IBMは、2023年版の「データ侵害のコストに関する調査」(日本語版)レポートを公開しました。本ブログでは、このレポートをさらに探究し、ソーシャルエンジニアリングが含まれる攻撃がデータ侵害のコストに与える影響を取り上げます。
このブログでも毎年取り上げていますが、ベライゾンの「データ侵害調査報告書」とIBMの「データ侵害のコストに関する調査」は必ず目を通していただきたいレポートです。これらのレポートは長年にわたって毎年日本語版としても公開されており、データ侵害の状況がどのように変化しているかについて重要な洞察を提供しています。IBMのレポートでは、データ侵害の検出と修復に関連するコストがどのように変化しているのかを確認できます。
IBMの最新レポートによると、データが侵害された場合に組織が負担する平均コストは445万ドルであり、侵害を特定するまでに平均で204日、封じ込めに平均73日を要しています。同レポートに関連するブログで、フィッシングが含まれる攻撃によってデータが侵害された場合、その検出と修復には最もコストがかかることを説明しましたが、本IBMのレポートは、攻撃に使われ媒体がメール、Web、音声、テキストを問わず、人を操るソーシャルエンジニアリングが使用された場合、検出・修復のコストへの影響がさらに拡大することを明らかにしています。
- 攻撃にソーシャルエンジニアリングが含まれる場合、データ侵害のコストは平均でさらに10万ドル程度増加する。
- さらに、侵害を特定するまでにかかる日数も234日へと跳ね上がる。これは、ソーシャルエンジニアリングによって、従業者の認証情報が窃取されたり、サイバー攻撃者に代わって何らかの操作を行うように被害者が誘導されたりすることが原因だと考えられる。いずれの場合でも、サイバー攻撃者は、正規のユーザーの認証情報を使って操作するために、従業員が実行している操作のように見えてしまう。
- 結果として、データ侵害の封じ込めに要する日数は80日に増加する。
ソーシャルエンジニアリングの影響を決して軽視してはなりません。ユーザーを騙して認証情報を得たり、サイバー犯罪者に利益をもたらす行動をユーザーに実行させたりすることが、往々にしてサイバー攻撃の成否を分けます。ソーシャルエンジニアリングに対抗する最も有効なツールは、セキュリティ意識向上トレーニングです。このトレーニングによって、何らかの操作を行うように誘導する攻撃者の正体を見破る方法を、従業者に対して継続的に教育でき、従業員一人ひとりが攻撃を阻止するための最終防衛線として役割を果たすことができるようになります。
原典:Stu Sjouwerman著 2023年8月23日発信 https://blog.knowbe4.com/data-breaches-social-engineering-attacks