常のありふれた犯罪者ほど頻繁に標的になる可能性は低いです。」
DBIR 研究者は、組織に侵入するために生成人工知能 (GenAI) を使用する脅威アクターの兆候があるかどうかを確認しました。 DBIR によると、彼らは犯罪フォーラムでこれを利用した攻撃手法に関心を寄せていることを発見しましたが、そのほとんどは「商用の GenAI 製品や非同意のポルノを AI 生成するツールへのアカウントの販売に関係していた」とのことです。
脅威アクターが GenAI ソリューションを作成するために「実験」している可能性がありますが、研究者らは、ディープフェイク技術以外では「突破口が差し迫っているようには見えず、これによってもたらされる可能性のある攻撃側の最適化がインシデント対応側にも反映される」ようには見えないと評価しました。
攻撃者は常に、最も高い投資収益率を実現しながら最も簡単に達成できる方法を採用するだろうとハイレンダー氏は言います。
「彼らも、その点では他の人と同じです。『最小限の仕事をして、最大限の報酬を得るにはどうすればよいでしょうか?』
DBIR に関する詳細な分析については、当社の報道内容をご覧ください。2023レポート、「Verizon DBIR: 2022 年、脅威アクターは人間の要素を利用して企業データを盗みました。」および 2022 年のレポート、「Verizon 2022 DBIR は、ランサムウェア攻撃と組織犯罪活動の増加を明らかにしました。」
