Verizon社は、毎年、データ漏洩・侵害調査報告書(DBIR)を発表し、1年間に発生したインシデントに関する豊富な情報を提供しています。同社は70の組織(Intel Securityも含まれます)から収集した情報をまとめ、61か国で確認された2,000件以上のデータ漏洩/侵害事例、8万件近い個別のインシデントを分析しています。セキュリティ業界の専門家にとって、この情報は非常に有益です。世界中で何が起こっているかを俯瞰できるからです。私はいつも、DBIRの発表を待ちかねています。実は、今朝、最初にしたことが、報告書をiPadに読み込むことでした。そして、リラックスした体勢で中身を丹念に読みました。さて、ここで読者が抱く疑問はきっと、この報告書がセキュリティ業界以外の人間にとってどのような意味を持つのかということでしょう。または、たとえば、「なぜ私の両親が、この報告書に関心を持たなければいけないのか」と。
パスワード
パスワードは、誰もが日々、取り扱っているものです。しかも、1回では済みません。私たちの調査によると、人々は平均で27種類のログイン名とパスワードを保有しています。これだけ多くのパスワードを記憶していなければならないとしたら、どんなに記憶力が優れている人でも、1つ、または2つのパスワードを異なるアカウントで使い回しています。Verizon社のDBIRによると、データ漏洩・侵害の63%は弱いパスワードが関係しています。つまり、半数以上の事例では、高度なハッキングやエクスプロイトの手法は必要なかったということです。パスワードの盗難や弱いパスワード、さらには初期設定のパスワードを使うことによって、攻撃者の侵入やデータの窃取を招いていたのです。盗まれたパスワードが頻繁にオンラインで公開されていること、また初期設定のパスワードのままでウェブカメラに接続している人がいる事実を考えると、この高い数値も納得できます。悪人たちが、情報セキュリティチームや高度なセキュリティツールを擁する組織を相手にしても、これほどの成果を上げられるのであれば、個人ユーザーを攻撃するのはどれほど容易なことでしょう。彼らは、こうしたパスワードをどのように入手しているのでしょうか。
フィッシング
誰かの機密情報を入手する最も簡単な方法は何でしょうか。それは、銀行やクレジットカード会社からの正規の通知、または友人や家族からのメッセージに見せかけた電子メールを送信することです。フィッシングメールは、ソーシャルエンジニアリングの手法を用いて人々をだまし、リンクをクリックさせたり、マルウェアをダウンロードさせたり、偽のウェブサイトに誘導したりして、機密情報を集めます。フィッシングが相変わらずやっかいな問題である理由は、それがうまくいくからです。
Verizon社の報告書によると、フィッシングメールを受け取った人の30%がメールを開き、そのうち13%が添付ファイルやリンクをクリックしています。フィッシングメールが最初にクリックされるまでにかかる時間は、4分未満とのことです。
では、悪人たちはどのような経緯で、こうした最新鋭のマルウェアをフィッシング攻撃で使用するようになるのでしょうか。新規のエクスプロイトがメディアを賑わす一方、実際に詐欺に使用されているのは旧来のエクスプロイトなのです。
修正プログラムを適用する
多くの関心を集めるのは最新の脆弱性であり、そこから人々を保護することは確かに重要です。しかし、Verizon社によると、エクスプロイトの成功例の85%は、著名なトップ10の脆弱性を狙ったものです。つまり、首尾良く目的を遂げた大半の攻撃が利用しているのは、誰もが知っていて、たいていは修正プログラムが提供済みの脆弱性なのです。もちろん、その他15%の脆弱性も重要であり、きちんと対処する必要があります。実際、その15%によって900件以上の脆弱性の事例が生み出されています。しかし、適切に修正プログラムを適用して更新を実行していれば、多くの問題は回避できたはずなのです。
この情報の活用方法
この報告書の素晴らしい点は、これらの知見を活用するのに、多額の予算や大勢のセキュリティの専門家を必要としないことです。悪事を食い止めるために家庭でできる基本的な対策がいくつもあります。
- パスワードに関する習慣を強化する。オンラインで使用するアカウントには、それぞれ複雑で唯一のパスワードを使用してください。すべてのログイン情報を把握するのは、最初は大変に思えるかもしれませんが、オンラインで提供されている各種のパスワード管理ツール(True Keyなど)を使用してください。パスワード生成機能やパスワードを所有している全ての機器で簡単に同期できる機能を備えたツールを探してください。
- 疑い深くなる。フィッシングの被害はいまだに続いており、近い将来にその勢いが衰える気配はありません。フィッシング攻撃の成功率が高いことから、リンクや添付ファイルを含む疑わしい電子メールに警戒する必要があります。家族の誰かから、新しいアプリのダウンロードリンクを含む電子メールが送られてきたら、ちょっと時間を取って、それが本人からのメールか、本人のふりをしている誰か別の人なのかを確かめてください。
- 更新と保護。システムを常に最新の状態に維持することは、従来のウイルスから身を守るために有効ですが、さらに、システムにウイルス対策ソフトをインストールして、新しい脅威や、OSやアプリケーションによって修正されていない旧来の脅威から身を守ることも必要です。McAfee Labsチームでは、現在、1秒間に平均5個の新しい脅威を発見しており、悪人たちの勢いが衰える兆しは見られません。ウイルス対策ソフトをインストールすることは、自分のシステムがサイバー犯罪の道具として悪用されるのを防止する簡単な方法です。
ベテランのセキュリティ専門家でさえ、このあまりの脅威の多さに圧倒されそうになりますが、ほんの少しの手間をかけるだけで、次に自分がその統計数字の一部にならずに済むのです。
個人ユーザーやモバイル機器を狙った最新の脅威を常に把握しておくために、Twitterで私や@McAfee_JPをフォローし、Facebookで「いいね」を押してください。
安全なネット利用を!
※本ページの内容は2016年4月27日更新のMcAfee Blogの抄訳です。
原文: Why Is the Verizon Data Breach Investigations Report Important to Me?
著者: Bruce Snell(Technical Director)