約3万件のインシデントを確認 ベライゾンがAPACのサイバー攻撃の現状を報告：セキュリティニュースアラート

ベライゾンジャパンは「データ漏洩/侵害調査報告書（DBIR）」を発表した。3万458件のセキュリティインシデントが確認され、そのうち1万626件がデータ侵害に該当している。

[後藤大地，有限会社オングス]

　ベライゾンジャパンは2024年7月26日、2024年度の「データ漏洩/侵害調査報告書（DBIR）」を発表した。過去最高の3万458件のセキュリティインシデントが確認され、そのうち1万626件がデータ侵害に該当することが報告されている。

脆弱性を悪用したインシデントの件数は前年のほぼ3倍に

　主な注目ポイントは以下の通りだ。

• アジア太平洋地域のサイバー攻撃の25％は、スパイ活動を目的にしている
• 脆弱（ぜいじゃく）性を悪用したインシデントの件数は前年のほぼ3倍（180％増加）という結果になった
• パッチの公開後に企業が重大な脆弱性の50％を修復するのに平均で約55日かかる
• データ侵害の3分の2以上は悪意のない人的要因

　アジア太平洋地域では欧州や北米と比べ、スパイ活動を目的としたサイバー攻撃が多いことが報告されている。確認されたサイバー攻撃の25％がスパイ活動を目的にしているとされ、欧州（6％）や北米（4％）を大きく上回っている。

　また、アジア太平洋地域で確認された2130件のセキュリティインシデントと523件のデータ侵害のうち、95％がシステム侵入やソーシャルエンジニアリング、基本的なWebアプリケーション攻撃による侵害であることが明らかになった。

　脆弱性の悪用はサイバーセキュリティに対する最も急速に拡大する脅威の一つとして認識されている。報告によると、既知の脆弱性を侵入経路として使用するインシデントが前年からほぼ3倍に増加し、全侵害インシデントの14％を占めている。これは主にランサムウェアアクターによるゼロデイ攻撃の範囲と頻度の増加によって引き起こされたものとみられ、特にファイル転送サービス「MOVEit Transfer」の侵害が過去最大規模のゼロデイ攻撃の一つとされている。

　米国サイバーセキュリティ・インフラストラクチャ・セキュリティ庁（以下、CISA）発行の「既知の悪用された脆弱性カタログ」（Known Exploited Vulnerabilities Catalog）の分析によると、企業が重大な脆弱性に対してセキュリティパッチを適用するまでの平均日数は約55日であることが報告されている一方で、CISA KEVの大量搾取を発見するのにかかった時間の中央値は5日とされている。

　報告では全データ侵害の3分の2以上（68％）が悪意のない人的要因によるものであることが指摘されている。人的ミスやソーシャルエンジニアリング攻撃のターゲットとなったケースが含まれており、割合は前年とほぼ同様とされている。またデータ管理者やサードパーティー製ソフトウェアの脆弱性、その他の直接的または間接的なサプライチェーンの問題などサードパーティーが関与する侵害が15％に達し、この数値は前年と比べ68％増加していることが明らかにされている。

　2024年度の報告書のその他のポイントとして全侵害の32％がランサムウェアを含む何らかの恐喝手段に関与していることが挙げられている。さらに過去2年間で金銭的動機によるインシデントの約4分の1（24〜25％）がプリテキスティング攻撃（口実攻撃）に関与しているとされ、過去10年間で窃取された認証情報の使用が全侵害のほぼ3分の1（31％）を占めていることも報告されている。