脆弱性悪用がデータ侵害の最も一般的な初期アクセスベクトルとして、ほぼ20年間で初めて侵害された認証情報を上回りました。Verizonの発表です。
テクノロジー大手Verizonの データ侵害調査報告書 (DBIR)は、Verizon、インシデント対応、法執行機関、業界データに基づいた実際の侵害とインシデントについて、19年間にわたって業界専門家に脅威情勢の洞察を提供してきました。
最新版では、過去1年間のデータ侵害のほぼ3分の1(31%)が脆弱性悪用で始まったことが明らかになりました。これは昨年の報告書の20%から上昇しています。
これにより、認証情報悪用が22%から13%に低下し、最上位の初期アクセスベクトルとなりました。
DBIRについて詳しく読む:Verizon DBIR:中小企業がランサムウェア攻撃の矢面に立たされている
Verizonは、これらの数字がAIが既に脅威行為者によって使用されてさらに多くの脆弱性を見つけて悪用されていることを示す可能性があることを示唆しました。
ただし、問題はゼロデイだけではありません。報告書では、企業が既知のバグに十分に迅速にパッチを適用していないことが明らかになりました。
サイバーセキュリティ・インフラストラクチャおよびセキュリティ庁(CISA)の既知の悪用された脆弱性(CISA KEV)カタログにリストされている重大な脆弱性の26%のみが、2025年に組織によって完全に修復されました。これは前年の38%から低下しています。
これはパッチ適用の負担が増加したためかもしれません。2025年と比較して今年の報告データセットでは、組織は50%多くの重大な脆弱性にパッチを適用する必要がありました。Verizonは述べています。
AttackIQの脅威インフォームド防御担当副社長Jon Baker氏は、組織がパッチの優先順位付けに苦労していると述べました。
「セキュリティチームはより多くの重大な問題を修正するよう求められていますが、どの問題が実際に侵害へのパスを作成するかを知る必要があります」と彼は主張しました。「紙の上の脆弱性は1つのことですが、横展開、ランサムウェア配備、またはデータ盗難にチェーンできる脆弱性はまったく別のものです。」
脆弱性管理サービス企業Mondooの最高セキュリティ責任者Patrick Münch氏は、手動修復が企業を失望させていると述べました。「別のスキャナで穴を塞ぐことはできません」と彼は付け加えました。「人間がループに含まれた透明性のあるエージェントAI、修復と軽減の実行にはAI自動化、問題の特定から修正の検証まで明確な監査証跡で塞ぎます。」
Verizon DBIRの最前線にあるAIの脅威
AIは報告書の他の部分で脅威として明らかに増加しています。
「中央値の脅威行為者は15の異なる文書化された技術でAIアシスタンスを研究または使用しており、一部の行為者は40または50もの技術を活用しています」と述べています。
Shadow AIも急速に成長している企業脅威です。Verizonのデータ損失防止(DLP)データセットで検出された3番目に最も一般的な「非悪意のインサイダーアクション」になり、昨年から4倍のパーセンテージ増加です。
従業員の約45%は現在、企業デバイス上で管理対象および非管理対象のAIの定期的なユーザーであり、昨年の15%から増加しています。
サプライチェーンとソーシャルエンジニアリング
報告書の別の部分では、個人が他のチャネルを介してフィッシング試みを検出するのに優れるにつれて、モバイルユーザーは過去1年間でソーシャルエンジニアリング攻撃によりターゲットにされることが多くなりました。
フィッシングシミュレーションでは、音声やテキストなどのモバイルベクトルでの中央値の成功「クリック」率は、メール経由で40%高いとVerizonは主張しました。「人間要素」は62%の侵害に存在し、昨年の60%からわずかに増加しました。
サプライチェーン関連の侵害も年間60%増加し、報告書に記録されたすべてのデータ侵害の約半分(48%)を占めるようになりました。
サードパーティ組織の23%のみが、クラウドアカウント上の欠落または不適切に保護されている多要素認証(MFA)を完全に修復しました。弱いパスワードと権限の設定ミス構成については、50%のすべての結果を解決するまでの時間は約8ヶ月に達しました。
侵害の割合として、ランサムウェアは昨年の44%からこの年で48%に増加しましたが、犠牲者の69%は支払わないことを選択し、脅威行為者の利益を圧迫しています。
翻訳元: https://www.infosecurity-magazine.com/news/verizon-dbir-exploits-top-access/
