現実のデータ漏洩/侵害事故2122件を調査、ベライゾンが2015年版報告書を発表
125万件の情報漏洩、リアルな平均損失額は「1.5~2億円」
2015年06月12日 06時00分更新
ベライゾンジャパンは6月10日、「2015年度データ漏洩/侵害調査報告書」の日本語版公開に先駆けて記者発表会を開催した。同報告書では、世界70の企業/組織の協力の下、データ漏洩/侵害が確認された2000件余りについて、原因や損失額などの詳細な分析を行っている。
世界中のリアルな情報漏洩事故を調査、今年は「損失額」も算出
ベライゾンでは毎年、実際に発生したデータ漏洩/侵害事故について、原因や被害規模などを具体的に調査した報告書を発行している。2015年版は、JPCERT/CCを含む世界70の企業/組織が協力し、61カ国で発生した標的型攻撃に関わる7万9790件のインシデントから、データ漏洩/侵害が確認された2122件について分析を行っている。
今年のレポートでは、新たに「データ漏洩/侵害時に発生しうるコストの推定額」の項目が追加された。従来の報告書では、10万件以上の漏洩案件を対象外とし、さらに単純計算で損失額が算出されていた。2015年版ではこの計算モデルを改め、10万件以上の案件も対象に含めたうえで、クレジットカード情報、個人情報、個人の医療情報などの漏洩事故における実際の請求額をベースに調査費用や弁護士費用なども加味して、より“リアルな”損失額を算出している。
この計算モデルによれば、1000件が漏洩した場合の平均損失額は約5万2000~8万7000ドル(1ドル120円換算で約627万~1000万円)、1000万件の場合は約210万~520万ドル(同 約2億5510万~6億2900万円)となった。ベライゾンのセキュリティ担当ディレクター、グエン-ユイ氏は、「サイバー攻撃に対する保険料の目安として、あるいはセキュリティ製品購入の際の説得材料として活用してもらえれば幸いだ」と語る。
データ漏洩/侵害の原因は「9つのパターン」に集約される
では、実際に起きたデータ漏洩/侵害の原因は何だったのか。ベライゾンの分析によると、9つのパターンに集約されるという。上位から順に「POSへの侵入」(28.5%)、「クライムウェア」(18.8%)、「サイバースパイ活動」(18%)、「内部者による不正使用」(10.6%)、「Webアプリケーション攻撃」(9.4%)となっており、このトップ5だけで全攻撃の85%を占める。「これらの領域に対するセキュリティ対策を重点的に実施すると、効果が得られる」(グエン-ユイ氏)。
また、攻撃者がシステム侵入に成功してからデータを盗み出すまでの時間は「24時間未満の事例が75%」、また「およそ70%の攻撃で未知の脆弱性が利用されている」など、現在のサイバー攻撃の高度さを裏付けるデータも挙がっている。ただし、「利用された脆弱性を見ると、何年も前に発見されたCVE(ぜい弱性の識別番号)を悪用するエクスプロイトが97%も占め、古いものでは1999年のものもある」(グエン-ユイ氏)など、対策の不備も絶えないと指摘する。
企業のIT/セキュリティ担当者が実施すべき基本対策として、同レポートでは7つのポイントを挙げている。
・警戒を怠らない:継続的なログ監視や変更管理など
・セキュリティ教育の徹底
・アクセス権限の強化
・セキュリティパッチの早期適用
・機密データの暗号化
・二要素認証の採用
・物理セキュリティの導入
特に、今回の調査対象において実施可能な対策を分析したところ、「二要素認証」(24%)と「Webサービスへのパッチ適用」(24%)で、インシデントの大半を防げる可能性が高いことが分かった。
もちろん、それだけで対策が完成するわけではない。「侵入の手口は、脆弱性攻撃やフィッシングメールなど、(高度というよりは)比較的シンプルだ。しかし、一度でも侵入を許してしまうと検知が難しくなるなど厄介になる」。グエン-ユイ氏は、シグネチャで検知する対策製品だけでなく、平常時のアプリケーションのふるまいなどに基づいて異常を検知するソリューションの導入が重要だと述べた。