2025年版Verizonデータ漏洩調査報告書によると、第三者を介したサイバー攻撃が増加しています。また、脆弱性を悪用した攻撃に分類されるVPNとエッジデバイスの割合は、前回の報告書の3%と比較して約8倍に増加しました。
ベライゾンは、2023年11月1日から2024年10月31日までの間に世界中の100を超えるデータ提供者から収集された22,052件の実際のセキュリティインシデントのうち、12,195件のデータ侵害を調査した。
脆弱性の悪用が増加
悪用された脆弱性は35%増加し、すべての初期アクセス経路の20%を占めました。第18回年次報告書によると、最も一般的な攻撃経路は依然として認証情報の不正利用(約22%)です。次いで、脆弱性の悪用(約20%)とフィッシング(約16%)が続いています。
「組織はエッジデバイスの脆弱性を修正するために非常に懸命に取り組みましたが、私たちの分析では、年間を通じて完全に修復されたのは約54%に過ぎず、完了まで平均32日かかりました」と報告書の著者であるC・デビッド・ハイレンダー、フィリップ・ラングロワ、アレックス・ピント、スザンヌ・ウィダップは述べています。
「VPN技術は誰でも簡単にアクセスできるべきではないことは明らかです」と、Dispersiveのバイスプレジデントであり、元ガートナーのサイバーセキュリティ責任者であるローレンス・ピングリー氏はTechRepublicへのコメントで述べています。「これはVPN技術の設計における根本的な問題の一つです。インフラVPNの攻撃対象領域を排除することは、セキュリティにおいて見落とされがちな側面であるため、企業にとって極めて重要です。従来のVPNやファイアウォールからの移行は容易ではありませんが、その価値はあります。」
身代金を支払った組織は前年より減少
ランサムウェア攻撃は、昨年と比較して侵害件数で37%増加しましたが、一方で身代金の支払いは減少しました。身代金の中央値は11万5000ドルで、前年の15万ドルから減少しました。この傾向は、身代金の支払いを拒否する組織が増加していることを示唆しており、調査対象となった被害組織の64%が支払いを拒否しています。
この減少は、ランサムウェア攻撃者が小規模な組織を攻撃することが多いことを反映している可能性もあります。ランサムウェア関連の侵害の 88% は中小企業が関与しているのに対し、ランサムウェアは侵害全体の 39% を占めています。
参照:TechRepublicの独占記事で、記者のフィオナ・ジャクソンが、ハッカーが「心理的圧力をかける」ことで、新たなランサムウェア攻撃がより個人的なものになりつつあることを詳述している。
「楽観的な人は、身代金を支払わなかった被害組織の増加を喜ぶでしょう。2年前は50%でしたが、現在は64%にまで増加しています。楽観的な人は、DBIR(情報セキュリティ報告書)を見て、適切なITおよびサイバーセキュリティの成熟度を備えていない組織(多くの場合、中小企業)が、その規模に見合った代償を払っていることに気づくでしょう。ランサムウェアは侵害の88%に存在しています」と、IDCのセキュリティサービス担当リサーチバイスプレジデント、クレイグ・ロビンソン氏はプレスリリースで述べています。
Verizon チームが調査したすべての侵害の 44% にランサムウェアが存在しており、前年比 32% の増加を示しています。
サードパーティのリスクは、Software-as-a-Service(BYOD)から発生する可能性がある
今年のレポートでは、サードパーティとの関係の重要性とリスクが重要なポイントとなりました。サードパーティが関与する侵害件数は15%から30%に急増しました。Verizonチームは、2024年4月に発生したSnowflakeの侵害において、攻撃者は盗んだ認証情報を使用してプラットフォームにアクセスしたと指摘しました。
「共有責任モデルについては多くの議論が交わされているため、ここではそのすべてに立ち入るつもりはないが、第三者と協力する際には、自身のセキュリティ上の制限だけでなく、第三者のセキュリティ上の制限も考慮する必要があることを理解しておくことは価値がある」と著者らは書いている。
SaaS(Software-as-a-Service)プロバイダーも、サードパーティの認証情報漏洩の原因となる可能性があります。盗難された認証情報とBYODポリシーは、サードパーティのリスクに重大な影響を及ぼす可能性があります。レポートによると、侵害されたシステムの30%は企業ライセンスを取得したデバイスであり、46%はビジネスと個人の認証情報の両方を保持する非管理デバイスでした。レポートではこれらのデバイスに関する正確な情報は得られていませんが、BYODポリシーまたは企業所有のデバイスを個人的な活動に使用したことが原因であるとしています。
「DBIRの調査結果は、多層防御戦略の重要性を強調しています」と、Verizon Businessのグローバルサイバーセキュリティソリューション担当バイスプレジデント、クリス・ノヴァック氏は述べています。「企業は、強力なパスワードポリシー、脆弱性へのタイムリーなパッチ適用、従業員向けの包括的なセキュリティ意識向上トレーニングなど、強固なセキュリティ対策に投資する必要があります。」
アンケート:あなたのソフトウェアサプライチェーンは安全ですか?セキュリティに詳しい皆様、姉妹サイトDZoneのコミュニティで、皆様の経験、ヒント、洞察を共有しませんか?今すぐセキュリティアンケートにご回答ください!
