2023年の情報漏えい数は過去最高に 被害を隠そうとする上場企業たち：Cybersecurity Dive

ITRCによると情報漏えい被害を受けた組織は、これまで以上に重要な情報を隠しており、通知の透明性が揺らいでいるという。

[Matt Kapko，Cybersecurity Dive]

　サイバー犯罪の被害者を支援するIdentity Theft Resource Center（以下、ITRC）の年次データ侵害報告書によると（注1）、2023年を通して情報漏えいの件数が増えているという。また、組織はサイバー攻撃の根本原因を率直に語らなくなっているという。

　この非営利団体が発表したところによると、2023年に米国で報告された情報漏えいの件数は78％増加し、過去最高の3205件に達したという。これらの侵害は、最終的に3億5300万人以上の被害者に影響を与えた。中には複数回にわたって影響を受けた個人も含まれている。

　ITRCのCEOであるエヴァ・ベラスケス氏は、報告書の中で「2023年の情報漏えいの規模の大きさに圧倒される」と述べた。

情報漏えいを経験した企業の約半数が「攻撃経路が分からない」という現実

　ITRCによると、2023年の情報漏えいに関する全ての開示のうち、44％で攻撃経路に関する詳細が欠けていた。これは情報漏えいの通知が不透明なものとなる傾向を示唆している（注2）。これらのように重要な情報が欠落した開示の割合は、2022年の40％から増加した。

　連邦政府のサイバー当局と研究者は根本原因を分析し、侵害の兆候を共有することで、悪質な活動を組織が追跡して特定の脅威に対する防御を強化できるように支援している。

　米国連邦捜査局（FBI）と米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、被害組織がより多くの情報を共有するように一貫して奨励している（注3）。これは、報告の不足が法執行機関による行動を阻害するためだ。

　ITRCの報告書によると、被害を受けた組織における透明性の欠如は、根本原因に関するものにとどまらない。被害者数や攻撃経路の詳細を含む通知は、2022年の60％から2023年には54％に減少した。

　侵害によって漏えいした個人情報の数については、米国の上場企業に関連するものが突出した割合を占めている。

　ITRCによると2023年において、これらの上場企業は10件に1件のインシデントに関連していたが、情報漏えいの被害者数では、5人に2人が上場企業に関連していた。上場企業もまた、情報漏えいの開示において攻撃に関する情報を隠す傾向があった。

　米国証券取引委員会（SEC）は2023年末に、新しいサイバーインシデント報告規則を制定した（注4）。この規則によると、企業は重大なサイバーインシデントの発生から4営業日以内にSECに報告しなければならない。この義務化によって、追加の情報開示が殺到すると予想されている。

　報告書によると、2023年に発生したデータ侵害や情報漏えいのほとんどはサイバー攻撃によるものだった。

　ほぼ全ての業界において、2023年と比較して情報漏えいの数が増加した。情報漏えいの総件数では、依然として医療業界がトップであり、金融サービスと専門サービス、製造業がこれに続いた。

（注1）Identity Theft Resource Center 2023 Annual Data Breach Report Reveals Record Number of Compromises; 72 Percent Increase Over Previous High（ITRC）
（注2）Most data breach notices lacked detail in 2022（Cybersecurity Dive）
（注3）Threat actors behind Las Vegas casino attacks are social-engineering mavens（Cybersecurity Dive）
（注4）Cyber risk strategies in hot seat as SEC rules go live（Cybersecurity Dive）

原文へのリンク