データ漏洩は様々な要因で引き起こしていますか、最大の要因は最弱のリンクである「人」であると言えます。2023年版Verizonデータ侵害調査報告(Verizon 2023 Data Breach Investigations Report)の詳細から、「人」がデータ漏洩の最大の原因になっている仕組みと理由が見えてきます。
今年新たに公開された2023年版Verizonデータ侵害調査報告侵害報告書は、攻撃者が組織に最初に入り込む方法を明らかにしています。同レポートによると、「攻撃者が組織に最初に侵入するのに利用している主な方法は認証情報の窃取、フィッシング、システムの脆弱性への攻撃の3つであると解説しています。
下の図7に示すように、認証情報の窃取とフィッシングが2大原因になっています。
図7:攻撃者が組織に最初に侵入するのに利用している主な方法 (n=4,291) 原典: Verizon
実際、データ漏洩を引き起こした方法の第1位に挙げられているのが、盗まれた認証情報の使用です。このレポートでは、認証情報の窃取とフィッシングは別々に分類されていますが、両者は密接に関係しています。
本レポートは、組織に最初に入り込む方法の約9割がソーシャルエンジニアリングとヒューマンエラーによって引き起こられていると指摘しています。また、ソーシャルエンジニアリングは、ユーザーから認証情報を窃取するために使用されていますが、これらのユーザーの多くは攻撃を受けたことに気が付いていないという問題点も指摘しています。
ユーザーを騙してログインパスワードなどの認証情報を盗み取るクレデンシャルハーベスティングなどのソーシャルエンジニアリング攻撃への対策は、喫緊の課題です。ソーシャルエンジニアリング攻撃は今、あなたの組織に起きても、不思議ではありません。
メール、Web、SNSなどを介して従業員の認証情報を盗み出そうとするソーシャルエンジニアリングは、ますます巧妙化されています。セキュリティ意識向上トレーニングは、巧妙化するソーシャルエンジニアリングに騙される可能性を減らすために重要な役割を果たします。
継続的なセキュリティ意識向上トレーニングは、人的要素への抜本的な対策です。ランサムウェア、CEO攻撃/詐欺、ビジネスメール詐欺(BEC)を始めとする巧妙化するソーシャルエンジニアリング手口などの社員ひとり一人のセキュリティに対する認識を高めることで、「人」を狙うセキュリティ脅威から個人、組織、団体を防御することを支援します。
原典:Stu Sjouwerman著 2023年6月8日発信 https://blog.knowbe4.com/verizon-data-breaches-human-element
