フィッシングやランサムウェアがデータ侵害を増幅していく

Phishing, Ransomware Driving Wave of Data Breaches

2021/07/12 SecurityBoulevard — 2021年も前半が終わったが、5月だけを除いて毎月、データ侵害が増加している。この傾向が続くとして、つまり毎月の平均である 141件 の新たな侵害が発生するとして、今年の合計は2017年のワースト記録である 1,632件 を上回ることになる。これらのデータは、非営利団体である Identity Theft Resource Center (ITRC) が発表した、最新のデータ侵害分析レポートで明らかにされたものであり、米国のデータ侵害は 2021年 Q2 で 491件となり、Q1 との比較で 38% の増加となっている。

フィッシング/ランサムウェア/サプライチェーンといった攻撃パターンが急増したことで、データ漏洩/露出/流出の合計が、記録的な年になる。しかし、この報告書では、被害者の総数は 1億1,860万人であり、2020年にデータ漏洩の影響を受けた総人数の 38% に過ぎないと指摘されている。この傾向が続けば、2021年にデータ漏洩の影響を受ける人の数は、2014年以降で最も少なくなる可能性がある。

ITRC の CEO である James E. Lee は、「簡単に言えば、サイバー犯罪者たちは、これまでのように多くの情報を盗むことを必要とせずに、フィッシングやランサムウェアによる攻撃を行えるということだ。ここ数年、個人情報の窃盗犯たちは、個人を攻撃するために大量の情報を盗むのではなく、企業にターゲットを絞って情報を盗んでいる。したがって、被害者の数が減少しても、情報漏えいの被害を受けた個人が、ID 犯罪に遭うリスクは現実にあり、壊滅的な結果を招く可能性がある」と指摘している。James E. Lee は、これらの脅威に立ち向かうために、すべての企業が取るべき3つの重要な行動があると考えている。

1つ目は、既知のソフトウェアの欠陥に対するパッチ適用を迅速化し、継続的なペネトレーション・テストを実施することだ。既知のバグに対する攻撃を回避するために費やせる時間は、もはや数週間や数ヶ月ではなく、数日から数時間しかない。Lee は、「数分で仮想パッチを適用できるツールもあるので、それらを使用すべきだ。また、ソフトウェアやセキュリティ・プロトコルのゼロデイ欠陥や、その他のセキュリティ・ホールを常に探しておく必要がある。サイバー犯罪者たちがしているように、あなたもそうすべきだ」と述べている。

2つ目は、ソフトウェアにパッチを適用した後には、包括的なバックアップが必要だという点である。Lee は、「バックアップがしっかりしていなければ、ランサムウェアやマルウェアの被害に遭った場合、データを復元するという選択肢を失う」と指摘している。

3つ目のアクションは、データ漏洩の最大の原因であるフィッシング詐欺を発見できるよう、チームをトレーニングすることだ。Lee は、「サイバー犯罪者たちは常に手口を進化させており、チームは新たな悪用法やベクターが出現したときに、攻撃のシグナルとして何を見るべきかを知る必要がある。定期的なトレーニングは重要であり、サイバー・セキュリティは個人の責任であることを、企業内の全員が認識できるようにすべきだ」と述べている。

さらに、Lee が企業に検討を求めるのは、個人情報を集め過ぎていないかという点である。彼は、「サイバー犯罪者たちが、持っていないものを奪うことはあり得ない」と付け加えている。全般的にみて、サイバー・セキュリティとデータ保護に対して、これまで以上の費用を企業は費やしているが、すべてのデータ漏洩/ランサムウェア/フィッシングを、100% の確率で防ぐ手立てはない。Lee が言うように、企業や政府機関のサイバー・セキュリティ・チームは、膨大な数の脅威に圧倒されており、また、サイバー犯罪者には適用されるとこのない、法律の下で活動しなければならない。

Lee は、「適切なデータ・セキュリティとプライバシー管理に対して投資するよりも、罰金を払ったほうが安いと考える組織が、依然としてあまりにも多い。そして、責任感の強い企業であっても、革新的な攻撃を受けることがある。なぜなら、多くの企業が使用しているツールは、ホワイトリスト/ブラックリスト/パターンマッチング/ヒューリスティックといった、時代遅れのアプローチに依存しているか、あるいは、新たに出現する攻撃のスタイルを想定して構築されていないからだ」と述べている。

この記事は、サイバー・セキュリティの攻防について警鐘を鳴らしています。James E. Lee は、「セキュリティ担当者が直面しているのは、時間と資源をかけてリバース・エンジニアリングを行い、主要なソフトウェアを掘り下げることも可能な、脅威アクターたちの活動をベースとした攻撃ベクターであり、それは OEM メーカーでさえも不可能なレベルに達している。その結果、開発プロセスでは対処できなかった、ゼロデイを悪用する攻撃が増えている」と指摘しています。

また、深刻度が Medium や Low の脆弱性が、複雑に連携するケースも増加しています。こうした脅威は、CVSS スコアに基づいて、パッチ適用の優先順位を決めている多くの企業にとって、警告の対象にならないことが多々あります。Lee は、「言い換えるなら、私たちは古い武器を手にとって、組織と装備が十分に整った敵と、新しい戦いをしている」と述べています。現在のデータ流出の統計を調べると、サイバー犯罪者が戦術を変え続ける一方で、サイバー・セキュリティ業界が遅れをとっているという、現在と近未来の状況が描かれています。そして、このような議論で欠けているのは、データ漏洩やサイバー攻撃が、人々の生活に影響を与えているという事実です。Lee は、「脅威アクターたちが、いまよりも積極的に行動するようになれば、いまの被害や不便といったリスクを超えて、これまで以上の大規模な実害が生じる」と述べています。

%d bloggers like this: