ジェムアルトは、データ漏洩の深刻度を指標化した最新の「Breach Level Index」の結果を発表した。これによると、2016年に世界で発生したデータ漏洩は1,792件で、漏洩したデータ件数は2015年から86%増加の約14億件に達したことが明らかになった。最も多かったデータ漏洩の原因はなりすましで、全体の59%を占めた。また、2016年に発生したデータ漏洩の52%では、事件報道時に漏洩したデータ件数が発表されなかったという。
「Breach Level Index」はグローバル規模のデータベースで、データ漏洩を追跡し、その深刻度を漏洩したデータ件数、データの種類、漏洩源、データがどのように利用されたか、データが暗号化により守られていたかどうかなどの複数の要因を考慮して数値化する。「Breach Level Index」は、各漏洩事件に深刻度スコア(1~10)をつけることで、「それほど深刻でない」データ漏洩と「危険な」データ漏洩を区別した比較リストを生成する。
「Breach Level Index」によると、公表されたデータ漏洩の評価を始めた2013年以来、今日までに70億件以上のデータが漏洩しており、これは平均して毎日300万件以上、毎秒約44件のデータが漏洩していることを意味するという。
昨年、4億件のデータが漏洩したAdultFriend Finderへのパスワードリスト攻撃は、「Breach Level Index」で深刻度スコア10がつけられた。これ以外にも2016年には、Fling(BLI:9.8)、フィリピン選挙管理委員会(COMELEC)(BLI: 9.8)、17 Media(BLI:9.7)、Dailymotion(BLI:9.6)などの深刻なデータ漏洩が発生。深刻度で上位10件のデータ漏洩事件の漏洩件数が、全漏洩データ件数の半分以上を占めた。
2016年、Yahoo!は、15億件のユーザーアカウントが被害を受けた2件の大規模なデータ漏洩を報告したが、これらはそれぞれ2013年と2014年に発生したため、2016年BLIには含まれていない。
ジェムアルトのデータ保護担当バイスプレジデントおよび最高技術責任者Jason Hart氏は次のように述べている。「Breach Level Indexにより、この1年で、サイバー犯罪における4つの大きな傾向が明らかになりました。ハッカーは、より広範囲を対象としていますし、簡単に手に入れることができるアカウントとID情報をより価値の高い標的への踏み台として利用しています。また、サイバー犯罪者は明らかに、金融機関を標的とした攻撃から、エンターテインメントやソーシャルメディアサイトなどの大規模なデータベースへの侵入に方向転換しています。そしてサイバー犯罪者は暗号化を利用して漏洩したデータをアクセス不能にし、それを人質に身代金を要求して、身代金が支払われたら暗号化を解除するというやり方を始めています。」
種類別データ漏洩
2016年、データ漏洩の種類のトップとなったのは”なりすまし”だった。なりすましがデータ漏洩全体に占める割合は、2015年から5ポイント増の59%。2番目に多かったデータ漏洩の種類は、パスワードリスト攻撃によるデータ漏洩。この種類のデータ漏洩事件の件数は3%減少したものの、漏洩データ件数が全体に占める割合は、前年から336%増の54%であった。
このことが、サイバー犯罪の傾向が、金融情報攻撃から個人を特定できる情報が大量に含まれた大規模なデータベースへと移行していることの証左となる。もう一つ特筆すべきは、102%増加した迷惑行為で、全漏洩データ件数に占める割合は2015年から1,474%増加し、18%となった。
漏洩源別データ漏洩
悪意のある部外者が、データ漏洩の漏洩源のトップになった。全体に占める割合は68%(2015年は13%)。悪意のある部外者からの攻撃により漏洩したデータ件数は、2015年から286%増加した。ハクティビストによるデータ漏洩も2016年に31%増加したが、発生したデータ漏洩事件全体に占める割合はわずか3%だった。
業種別データ漏洩
業種を問わず、2016年でデータ漏洩が最も増加した部門は技術部門だった。この部門でのデータ漏洩は、55%増加したが、昨年発生したデータ漏洩事件全体に占める割合はわずか11%。この部門でのデータ漏洩の約80%は、パスワードリストかなりすましで、これらが2016年に漏洩したデータ件数全体に占める割合は、2015年から278%増の28だった。
医療業界で起きたデータ漏洩事件の割合は、2015年から11%増の28%。しかし、医療業界で漏洩したデータ件数は、2015年から75%減少している。教育機関では、2015年から2016年にかけ、データ漏洩事件数は5%減少し、漏洩データ件数は78%減少した。2016年に政府機関で発生したデータ漏洩事件の割合は15%だったが、漏洩データ件数は、2015年から27%増加している。金融サービス企業で発生したデータ漏洩事件の割合は、前年から23%減の12%だった。
「その他」に分類される業種では、データ漏洩事件は全体の13%、漏洩データ件数は全体の36%を占めた。このカテゴリーでは、データ漏洩事件の件数は29%減少したが、漏洩データ件数は2015年から300%増加した。この大部分は、ソーシャルメディアおよびエンターテインメント業界でのデータ漏洩だった。
昨年発生したデータ漏洩事件の4.2%は、部分的または完全に暗号化されていたデータを含んでいた(2015年は4%)。これらの一部では、パスワードは暗号化されていたが、その他の情報は暗号化されていない状態だった。しかし、2016年に漏洩、紛失あるいは盗まれた約14億件のデータのうち、部分的または完全に暗号化されていたデータはわずか6%だったという(2015年は2%)。
【関連リンク】
・ジェムアルト(Gemalto)
・Breach Level Index
無料メルマガ会員に登録しませんか?
IoTNEWSは、毎日10-20本の新着ニュースを公開しております。 また、デジタル社会に必要な視点を養う、DIGITIDEという特集コンテンツも毎日投稿しております。
そこで、週一回配信される、無料のメールマガジン会員になっていただくと、記事一覧やオリジナルコンテンツの情報が取得可能となります。
- DXに関する最新ニュース
- 曜日代わりのデジタル社会の潮流を知る『DIGITIDE』
- 実践を重要視する方に聞く、インタビュー記事
- 業務改革に必要なDX手法などDXノウハウ
など、多岐にわたるテーマが配信されております。
また、無料メルマガ会員になると、会員限定のコンテンツも読むことができます。
無料メールから、気になるテーマの記事だけをピックアップして読んでいただけます。 ぜひ、無料のメールマガジンを購読して、貴社の取り組みに役立ててください。
無料メルマガ会員登録
IoTに関する様々な情報を取材し、皆様にお届けいたします。
