データ侵害を防ぎたいなら、まずは経営陣を守れ ベライゾン：ランサムウェアの被害額と頻度も急増中

ベライゾンジャパンは、「2023年度 データ漏えい／侵害調査報告書」を公開した。それによるとランサムウェアはデータ侵害全体の24％を占め、インシデント対応にかかる費用はここ2年間で倍増しているという。

[＠IT]

　ベライゾンジャパンは2023年6月16日、「2023年度 データ漏えい／侵害調査報告書（DBIR）」を公開した。同社によると2023年度版は、法執行機関や法医学組織、法律事務所、CCERT（Computer Emergency Response Team）、ISAC（Information Sharing and Analysis Center）、政府機関など、国内外の87カ所のデータ寄与協力組織から収集した1万6312件のセキュリティインシデントを分析しており、5199件のデータ侵害を確認したという。

ベライゾンジャパンのWebページから引用

データ侵害の要因、ほとんどが「人的要因」

　2023年度版で特に目立つのは「ランサムウェアによる身代金額の高騰」だ。

　ランサムウェアはデータ侵害全体の24％を占め、サイバー攻撃の主要な手段となっている。ランサムウェアのインシデント対応にかかるコストの平均はここ2年（2021〜2023年）で倍増。また、費用だけでなく頻度も急増しているという。ランサムウェアによって損失が生じたインシデントの95％で、100万〜225万ドルの費用がかかっていた。

　一方、データ侵害の大部分は人的要因によるもので、74％だった。フィッシングやなりすましなどの手法によって機密情報を操作するものだ。特に、社員になりすまして金銭的利益を得る「ビジネスメール詐欺」（BEC）と呼ばれる攻撃手法が増加している。米インターネット犯罪苦情センター（IC3）のデータによると、ビジネスメール詐欺による被害額は平均5万ドルにまで増えていた。

　外部の攻撃者が企業内部に侵入する手段としては「認証情報の盗用」が最も多く、49％。次いで「フィッシング」（12％）、「脆弱（ぜいじゃく）性の悪用」（5％）などが挙がった。

　ベライゾン・サイバーセキュリティ・コンサルティングのマネージング・ディレクターを務めるChris Novak氏は、「多くの企業で、経営陣などの上層部に対するサイバーセキュリティの脅威が高まっている。彼らは最も機密性の高い情報を持っている上に、セキュリティプロトコルの例外を設けている企業が多く、保護が極めて手薄になっている。ソーシャルエンジニアリングが普及し、ますます巧妙になっているため、高額の被害をもたらすシステム侵害を避けるために上層部に対する保護を強化する必要がある」と述べている。