btzgrp
  • オーディオと同期したダイナミックテキストを作成するには? - TechRepublic
Headlines

ブラック・カイト:データ侵害のコストは平均1500万ドル - TechRepublic

05 mins
ブラック・カイト:データ侵害のコストは平均1500万ドル - TechRepublic
データ侵害のコスト。
画像: Adob​​e Stock

サイバーリスク監視会社Black Kiteは、2017年から2022年にかけて1,700社の企業で発生した2,400件のサイバーインシデントを調査した結果、例外を除いた今日のデータ侵害の平均コストは1,500万ドルであると結論付けました。

ブラック・カイトの2022年版レポート「データ漏洩のコスト:新たな視点」によると、例外的なケースを考慮すると、データ漏洩の平均コストは7,500万ドルに跳ね上がります。ブラック・カイトが調査で引用したサイバーセキュリティ・ベンチャーズのレポートによると、サイバー漏洩のコストは平均して年間10%上昇しており、今後3年間でサイバー犯罪による世界の総コストは10兆ドルに達する可能性があるとのことです。これは、2015年の3兆ドルから7兆ドル増加したことになります。

リモートワーカーがいる企業の場合、侵害1件あたりの平均コストは、リモートワーカーがいない企業よりも100万ドル高くなります。

報告書によると、データ侵害のほとんどは数百万ドル規模の損失には至らない。報告書によると、半数強(51%)は1万ドルから100万ドルの範囲に収まっている。15%は100万ドルから1000万ドル、9%は1000万ドルから1億ドル、3%は1億ドルから10億ドルの範囲に収まっている。残りのケースでは、総損失額が10億ドルを超えている。

報告書によると、過去1年間で4社に1社がサイバー攻撃を受けた。その多くは第三者を介して攻撃を受けており、攻撃者は標的の組織に「島巡り」で侵入した。報告書の分析対象となった企業はすべて、古いシステムやソフトウェアが原因で攻撃に対して脆弱であった。

データ侵害を経験した組織は、将来の攻撃に対してより脆弱になります。報告書によると、侵害の原因となった最初の脆弱性を修正した後、多くの組織がさらなる問題を探すのをやめてしまうことが多すぎるとのことです。

「攻撃者は、悪用できる脆弱性を見つけると、自信を深め、より強力な攻撃手法にエスカレートする可能性がある」と報告書は述べている。

参照: モバイルデバイスのセキュリティポリシー(TechRepublic Premium)

主要な脅威アクター

コロニアル・パイプライン攻撃に関与したランサムウェア集団「REvil」は、ロシア連邦保安局(FSB)の情報機関が同集団のメンバー14名と彼らの保管していた資金を押収し、活動を阻止したことで、再び姿を現した。報告書によると、REvilによる攻撃は2021年のランサムウェア攻撃全体の3%を占めた。

次に頻繁かつ経済的に壊滅的な被害を与えた脅威アクターは Conti で、10 件の攻撃が発生し、1 件あたり平均 8,500 万ドルの被害がありました。

北朝鮮を拠点とするラザルス・グループは、攻撃件数は少ないものの、1件あたりの平均コストは2億2000万ドルと、他のグループよりも大幅に高かった。

「ContiやREvilといった悪名高いランサムウェアグループは、標的に関するより多くの情報を収集し、個人情報(PII)などの貴重な資産を見つけるために、武器に資金を投入してきました」と、Black Kiteのリサーチ責任者であるフェルハット・ディクビイク氏はレポートの中で述べています。「これらのグループが解散したとしても、2022年に既に発生した攻撃によるコストへの影響は今後数年間にわたって拡大し続けるでしょう。」

参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)

サイバー攻撃の標的となる業界

金融・保険業界は、機密性の高いデータを大量に保有しているため、最も標的となる業界です。両業界を合わせたデータ侵害件数は445件と最も多く、1件あたりの平均被害額は3,500万ドルでした。

「両業界は、モバイルバンキング、チャットボット、オンライン請求処理といった新技術の登場により、これまで以上に相互接続性が高まっている、モノのインターネット(IoT)の脅威にもさらされている」と報告書は述べている。「これらの組織の多くは金融取引に電子メールを利用しており、攻撃者がそのプロセスに介入する機会を与えている。」

限られたリソースと、一般市民の日常生活を混乱させようとする攻撃者の悪意から、州政府や地方自治体も主要な標的となっています。報告された攻撃は326件で、1件あたり600万ドルの被害額となり、これらの機関はリストの2位にランクインしました。

その他の主な調査結果:

  • 分析された1,700社の侵害を受けた企業のうち79%はフィッシング攻撃に対して非常に脆弱であった。
  • 分析された1,700社の侵害を受けた企業のうち17%がランサムウェアに対して非常に脆弱であった。
  • 最も狙われているデータは認証情報であり、2022年の侵害の63%はパスワードの侵害によるものであった。
  • 侵害全体の19%は、セキュリティ保護されていないサーバーとデータベースによって引き起こされた。
  • 2,400件以上のインシデントのうち19件に過ぎないが、SQLインジェクション攻撃のインシデント1件あたりの平均コストは7,100万ドルで2番目に高かった。

レポートの方法論

Black Kite Researchは、OSINT技術を用いて、2017年から2022年にかけて1,700社で発生した2,400件のデータ侵害インシデントを網羅したグローバルなデータ侵害コスト分析を実施しました。このコスト分析には、規制当局への罰金、裁判所での和解、身代金の支払い、被害者への通知、事業損失に関する情報が含まれています。

Tagged:

Related News