 PDF 版のダウンロード (180KB) |
2011年09月28日 |
欧米大企業の約半数がソーシャル・エンジニアリング攻撃の被害に
被害額は1件あたり10万ドルに上り、より強固なセキュリティと社員の意識向上が急務
ゲートウェイからエンドポイントまでの包括的セキュリティを提供するチェック・ポイント・ソフトウェア・テクノロジーズ株式会社(本社:東京都新宿区、代表取締役社長 藤岡健)は本日、新たな調査レポート「The Risk of Social Engineering on Information Security(情報セキュリティに関するソーシャル・エンジニアリングのリスク)」を公表しました。同調査結果によると、調査対象となった社員数が5千人を超える大企業の48パーセントがソーシャル・エンジニアリング攻撃の被害に遭っており、過去2年間に受けた攻撃回数は25回以上、攻撃1件あたりの被害額は軒並み高額で25,000ドルから10万ドル以上にまで及ぶ、といった実態が明らかになりました。また、ソーシャル・エンジニアリングの脅威の最も主要な発生源はフィッシングとソーシャル・ネットワーキング・ツールであり、攻撃の頻度と被害額を最小限に抑えるために、企業は技術と自社の社員の意識向上を一体化させた強固な取り組みが不可欠であると述べられています。
従来のソーシャル・エンジニアリング攻撃では、深い専門知識を持っている、あるいは機密情報にアクセスする社員がターゲットにされてきました。しかし、今日のハッカーは、APT(Advanced Persistent Threats)や標的型の攻撃を達成するために、多様な技術やソーシャル・ネットワーキング・アプリケーションを駆使して、企業ネットワークへ潜り込むための抜け穴を見つけ出すために公私問わず個人情報を収集しています。今回、全世界で850人以上のITセキュリティ管理者を対象に実施された調査によって、企業の86パーセントがソーシャル・エンジニアリングに対する警戒を強めており、攻撃の最大の動機については、過半数(51パーセント)が「金銭的な利益の追求」と回答し、次いで「競合企業に対する優位性の確保」や「報復」が続きます。
チェック・ポイントのセキュリティ製品担当バイスプレジデントであるオーデッド・ゴンダ(Oded Gonda)は、「本調査結果から、対象となった企業の約半数がソーシャル・エンジニアリング攻撃に遭ったと認める一方で、41パーセントはよく分からないと回答しています。このようなセキュリティ意識の欠如も同様に懸念される課題です」と述べています。
ソーシャル・エンジニアリング手法ではユーザが抱える脆弱性に付け込みますが、他方Web 2.0やモバイル・コンピューティングの普及が個人情報の容易な入手を後押しする形となり、ソーシャル・エンジニアリング攻撃を仕掛けるうえで新たな起点となっています。同手法による攻撃を最も受けやすいと考えられているのは、企業のセキュリティ・ポリシーの習熟度が低い可能性がある「新入社員」(60パーセント)や「契約社員」(44パーセント)で、以降は「秘書」、「人事担当」、「IT担当」と続きます。
「ユーザである社員がセキュリティ・プロセスの成否を決定づける非常に重要な要素です。犯罪者に騙され、マルウェアの感染や意図せぬデータ損失を招く失態を犯してしまうこともあります。多くの企業は社員の関与にあまり気にかけていませんが、本来ならば自社の社員こそが第一の防護壁になるはずです。セキュリティ意識を向上させるには、社員をセキュリティ・プロセスに組み込んで、リアルタイムでセキュリティ・インシデントを防止、是正できる態勢を整備することが重要です」とゴンダは続けています。
今日のIT環境のニーズに対応した高度な保護を実現するには、従来型の技術偏重ではなく、効果的なビジネス・プロセスとしてセキュリティを捉えなければなりません。チェック・ポイント独自のビジョン3D Securityを実践する企業は、テクノロジーでは達成できない高度なセキュリティを確保すると同時に、社員をプロセスに組み込み、教育することができます。「不適切な操作により社内におけるデータ侵害や脅威の拡散を引き起こすのが社員であるのなら、リスク軽減という大役を務められるのもやはり社員なのです」とゴンダは述べています。チェック・ポイントの独自技術UserCheck™を利用すれば、社員が自社のネットワークやデータ、アプリケーションにアクセスする際に自社のセキュリティ・ポリシーを警告、教育することが可能です。これにより、ソーシャル・エンジニアリングに関連した攻撃の頻度やリスク、被害額を最小減に抑えられます。
「セキュリティは、もはやIT管理者だけの問題でありません。あらゆるレベルの社員の関与が重要です。今日、多くの企業が巧妙な標的型攻撃の増加という問題に直面していますが、社員が関与することで、よりスマートで効果的なセキュリティ技術が実現します」とゴンダは述べています。
「情報セキュリティに関するソーシャル・エンジニアリングのリスク」調査結果の主な特徴:
・ソーシャル・エンジニアリングは現実の脅威 ‐ ITセキュリティ管理者の86パーセントは、ソーシャル・エンジニアリング関連のリスクを「認識」、あるいは「強く認識」している。調査対象となった大企業の約48パーセントは、最近2年間で25回以上ソーシャル・エンジニアリング攻撃の被害に遭っている
