IBMが発表したデータ侵害のコストに関する最新データによると、フィッシング、ビジネスメール詐欺(BEC)、認証情報盗難は、そのインシデントを検知・特定し、封じ込めるには、極めて長時間を要すると、その対応の難しさを指摘している。
IBMが発表した「2022 Cost of a Data Breach」レポートは、極めて興味深い所見を指摘してくれている。これによると、フィッシング、ソーシャルエンジニアリング、ビジネスメール詐欺(BEC)や認証情報盗難に始まるデータ侵害が組織に与える影響(損害額)が顕著に大きくなっていること明らかにしている。
フィッシングやソーシャルエンジニアリングは、ビジネスメール詐欺(BEC)や認証情報盗難などと緊密に絡み合って、さらなる悪質な行為のための踏み台として利用されている
IBMのレポートによると、2022年のデータ侵害を総括すると、その平均損害額は435万ドルで、データ侵害を特定し封じ込めるまでに平均277日要すると指摘している。
このレポートでは、データ侵害の発端となった最初の攻撃ベクトルに基づいて、考察しているが、攻撃ベクトル別のデータ侵害コストの平均は以下の通り。
- フィッシング - 491万ドル
- ビジネスメール詐欺 (BEC)- 489万ドル
- 認証情報盗難 - 450万ドル
- ソーシャルエンジニアリング - 410万ドル
何故、そんなに高額になるか。その理由の多くは、攻撃者が(標的の環境内で侵入拡大(ラテラルムーブメント)し、認証情報やアクセス管理データにアクセスし、機密データを流出させるまでに、どの程度の時間、発見されずに攻撃者の行動を許すかにデータ侵害のコスト攻撃者は関連している。
このレポートをされに見てみると、封じ込めに最も時間がかかるのは、ユーザーを巻き込んだ攻撃であることが分かる。
原典: IBM
検知(特定)・封じ込めまでの平均日数は277日であるが、認証情報盗難、フィッシング、ビジネスメール詐欺(ユーザーが関与する攻撃ベクトル)がこの「数字」を押し上げている。これは、攻撃者が悪質な活動を続けるためにさらに1~2ヶ月の時間の猶予を与えていることが要因であることは明らかである。
その他の所見
- 従業員のセキュリティ意識向上トレーニングは、情報漏えいの種類の49%をカバーすることができる。
- 従業員のトレーニングにより、データ侵害の影響コストとして24.7万ドルを削減している (ページ 20)。
- パブリッククラウドにおける情報漏えいは、従業員トレーニングに投資せず、パブリッククラウドプロバイダーに情報漏えいへの対処を期待している組織にとって最もコストがかかるものになっている。
フィッシングやBECの攻撃では、認証情報を盗むか、エンドポイントに感染させるかに重点が置かれている。悪意のあるメール、電話、テキストなどを受け取ったユーザーの行動ミスが、こうした大規模なデータ侵害の足掛かりなることは周知の事実となっている。
すべてのユーザーが、セキュリティ戦略の一翼を担う必要があり、継続的なセキュリティ意識向上トレーニング を通じて、メールやWeb上の疑わしいコンテンツを見極める方法を学び、情報漏えいにつながるようなネット上でのやりとりを回避できるようにすることは不可欠になっている。