2008年のデータ漏えいは2億8500万件――Verizonが調査：9割以上を金融が占める

2008年に漏えいしたデータの件数が2004〜2007年の総数を上回っていることが分かった。

[ITmedia]

　米Verizon Businessは4月15日、企業の情報漏えい事件に関する実態調査報告書を公開した。部外者に起因する漏えいが全体の74％を占め、セキュリティ管理の仕組みを見直す必要性があると指摘している。

　報告書は、2008年に同社が調査対応した情報漏えい事件の動向を分析したもので、今回で2回目となる。漏えいしたデータの件数は2004〜2007年の累計で2億3000万件だったが、2008年は2億8500万件となり、大幅に増加した。

脅威別の割合（黒字は事件数、赤字は漏えいデータ数）

　漏えいしたデータのうち、74％は部外者に起因し、特にビジネスパートナーが関係するものが32％を占めた。部内者が起因するものは20％だった。64％は複数の要因が関係して発生し、最も悪質なケースでは企業の過失を悪用して不正アクセスを行い、さらにマルウェアを仕掛けて情報を盗み出していた。

　情報漏えい元の大半はサーバやアプリケーションで、漏えいしたデータの99％を占めていた。事件の69％は第三者からの通知によって発覚しており、漏えいの発生を検知する仕組みが課題になっていると指摘。漏えいを自主的に発見できたケースはわずかしかないという。

　業種別では、小売が前回調査と同様に全体の3分の1を占めたが、金融が同2倍の30％に増えた。漏えいしたデータの98％を金融が占めていた。事件の90％は警察や司法当局が犯罪組織に指定するグループが何らかの形で関与していることが分かった。

　同社では、事件の90％は基本的なセキュリティ対策を徹底していれば回避できた可能性があると分析。具体的には以下のような対策を挙げている。

• デフォルトの認証情報を変更する
• 認証情報を共有しない
• ユーザーアカウントを見直す
• アプリケーションのテストとコードの見直し
• パッチの適用を徹底する
• 人事部門が適切に退職者の手続きをする
• アプリケーションを記録、監視する
• 「疑わしい」と「異常」を定義して、分析する

　いずれの対策も高額な費用や複雑な仕組みを伴うものではなく、基本的な事項を徹底することが重要になると結論付けている。

過去のセキュリティニュース一覧はこちら