メインコンテンツへスキップ
ベライゾンの「2021年データ侵害調査報告書」で、フィッシングとソーシャルエンジニアリングが大きな脅威となっている

ベライゾンの「2021年データ侵害調査報告書」で、フィッシングとソーシャルエンジニアリングが大きな脅威となっている

2021年6月28日
エコシステムニュースセキュリティ・インサイト

まだご覧になっていない方のために、Verizonが独創的で説得力のある「2021年データ侵害調査報告書」を発表しました。そこで今回は、パンデミックの間に増加傾向にあり、報告書内で50回以上言及されているフィッシングに関する調査内容に注目してみたいと思います。

フィッシングは、過去2年間にわたり、情報漏洩事件における主要な攻撃手法の一つであり続けています。 しかし、フィッシングはこれまでの実績に甘んじることなく、隔離措置を巧みに利用してその発生頻度を高め、情報漏洩の36%(昨年は25%)を占めるに至った。この増加は、世界的な外出自粛令が発令された際に、フィッシングおよびCOVID-19関連のフィッシング手口が当初急増したことを踏まえると、我々の予想通りである。

ベライゾン 2021年データ侵害調査報告書

ベライゾンの調査チームは、88カ国で29,207件のセキュリティインシデントを確認し、そのうち5,258件がデータ漏洩であることが判明しました。データ漏洩に関する具体的な数値は以下の通りです:

  • 情報漏洩事件の36%でフィッシングが確認され、前年比11%増となった
  • ランサムウェアが関与する情報漏洩は全体の10%を占めており、昨年比で2倍以上に増加している
  • 情報漏洩の85%には人的要因が関与していた
  • 情報漏洩の61%で認証情報が関与していた

フィッシング詐欺の後に電話がかかってくる

グローバル・サイバー・アライアンス(Global Cyber Alliance)主催の「Cyber Trends 2021」イベントにおいて、ベライゾンの調査対応・脅威インテリジェンス担当マネージング・プリンシパルであるフィリップ・ラービー氏が、同レポートのデータを基に背景解説と洞察を提示しました。その一つとして、フィッシング攻撃に続いて電話がかかってくるという傾向について言及しました。 この詐欺電話において、フィッシャーはメールの受信者にメールを開くよう強く促しました。リアルタイムで他者からフィッシングメールをクリックするよう求められ、その切迫感とプレッシャーにさらされた結果、被害者はしばしばクリックしてしまい、その結果、悪意のあるペイロードがネットワーク上に放出されてしまいました。この電話詐欺の手法は、標的を絞ったソーシャルエンジニアリングを用いたメールと電話を統合した、新たな形態のスピアフィッシング攻撃の到来を告げるものです。

ビジネスメール詐欺

ベライゾンの『2021年データ侵害調査報告書』のソーシャルエンジニアリングに関するセクションでは、「この手口の侵害の大部分はフィッシングによるものであり、クラウドベースのメールサーバーが主な標的となっている。ビジネスメール詐欺(BEC)は、ソーシャルエンジニアリングの手口の中で2番目に多いものだった。 この攻撃シナリオは、ソーシャルエンジニアリング関連のインシデントにおいて昨年比15倍に急増した『虚偽の表示』の急激な増加を反映している。」同報告書で調査された攻撃のうち、資金の不正送金に成功したケースの58%において、平均「損失額は3万ドルで、BECの95%は250ドルから98万4,855ドルの損失をもたらした。」

認証情報の盗難=巨額の利益

ソーシャルエンジニアリングやフィッシングによる認証情報の窃取は、依然としてサイバー犯罪者にとって最優先の標的となっています。「認証情報は、データの種類の中で最も魅力的な『グレーズドドーナツ』のようなものだ」とベライゾンは述べています。このように乗っ取られた電子メール、ネットワーク、およびアプリケーションのログイン情報を利用することで、攻撃者はネットワークやシステムにさらに深く侵入し、BEC(ビジネスメール詐欺)の手口を実行したり、マルウェアやランサムウェアをインストールしたり、個人を特定できる情報を盗み出したり、知的財産や機密情報を奪い取ったりすることが可能になります。

「フィッシング攻撃が横行している現状において、認証情報が悪用されるケースが頻繁に見られる」と報告書は指摘している。「個人データもまた主要な標的となっている。社会保障番号や保険番号といったデータ要素に加え、犯罪者がさらなる金融詐欺を行うことを可能にするその他の情報が組み合わさっているためだ。」

ベライゾンのデータ漏洩件数

批判の的となっている行政

行政部門は、フィッシング攻撃者の格好の標的となっています。ベライゾンによると、「信憑性のあるフィッシングメールを作成できる攻撃者たちは、この分野において驚くべき速さで認証情報を盗み出しています」。 「この業界における情報漏洩の69%以上は、ソーシャルエンジニアリングの手口によるものでした。明らかに、この業界はフィッシング犯たちにとって格好の標的となっています。ソーシャルエンジニアリングの手口は、ほぼ例外なくメールを媒介としたフィッシングでした。プリテクスティング(口実作り)が利用されることはほとんどなく、単純なフィッシングで目的が達成できるのに、わざわざシナリオをでっち上げる手間をかける必要があるでしょうか?」

公益事業者がソーシャルエンジニアリングの被害に遭う

また、公益事業セクターについても少し触れておかなければなりません。公益事業が分類されるベライゾンの調査カテゴリーには、鉱業、採石業、石油・ガス採掘業も含まれています。 ソーシャルエンジニアリングが再び顕著であり、「一部の組織に対して持続的なフィッシング攻撃が行われている。この業界における情報漏洩の86%はソーシャルエンジニアリングによるもので、次いでシステム侵入、基本的なWebアプリケーション攻撃が続いている」。本要約の公開時点では、あの凶悪なコロニアル・パイプラインへの攻撃の詳細は明らかになっていないが、報告書の統計を踏まえると、ソーシャルエンジニアリングやフィッシングといった攻撃ベクトルについて考えざるを得ない。

DMARCとdmarcianの活用方法

DMARCは、ソーシャルエンジニアリングやフィッシング攻撃を行う犯罪者からインターネットドメインを保護する役割を果たします。 DMARCは、組織が電子メールをドメインベースのサービスとして管理できるようにする「接着剤」のような役割を果たします。偽装防止技術としてのDMARCの有用性は、はるかに重要な革新に由来しています。悪意のあるメールをフィルタリングして排除しようとするのではなく、正当なメールを簡単に識別できる手段を運用者に提供してはどうか、という発想です。事実上、DMARCが約束するのは、「悪質なメールを排除する」という従来のセキュリティモデルに、「正当なメールを許可する」というモデルを付加することです。

dmarcianの使命は、DMARCの普遍的な普及を実現することです。私たちは、この技術を推進し、あらゆる規模や業種の組織がDMARCを導入できるよう支援することで、その発展に貢献しています。適切に構築されたDMARCの導入は、組織の信頼できるオンラインプレゼンスの基盤となることを、私たちは学びました。

当社は、組織のドメインカタログの評価から、DMARCの導入および長期的な運用管理まで、全面的にサポートいたします。無料トライアルにご登録いただければ、導入支援およびサポートチームが全プロセスをサポートいたします。

この件について議論を続けたいですか?ぜひdmarcianのフォーラムへお越しください。

サイバー犯罪フィッシング調査

関連記事