Verizonが発表したばかりの2023年データ漏洩・侵害調査報告書は、ビジネスメール詐欺(BEC)の継続的な影響を示しています。2021年11月1日から2022年10月31日までに発生したインシデントを追跡したこの調査では、BEC攻撃が倍増し、ソーシャルエンジニアリング攻撃の50%以上を占めていることが明らかになりました。この世界的な調査には、アジア太平洋地域、EMEA(欧州・中東・アフリカ)、北米、ラテンアメリカにおけるインシデントが含まれています。
BEC は進化し、高度な手口をいくつも含むようになりました。その中には、Check Point Software の子会社である Avanan が最近報告した、Dropbox などの正規のサービスを利用してマルウェアを隠す手口も含まれています。
この調査では、業界全体の関係者、行動、傾向、インシデントを幅広く調査し、期間中に最も多くのインシデントを経験したセクターは、行政(3,270件)、情報(2,105件)、金融(1,829件)、製造(1,814件)であると指摘しました。
報告書では、主に次のような調査結果が示されています。
- すべての侵害の 74% には人的要素が含まれており、エラー、権限の不正使用、盗まれた資格情報の使用、ソーシャル エンジニアリングなどによって人が関与しています。
- 侵害の 83% には外部の主体が関与しており、攻撃の主な動機は依然として圧倒的に金銭目的 (95%) です。
- 攻撃者が組織にアクセスする主な方法は、盗まれた資格情報、フィッシング、脆弱性の悪用という 3 つです。
ジャンプ先:
- ソーシャルエンジニアリングの口実はユーザーを騙して認証情報を入力させる
- 金銭的利益は政治よりも優先される
- DDoSが攻撃パターンのトップに
- 盗まれた資格情報の使用はWebアプリケーション攻撃を促進する
- 内部関係者もいるが、ほとんどは外部関係者だ
- 盗まれた認証情報: 最も一般的な行為
- ウェブサーバーを筆頭とした攻撃対象資産
ベライゾンの調査では、953,894件のインシデント(うち254,968件は確認済みの侵害)の分析に基づき、調査期間中のソーシャルエンジニアリングインシデントの50%で、プリテキスティング(侵害につながる可能性のある情報を詐取するフィッシング戦術)が使用されていたことが明らかになりました。この調査によると、ビジネスメール詐欺(BEC)攻撃でよく使用されるこの手法は、前年比で2倍に増加しました。
Verizon は全体で 1,700 件のソーシャル エンジニアリング インシデントを報告しており、攻撃者はこれを認証情報の盗難に最も多く使用しています (図 A )。
図A
参照:新たな調査で追跡された企業の半数がスピアフィッシング攻撃の被害に遭った(TechRepublic)
金銭的利益は政治よりも優先される
スパイ活動や国家と連携した行為者の増加にもかかわらず、Verizon の調査では、侵害の 94.6% の背後には金銭的な動機があり、組織犯罪が最も一般的な脅威行為者であることが報告されています。
研究の著者らはまた、仮想通貨関連の侵害件数が昨年記録された件数と比較して今年4倍に増加したと報告している。「これは、2020年以前の、年間せいぜい1~2件程度だった、無実の時代とは大きく異なる」と著者らは記している。
Verizon は、金銭目的の攻撃の割合をカテゴリ別に報告しました。
- システム侵入: 97%、そのうちスパイ目的のものはわずか 3%。
- ソーシャル エンジニアリングによる攻撃: 89%、うち 11% はスパイ活動を目的としています。
- 基本的な Web アプリケーション攻撃: 95%、スパイ行為を目的とした攻撃は 4%。
- 紛失・盗難資産: 100% の金銭的利益。
DDoSが攻撃パターンのトップに
Verizonは6,248件の分散型サービス拒否(DDoS)インシデントを報告しました。調査の著者らは、DNSウォーター・トーチャーと呼ばれるブルートフォースDDoS攻撃の蔓延が報告されていると指摘しています(図B)。
図B
「私たちのパートナーの一部が指摘した注目点は、ご想像のとおり、共有DNSインフラストラクチャにおける分散型DNSウォーター・トーチャー攻撃の増加でした」と研究著者らは記し、この攻撃はDNSキャッシュ・サーバーでランダムな名前プレフィックスを照会することでリソースを枯渇させ、常に失敗して権威サーバーに転送するというものだと指摘した。
調査によると、マルウェアを用いた組織への侵入を目的とした攻撃を含むシステム侵入インシデントは3,966件発生しており、その多くはランサムウェアの配布に至っています。侵害されたデータは34%のケースで個人情報であり、次いでシステムデータ、そして最後に内部データが続きました。
参照: Web ユーザーは自分のデータ フットプリントをあまり意識していません。(TechRepublic)
盗まれた資格情報の使用はWebアプリケーション攻撃を促進する
ベライゾンの調査対象データセットの約4分の1は、基本的なウェブアプリケーション攻撃に関するもので、そのうち86%は、攻撃者が企業へのアクセスに利用する盗難認証情報を利用したものでした。調査では、観察期間中に1,404件の同様のインシデントが報告されており、そのうち86%は認証情報の盗難、72%は個人データ、41%は内部データの窃取を目的としていました。
Verizonは、システム管理者や開発者が犯しがちな設定ミスを含む、602件のその他のエラーも記録しました。調査によると、これらのエラーの99%は内部的なものであり、侵害の89%は個人データに関係していました。
内部関係者もいるが、ほとんどは外部関係者だ
ベライゾンによると、侵害の83%は外部からの攻撃によるもので、内部からの攻撃(意図的または不注意による)は19%を占めている。報告書の著者らは、全インシデントの62%は組織犯罪によるものだと述べている。
盗まれた認証情報: 最も一般的な行為
調査期間中の侵害のほぼ半数は認証情報の盗難に関連し、ランサムウェアの配布は侵害の20%強で中心的な攻撃手段でした。フィッシングは外部からの攻撃の12%で攻撃者の攻撃手段であり、次いで侵害が続きました。攻撃者が重点的に行っていた行動は以下のとおりです。
- プリテキスティング
- 脆弱性を悪用する
- 誤配送の発生
- 特権の乱用
- バックドアのインストール
- データの持ち出し
- ネットワークをスキャンする
ウェブサーバーを筆頭とした攻撃対象資産
Verizonが追跡した攻撃の大部分(83%)はサーバーに影響を与えました。人に直接影響を与えた攻撃はわずか20%でした。メディア、キオスク、端末、ネットワーク、組み込みシステムに影響を与えた攻撃の割合は、徐々に減少しています。
