IBMは、2023年版の「データ侵害のコストに関する調査」(日本語版)レポートを公開しました。本ブログでは、このレポートをさらに探究し、ソーシャルエンジニアリングが含まれる攻撃がデータ侵害のコストに与える影響を取り上げます。
IBMの最新レポートによると、データが侵害された場合に組織が負担する平均コストは445万ドルであり、侵害を特定するまでに平均で204日、封じ込めに平均73日を要しています。同レポートに関連するブログで、フィッシングが含まれる攻撃によってデータが侵害された場合、その検出と修復には最もコストがかかることを説明しましたが、本IBMのレポートは、攻撃に使われ媒体がメール、Web、音声、テキストを問わず、人を操るソーシャルエンジニアリングが使用された場合、検出・修復のコストへの影響がさらに拡大することを明らかにしています。
ソーシャルエンジニアリングの影響を決して軽視してはなりません。ユーザーを騙して認証情報を得たり、サイバー犯罪者に利益をもたらす行動をユーザーに実行させたりすることが、往々にしてサイバー攻撃の成否を分けます。ソーシャルエンジニアリングに対抗する最も有効なツールは、セキュリティ意識向上トレーニングです。このトレーニングによって、何らかの操作を行うように誘導する攻撃者の正体を見破る方法を、従業者に対して継続的に教育でき、従業員一人ひとりが攻撃を阻止するための最終防衛線として役割を果たすことができるようになります。
原典:Stu Sjouwerman著 2023年8月23日発信 https://blog.knowbe4.com/data-breaches-social-engineering-attacks