・ソーシャル・エンジニアリング攻撃による被害額は高額 ‐ セキュリティ・インシデント1件の被害額は調査対象国で共通して高額傾向にあり、回答者は、業務の中断、顧客への補償、収益減少、ブランド力の低下などに伴う損失は25,000ドルから10万ドル以上にまで及ぶと算出している
・ソーシャル・エンジニアリング攻撃の最も主要な発生源 ‐ 「フィッシング・メール」はソーシャル・エンジニアリング攻撃の最も主要な発生源(47パーセント)としてランクイン。次いで、公私問わず個人情報を公開できる「ソーシャル・ネットワーキング・サイト」(39パーセント)、「セキュリティが不十分なモバイル・デバイス」(12パーセント)と続く
・金銭的な利益の追求がソーシャル・エンジニアリングの最大の動機 ‐ 「金銭的な利益の追求」がソーシャル・エンジニアリングの最大の動機として挙げられている。次いで、「知的財産へのアクセス」(46パーセント)、「競合企業に対する優位性の確保」(40パーセント)、「報復」(14パーセント)と続く
・ソーシャル・エンジニアリング技術の攻撃を最も受けやすいのは新入社員 ‐ ソーシャル・エンジニアリングのリスクについての回答では、「新入社員」が最も高く、次いで、「契約社員」(44パーセント)、「秘書」(38パーセント)、「人事担当」(33パーセント)、「経営幹部」(32パーセント)、「IT担当」(23パーセント)と続く。任務に関係なく、適切な社員向けトレーニングとユーザ意識向上に向けた取り組みはあらゆるセキュリティ・ポリシーで重要な要素となる
・ソーシャル・エンジニアリング攻撃を防ぐプロアクティブなトレーニングの欠如 ‐ 企業の34パーセントは、ソーシャル・エンジニアリング攻撃を回避するための適切な社員向けトレーニングやセキュリティ・ポリシーを持っておらず、また19パーセントは検討中である
本調査「The Risk of Social Engineering on Information Security」は、2011年7月から8月にかけて実施されました。米国、カナダ、イギリス、ドイツ、オーストラリア、ニュージーランドの850人以上のITセキュリティ管理者を対象とした調査です。回答者は、金融や工業、防衛、小売、医療、教育などさまざまな分野にわたる、大小さまざまな規模の組織に属しています。
ソーシャル・エンジニアリングの詳細に関心のある方は、次のリンクからレポート全文(日本語)がダウンロード可能です。また、調査内容にご関心のある方は、以下にアクセスしてオンライン調査(英語)の質問事項をご確認ください
参考情報
・調査レポート全文(日本語)
http://www.checkpoint.co.jp/press/downloads/social-engineering-survey.pdf
・オンライン調査(英語)
http://www.checkpoint.com/surveys/socialeng1509/socialeng.htm
・3D Securityに関して
http://www.checkpoint.co.jp/campaigns/3d-security/index.html
Check Point Software Technologies Ltd.について
チェック・ポイント・ソフトウェア・テクノロジーズ・リミテッド(www.checkpoint.com)は、インターネット・セキュリティにおけるトップ企業として、セキュリティの複雑さと総所有コスト(TCO)を低減しつつ、あらゆるタイプの脅威からお客様のネットワーク環境を確実に保護するための妥協のないセキュリティ機能を実現しています。チェック・ポイントは、FireWall-1と特許技術のステートフル・インスペクションを開発した業界のパイオニアです。チェック・ポイントは、革新的セキュリティ技術であるSoftware Bladeアーキテクチャをベースとした一層の技術革新に努めています。Software Bladeアーキテクチャは、導入先に合わせカスタマイズすることで、あらゆる組織のセキュリティ・ニーズにも的確に対応できる、柔軟でシンプルなソリューションの構築を可能にします。チェック・ポイントは、技術偏重から脱却してセキュリティをビジネス・プロセスの一環として定義する唯一のベンダーです。チェック・ポイント独自のビジョン3D Securityは、ポリシー、ユーザ、実施という3つの要素を統合して情報資産の保護を強化し、導入環境のニーズに合わせて高度なセキュリティを確保できるようにします。チェック・ポイントは、Fortune 100社およびGlobal 100企業の全社を含む、何万ものあらゆる規模の企業や組織を顧客としています。数々の受賞歴のあるチェック・ポイントのZoneAlarmソリューションは、世界中で何百万にも及ぶお客様のPCをハッカー、スパイウェア、および情報窃盗から未然に保護しています。
チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社は、1997年10月1日設立、東京都新宿区に拠点を置いています。