米国のデータ侵害数が過去最高を記録 増加の要因は“ある脆弱性”Cybersecurity Dive

ITRCの調査によると、米国において個人情報に関するデータ侵害数は2023年に過去最高を記録しているという。この要因は何か。

» 2023年11月18日 07時00分 公開
[Matt KapkoCybersecurity Dive]

この記事は会員限定です。会員登録すると全てご覧いただけます。

Cybersecurity Dive

 Identity Theft Resource Center(以下、ITRC)が2023年10月11日(現地時間)に発表した調査によると(注1)、米国において、個人情報に関するデータ侵害数は2023年に過去最高を記録しており、最後の3カ月を残した状態で、すでに2021年の記録を上回った。

 ITRCによると、2023年は1〜9月の間に2100以上の組織がデータ侵害の通知を提出し、これは2021年に記録した1862件を上回っている。

データ侵害数激増の要因とは何か?

 サプライチェーン攻撃は増加傾向にあり、その影響は広範囲に及んでいる。同調査によると、情報漏えいの大部分である5件に3件は、わずか87の組織に対する攻撃から引き起こされた。サプライチェーンの下流に位置する被害組織の多くは、Progress Softwareのファイル転送サービスである「MOVEit Transfer」に対する攻撃によって危険にさらされた(注2)。

 ITRCのCOO(最高執行責任者)であるジェームス・リー氏は「サプライチェーン攻撃の増加は、間違いなく2023年のデータ侵害の増加の一因である」と述べている。

 「サプライチェーン攻撃を実行する犯罪者にとって、ベンダーは魅力的であり、また容易な標的である。なぜならば、ベンダーは通常、サイバーセキュリティに費やすリソースが少なく、複数の顧客のデータを保有しているためだ。サプライチェーン攻撃を減らすためには、サプライヤーに対する厳格な要件と詳細な調査が必要である」(リー氏)

 ITRCは、2023年第3四半期に発生したデータ侵害の上位8件のうち4件がMOVEit Transferに対する攻撃に関連していることを明らかにした。

 報告によると、MaximusやIBM Consulting、CareSource、PH Techによって提出されたデータ侵害通知は、いずれもMOVEit Transferのゼロデイ脆弱(ぜいじゃく)性が大規模に悪用されたことに起因するものであり、合計で2000万人以上の個人情報が流出した。

 MOVEit Transferに対する攻撃の急増は、ITRCが記録したゼロデイ攻撃の急増を裏付けている。ゼロデイ攻撃は、2022年には5件だったのに対し、2023年1月から9月までに86件が報告されている。

 2023年1〜9月までのデータ侵害によって、約2億3400万人の個人情報が危険にさらされた。ITRCによると、2023年に影響を受けたとされる個人の数は、「Twitter」のデータ侵害だけで2億2100万人以上の被害者が発生した2022年の合計数である4億2500万人と比べてはるかに少ない。

 「確かに、あらゆる人に関するあらゆるデータが漏えいしているように見える。漏えいや詐欺の結果として利用可能な膨大なデータが存在するが、個人や組織として直ちに絶望すべきものではない」(リー氏)

 「防御側は攻撃者との戦いにおいて、負けるよりも勝つことの方が多い。負けた数が注目されがちだが、多くの攻撃は失敗しているのだ」とリー氏は述べた。

© Industry Dive. All rights reserved.