ベライゾン・データ侵害調査レポート:ソーシャルエンジニアリングに関する知見
『データ侵害調査報告書(DBIR)』第17版において、ベライゾンの研究者とそのパートナーは、2022年11月1日から2023年10月31日までの間に発生した30,458件のセキュリティインシデントを分析しました。そのうち10,626件はデータ侵害が確認された事例であり、被害者は94カ国に及んでいます。 本報告書では、サイバー脅威の進化する性質、人為的ミスという根深い課題、およびリスクを軽減するための脆弱性管理の重要性について論じている。
当社の侵入経路分析によると、侵害を引き起こす主要な経路として脆弱性の悪用を伴う攻撃が、過去数年と比較して大幅に増加していることが判明しました。その数は昨年比でほぼ3倍(180%増)に達しており、MOVEitや類似のゼロデイ脆弱性の影響を注視してきた方々にとっては、驚くべきことではないでしょう。
ベライゾン 2024年データ侵害調査報告書
2024年の主なポイント
- 情報漏洩の68%は、ソーシャルエンジニアリング攻撃の被害に遭ったり、ミスを犯したりするなど、悪意のない人的要因によるものでした
- 金銭目的のインシデントの62%はランサムウェアや恐喝に関連しており、1件あたりの被害額の中央値は4万6,000ドルであった
- 情報漏洩の15%は、ソフトウェアのサプライチェーン、ホスティングパートナーのインフラ、データ管理業者などの第三者やサプライヤーが関与していた
- 情報漏洩事件の14%において、初期侵入の手口として脆弱性の悪用が確認されており、これは昨年の報告書の数値のほぼ3倍に上る
ソーシャルエンジニアリング
DBIRの調査チームによると、「プリテクスティングは依然としてサイバーセキュリティインシデントの主な原因となっており、攻撃者は既存のメールのやり取りや文脈を利用してユーザーを標的にしている」とのことです。MOVEitに関する大規模なインシデントの影響もあり、恐喝事件も劇的に増加しました。悪意ある攻撃者がAIを活用していることも相まって、ソーシャルエンジニアリング分野におけるインシデントの73%を、メールによるフィッシングやプリテクスティングが占めたことは驚くべきことではありません。以下は、DBIRがまとめたソーシャルエンジニアリングに関する数値です:
- 3,661件のインシデントが発生し、そのうち3,032件でデータ漏洩が確認された
- 攻撃者の動機は、95%が金銭目的、5%がスパイ活動であり、その割合は圧倒的に金銭目的が占めていた。
- 漏洩したデータの種類としては、認証情報(50%)、個人情報(41%)、社内情報(14%)、その他(14%)が含まれていました。
ソーシャルエンジニアリングによる侵害における主な攻撃ベクトル
「プリテクスティング」や「フィッシング」といった主要なソーシャルエンジニアリングの手口は、依然として頻繁に用いられている傾向が見られます。電子メール、テキストメッセージ、ウェブサイトを経由した攻撃など、他の定評のある手口は必ずしも目新しいものではありませんが、セキュリティの専門家であれば、ある程度の実務経験があれば、キャリアの中で何らかの形でこれらの手口に遭遇したことがあるでしょう――Verizon 2024年データ侵害調査報告書
DBIRの執筆陣は、プレテクスティングは昨年以降横ばいとなっているものの、依然としてソーシャルエンジニアリングによるインシデントのトップを占めていると記している。 彼らはプレテクスティングを、「攻撃者が既存のメールのやり取りを利用して、被害者に(入金に伴う関連銀行口座の更新など)何らかの行動をとらせるBEC(ビジネスメール詐欺)の代用手段」と見なしている。BECは引き続き組織の収益に悪影響を及ぼしており、その被害額は昨年から横ばいで、「取引額の中央値は5万ドル前後」で推移している。
フィッシング――ランサムウェアへの入り口
DBIRの研究者らはまた、「フィッシングなどを伴うソーシャルエンジニアリング攻撃は、MGMリゾーツやその他のエンターテインメント企業に対するALPHVによる侵害事件でこれらの手法が利用された事例が示すように、ランサムウェアの展開を導く上で長らく重要な役割を果たしてきた」と報告している。
フィッシングは、ネットワークへの侵入やランサムウェアのインストールを行うための主要な攻撃手段であるため、CISAは、ドメインのなりすましやネットワークへの侵入を防ぐために、SPF、DKIM、およびDMARCを導入することを推奨しています。ランサムウェアに対する基本的な防御策であるDMARCにより、ドメイン所有者は、メールを介したランサムウェアの配信試みを阻止することで、自身のドメインを不正使用から保護することができます。
まず理解すべきことは、フィッシング攻撃は瞬く間に起こるということです。メールを開封してから悪意のあるリンクをクリックするまでの中央値は21秒であり、その後、情報を入力するまでにさらに28秒しかかかりません。これにより、恐ろしい事実が浮き彫りになります。ユーザーがフィッシングメールに騙されるまでにかかる時間の中央値は、60秒未満なのです。
ベライゾン 2024年データ侵害調査報告書
フィッシングは、組織のネットワークへのアクセス権を奪うための主要な攻撃手法であり続けています。 フィッシングメールに対するクリックやデータ入力の反応が極めて速いことから、組織は定期的かつ包括的なユーザー教育に加え、DMARCのようなフィッシング防止対策を早急に導入する必要があることが浮き彫りになっている。幸いなことに、著者らはエンドユーザーのフィッシングに対する意識が高まっていると報告している。模擬フィッシング演習では、ユーザーの20%がリンクをクリックせずにフィッシングメールを報告し、11%がリンクをクリックした後に報告しており、これはフィッシング攻撃に直面した際の意識の高まりと対応力の向上を示している。
DMARCが、メールを介したランサムウェアの拡散を防ぐことで、ドメインを保護する方法について、詳しくはこちらをご覧ください。
DMARCとdmarcianがどのように役立つか
DMARCは、ソーシャルエンジニアリングやフィッシング攻撃を行う犯罪者からインターネットドメインを保護する役割を果たします。結果として、組織がメールをドメインベースのサービスとして管理するための基盤となるのです。 DMARCがなりすまし対策技術として有用である理由は、はるかに重要な革新に由来しています。悪意のあるメールをフィルタリングして排除しようとするのではなく、正当なメールを簡単に識別できる手段を運用者に提供してはどうか、という発想です。実質的に、DMARCが約束するのは、「悪質なメールを排除する」という従来のセキュリティモデルに、「正当なメールを識別する」というモデルを付加することです。
dmarcianの使命は、DMARCの普遍的な導入を実現することです。私たちは、この技術を推進し、あらゆる規模や形態の組織がDMARCを導入できるよう支援することで、その発展に貢献しています。適切に構築されたDMARCの導入は、組織の信頼できるオンラインプレゼンスの基盤となることを、私たちは学びました。
当社は、お客様のドメインカタログの評価から、DMARCの導入および長期的な運用管理まで、全面的にサポートいたします。30日間の無料トライアルにご登録いただければ、導入支援およびサポートチームが全プロセスを通じてお手伝いいたします。
この会話を続けたいですか?dmarcianフォーラムへどうぞ。
