クラウドストライクは、2023年3月「2023年版グローバル脅威レポート(2023 CrowdStrike Global Threat Report)」を発表しました。それによると、マルウェアフリーのアクティビティーが2022年に検知全体の77%を占めました(2021年の62%から増加)。これは、攻撃者側が被害者環境でのアクセスと永続化を容易にするために、正規のクレデンシャルを多⽤したことに関連しています。
また、同年9月に発表した「2023年度版脅威ハンティングレポート(2023 Threat Hunting Report)」では、アイデンティティーを狙った「Kerberoasting攻撃」が前年比で583%増となり、アイデンティティーの不正使用による侵入の大幅な増加が明らかになりました。この攻撃は、「Microsoft Active Directory」用のサービスアカウントで使われる有効な認証情報を攻撃者が不正に獲得するものです。多くの場合、攻撃者が他の攻撃者へ上位権限を提供するため、被害者環境で長期間、侵害が検出されることがありません。また全体として、対話型攻撃を通じた侵入の62%で有効なアカウントが不正に使用されていました。一方で、秘密鍵などの認証情報を、クラウドインスタンスメタデータAPIを介して収集する試みも160%増加しました。
情報漏えいにおける法的リスク
情報漏えいは、組織や個人にとって深刻なリスクをもたらす可能性があります。例えば、重要な機密情報(顧客データ、営業秘密など)が外部に漏れた場合、競合他社や悪意のある者によって悪用される危険性があるほか、「個人情報保護法」や各国のデータ保護法に違反することにつながり、行政指導や罰金、訴訟などの法的リスクを伴います。また、情報漏えいが公になると、組織の信頼性が損なわれ、顧客や取引先からの信頼を失う可能性があります。さらに、情報漏えいに伴う対応コスト(フォレンジックなどの原因調査、データの復旧、セキュリティの強化、法的費用など)が生じる可能性があります。
近年無視できなくなっているのが、個人情報やプライバシーに関する意識の高まりを背景とした、各国のプライバシー関連法の強化による法的リスクの増加です。プライバシーを人権として捉える風土のある欧州では、1981年1月28日に、「個人データの自動処理に係る個人の保護に関する条約」(欧州評議会条約108号)が各国の署名に付され、1985年に発行されました。その後、欧州では2006年に、この1月28日を「データ・プロテクション・デー」と定め、個人や企業、政府機関に対して、データプライバシーに関する教育と意識向上に向けた啓発活動が行われています。
この流れは米国にも受け継がれ、2009年に米国議会が1月28日を「データ・プライバシー・デー」と定めました。その後、欧米を中心にデータ・プロテクション(プライバシー)・デーには、さまざまなプライバシー保護関連のイベントが行われています。
