ベライゾン 業界初のデータ漏洩に関するダイジェストを発表 サイバー調査の舞台裏を公開

verizon
北嶋 真衣
最近はフィッシング攻撃が大変多いので、社内での啓蒙も含めセキュリティ施策における注意喚起の事例です。
ソーシャル・エンジニアに対抗するスキルを持つことが必要です。KPMG社などでデジタルフォレンジックの業務経験者はを行う人は事例を豊富に持つので、スキルの提供が可能でしょう。

このコンサルタントに転職相談をする

参照画像:mobyaffiliates

ベライゾンは、毎年発表するデータ漏洩とデータ侵害に関する膨大な調査発表で既に有名ですが、今回実際のケーススタディを含んだダイジェストを発表しました。

実際に発生した18件のケーススタディのデータ漏洩やデータ侵害の事例を取り上げることにより、エンドユーザーのトレーニングやセキュリティに対する意識改革をもたらすことができます。そしてもっと高いレベルでシステムを利用することも可能です。

ベライゾンの調査チーム長のクリス・ノヴァク氏は、「企業はやっていいことと悪いことを列挙されますが、その理由を誰も説明してくれません。このレポートは、その理由を説明してくれるのです。」と言います。

ノヴァク氏によると、このダイジェストは、過去3年間において1,175の案件をまとめた調査結果です。そのうち3分の2は12に分類できる典型例で、残りの6件はあまり一般的ではないものの、狙われた企業にとっては危険度の高い事例になっています。
着眼するべき点は、意外にもこれらの事例には共通点があることです。どの企業もなす術なく独自に解決方法を見出さないといけないと思い込んでいますが、複数の事例を調査することにより、自分たちだけの問題ではなく、業界全体に共通している問題であると認識できます。

21世紀における悪質なデータ漏洩とデータ侵害の事例

1つ目の事例は、スピアフィッシングによりライバル社がデータを盗んだ例です。コンピューターフォレンジックの調査班により、どのデータが盗まれたかが綿密に調査され、アクセス権限がある社員に様々な質問がなされました。その結果、ターゲットとなった社員に対し、なりすましのリクルーターが良い転職条件のオファーがあると接近し、マルウェアが含まれたメールが送信されたことによりファイルの盗難が明らかになりました。
逆に、ある金融機関がサイバー犯罪者に仕事をオファーすると偽り、東ヨーロッパから飛行機で渡米させ、擬似面談で他企業の秘密情報を入手する方法を事細かく説明させて警察に連行した事例もあります。
また、ある企業の開発者が、一日中ネットサーフィンしたいが為に中国に自分の仕事を委託していた、という事例もありました。自分の認証トークンを国際郵便で送り、アクセス権限のある不審な中国からのVPNアクセスにより問題が発覚したのです。
全ての事例を載せたダイジェストは84ページにも及びますが、どれも興味深い内容です。

マリア・コロロヴ著 CSOに2016年3月1日掲載

※本記事は以下の内容を翻訳・引用しています。
http://www.csoonline.com/article/3039555/investigations-forensics/verizon-releases-first-ever-data-breach-digest-with-security-case-studies.html