4年前から500件以上の事例を調査

　米国Verizon Businessのセキュリティ・サービス部門が先ごろ発表した、企業のセキュリティ侵害に関する調査リポートを読めば、セキュリティ侵害の標的として“競合の次は自社”という可能性が十分あることに納得がいくだろう。同リポートは、2008年6月にVerizonが作成した報告書の第2弾で、4年前から依頼を受けて同社が進めてきた500件以上の事例調査から得た結果を詳細に分析したものである。

　今回Verizonは、金融サービス／技術サービス／小売り／外食チェーンの4業界にデータをカテゴリ分けし、分析を行った。こうした業界別の分析がなされているため、ITセキュリティ担当者にとって調査リポートは非常に有益な情報源となっている。

　例えば、金融および技術サービス業界では、セキュリティ事件の約40％が社内で発生しており、他の業界より割合が高いことが判明した。また、小売りおよび外食チェーン業界は、セキュリティ侵害を認識するまでに数カ月を要しているが、技術系企業は数週間、金融サービス企業はわずか数日で事態を把握しているという。

セキュリティ侵害に関する業界別傾向

　攻撃の手法も、それぞれの業界によって大きく異なる。金融サービス企業における最大の問題は詐欺だが、小売り業界や外食業界ではハッキングが頻発していた。

　もっとも、全業界に共通した特徴も存在する。デビットカードおよびクレジットカード情報が、いちばん狙われやすい標的になっているのだ。さらに、攻撃された企業の内部関係者ではなく、第三者が侵害の発生に気づくことの多い点も、各事例の共通点となっている。

　こうした点からも危うい現状が十分に認識できるが、Verizonの調査対応担当者であり、調査リポートの共同執筆者でもあるブライアン・サーティン（Bryan Sartin）氏は、もっと心配なことがあると述べている。

　同氏によると、組織的な犯罪が近年、大幅に増加している。具体的には、小売り業者や外食チェーンの支払いゲートウェイにひそむ脆弱性を狙った攻撃が、2001年ごろから増加し始めた。攻撃者は特定の企業に目を付け、ネットワークのハッキングからWi-Fiウォー・ドライブ、ひどいときには社屋への不法侵入など、いずれかの方法で侵入が成功するまでさまざまな攻撃を試していたという。