Apple Commissions Data Breach Study to Highlight Need for End-to-End Encryption
2023/12/07 SecurityWeek — Apple が委託した調査により、過去2年間にわたるデータ漏洩の結果が分析され、推定で 26億件の個人記録が漏洩していたことが判明した。同社は、End-to-End 暗号化 (E2EE:end-to-end encryption) の必要性を訴えている。この “The Continued Threat to Personal Data: Key Factors Behind the 2023 Increase” という調査は、MIT の Stuart Madnick 教授により実施されたものであり、過去1年間に発生した主なデータ漏洩を精査し、いくつかの傾向を明らかにしている。
特筆すべきは、このレポートが参照しているものが、オリジナルのデータではない点である。漏洩した個人記録の件数は、2021年の Verizon のデータと 2022年の推定値 (2021年は11億件、2022年は15億件) を組み合わせたものだという。
この調査の対象とされる状況を列挙すると、深刻なデータ漏洩につながるランサムウェア攻撃/ハッカーに繰り返し狙われた企業/クラウドのミスコンフィグレーションに起因するインシデント/政府組織と請負業者を狙った攻撃/特に機密性の高い個人情報を保管している企業への攻撃などとなる。また、地域別のデータ漏洩や、サードパーティー・ベンダーへの侵害に起因する、大規模なインシデントに関する情報も提供している。
さらに、過去 10年間における、Apple/Google/Meta/Proton/Signal/Skiff などの企業による、End-to-End 暗号化 への取り組みも紹介している。ちなみに、捜査当局による潜在的な犯罪行為の捜査を容易にする、暗号化バックドアの実装が政府により求められているが、Apple は他のハイテク大手と同様に、長い間にわたり、反対し続けてきた。
実際に、同社は E2EE (End-to-End Encryption) の導入を加速させている。クラウド・データのセキュリティ向上を目的とする、“Advanced Data Protection for iCloud” を推進するための取り組みのひとつとして、今回の調査は実施されている。
この機能を有効化すると、バックアップ/メモ/写真などの 23種の機密データが、E2EE により保護されると、同社は述べている。それにより、クラウド環境自体を侵害する攻撃が発生しても、それらの機密データは保護される。
この Apple による調査ですが、Verizon のデータを参照しているとのことなので、Data Breach Investigations Report の 2022 と 2023 が用いられているのでしょう。いずれも、100ページほどの長編レポートであり、そろそろ 2024 がリリースされる時期という感じがします。このような網羅性の高いデータが、さらに目的を絞った調査で再利用されると、Verizon の人たちも嬉しいはずです。最新版が、待ち遠しいです。
IoT OT Security News 
You must be logged in to post a comment.