ITRC、2019年の情報漏洩レポートを発表。キートレンドの1つにクラウド上の無防備なデータを挙げる
米国サンディエゴの非営利団体Identity Theft Resource Centerは、年次レポートである「END-OF-YEAR DATA BREACH REPORT 2019」を公開した。
■2019年のデータ漏えい件数は昨年から17%増加
レポートによると、2019年に米国内で発生した情報漏洩件数は1,473件であり、2018年に報告された情報漏洩件数1,257件から17%増加した。また、センシティブなデータの漏洩件数は、2019年には164,683,455件であり、2018年の471,225,862件から65%減少した。但し、2018年のセンシティブデータの漏洩には、マリオットの情報漏洩インシデント3億8300万件が含まれており、大きくデータを歪めている。2018のセンシティブなデータの漏洩件数からマリオットの3億8300万件を除いて計算すると、2019年のセンシティブなデータの漏洩件数は2018年から87%増加したことになる。
■2019年のキートレンド
同レポートでは、2019年のキートレンドとして、「UNSECURED DATA(無防備なデータ)」と、「クレデンシャルスタッフィング」の2つを挙げた。
・UNSECURED DATA(無防備なデータ)
データが盗まれたという明確な証拠がある、これまでの情報漏洩とは異なり、2019年は多くの組織が自社の設定ミスによって「自ら情報漏洩する」ということがトレンドとして確認された。
多くの場合、データがサイバー攻撃者によってダウンロードされたかどうかは不明であるが、誰かが設定ミスに気づくまで、数か月から数年の期間、データが外部に公開されることになる。
2019年 無防備なデータでの公開件数Top 10
Ladders 13,700,000
Ifficient 8,000,000
Adobe Creative Cloud 7,000,000
Leadership for Educational Equity (LEE) 3,690,000
3Fun 1,500,000
University of Washington Medical Center (“UW Medicine”) 973,024
Wizards of the Coast- Magic Online and MTG Arena users 452,634
Jcrush 200,000
Steps To Recovery 145,000
SkyMed Medical Evacuation Membership Service 136,995
・クレデンシャルスタッフィングの急増
クレデンシャルスタッフィング攻撃とは、何らかの方法で流出したIDとパスワードの組み合わせを使って、他のクラウドサービス等へのログインを自動的に試みるサイバー攻撃手法のこと。
クレデンシャル・スタッフィング攻撃自体は新しいことでは無いが、同レポートによれば2018年以来爆発的に増加しているという。特に中小企業(中小企業)に共通するテーマは、クレジットカード番号や銀行口座などの財務情報だけが、サイバー攻撃者にとって金銭的価値を持っているという企業側の「誤解」に起因していると指摘する。
あらゆる規模の企業からメールアドレスとパスワードが盗まれると、サイバー攻撃者が自動化されたシステムを使用して、盗まれた情報を使用して企業のアカウントにアクセスしようとする攻撃が発生する。2018年の調査によると、83%の人が複数の異なるアカウントで同じパスワードを使いまわしているからだ。
ユーザーが複数のサイトで同じログイン名とパスワードを使用している限り、クレデンシャルスタッフィングは引き続き問題となるだろう。
■時代にあった対策を
クラウドサービス利用で先行する米国企業。その米国企業の情報漏洩調査レポートで、「UNSECURED DATA(無防備なデータ)」がキートレンドとして認識されるようになったのは、新たなリスクとして、クラウドサービス利用時の設定ミスによるリスクが表面化してきたということだろう。
引き続き、サイバー攻撃者による不正アクセスは重要であることに間違いは無いが、クラウド時代の新たなリスクとして「UNSECURED DATA(無防備なデータ)」をどう防ぐか?は、今後クラウド利用を推進する日本企業にとっても、重要な考慮ポイントになるだろう。
