米国のデータ侵害数が過去最高を記録 増加の要因は“ある脆弱性”：Cybersecurity Dive

ITRCの調査によると、米国において個人情報に関するデータ侵害数は2023年に過去最高を記録しているという。この要因は何か。

[Matt Kapko，Cybersecurity Dive]

　Identity Theft Resource Center（以下、ITRC）が2023年10月11日（現地時間）に発表した調査によると（注1）、米国において、個人情報に関するデータ侵害数は2023年に過去最高を記録しており、最後の3カ月を残した状態で、すでに2021年の記録を上回った。

　ITRCによると、2023年は1〜9月の間に2100以上の組織がデータ侵害の通知を提出し、これは2021年に記録した1862件を上回っている。

データ侵害数激増の要因とは何か？

　サプライチェーン攻撃は増加傾向にあり、その影響は広範囲に及んでいる。同調査によると、情報漏えいの大部分である5件に3件は、わずか87の組織に対する攻撃から引き起こされた。サプライチェーンの下流に位置する被害組織の多くは、Progress Softwareのファイル転送サービスである「MOVEit Transfer」に対する攻撃によって危険にさらされた（注2）。

　ITRCのCOO（最高執行責任者）であるジェームス・リー氏は「サプライチェーン攻撃の増加は、間違いなく2023年のデータ侵害の増加の一因である」と述べている。

　「サプライチェーン攻撃を実行する犯罪者にとって、ベンダーは魅力的であり、また容易な標的である。なぜならば、ベンダーは通常、サイバーセキュリティに費やすリソースが少なく、複数の顧客のデータを保有しているためだ。サプライチェーン攻撃を減らすためには、サプライヤーに対する厳格な要件と詳細な調査が必要である」（リー氏）

　ITRCは、2023年第3四半期に発生したデータ侵害の上位8件のうち4件がMOVEit Transferに対する攻撃に関連していることを明らかにした。

　報告によると、MaximusやIBM Consulting、CareSource、PH Techによって提出されたデータ侵害通知は、いずれもMOVEit Transferのゼロデイ脆弱（ぜいじゃく）性が大規模に悪用されたことに起因するものであり、合計で2000万人以上の個人情報が流出した。

　MOVEit Transferに対する攻撃の急増は、ITRCが記録したゼロデイ攻撃の急増を裏付けている。ゼロデイ攻撃は、2022年には5件だったのに対し、2023年1月から9月までに86件が報告されている。

　2023年1〜9月までのデータ侵害によって、約2億3400万人の個人情報が危険にさらされた。ITRCによると、2023年に影響を受けたとされる個人の数は、「Twitter」のデータ侵害だけで2億2100万人以上の被害者が発生した2022年の合計数である4億2500万人と比べてはるかに少ない。

　「確かに、あらゆる人に関するあらゆるデータが漏えいしているように見える。漏えいや詐欺の結果として利用可能な膨大なデータが存在するが、個人や組織として直ちに絶望すべきものではない」（リー氏）

　「防御側は攻撃者との戦いにおいて、負けるよりも勝つことの方が多い。負けた数が注目されがちだが、多くの攻撃は失敗しているのだ」とリー氏は述べた。

（注1）Q3 2023 Data Breach Report: Identity Theft Resource Center Reports Data Compromise Record with Three Months Left in the Year（IDENTITY THEFT RESOURCE CENTER）
（注2）MOVEit mass exploit timeline: How the file-transfer service attacks entangled victims（Cybersecurity Dive）

原文へのリンク