アクロニス、データプライバシーデーに合わせ 2021年の重大なプライバシーリスクについて警告

総当たり攻撃（ブルートフォースアタック）のインシデントが急増し、企業の80 %がパスワードポリシーを設定していないため、2021年にはデータ侵害により過去最多のデータ漏洩が発生するだろうとサイバープロテクションのエキスパートが警告

※本リリースは2021年1月28日にスイスのシャフハウゼンで発表されたプレスリリースの抄訳です。

サイバープロテクションのグローバルリーダーであるアクロニスは本日、最新のサイバー攻撃の動向および現状のビジネス習慣に関する独自研究に基づいて、世界中の組織が今、データのプライバシーとセキュリティに対するグローバルな脅威に直面していると警告を発しました。アクロニスは国際的なデータプライバシーデーである1月28日にその研究結果を発表し、損害の大きい攻撃を受けないようにするためには直ちに行動する必要があると注意喚起しました。

Acronis Cyber Protectionオペレーションセンター（CPOC）のグローバルネットワークに所属するサイバーセキュリティエキスパートによる最新の研究によると、パスワードポリシーを設定していない企業は80 %に上ります。また、ビジネス環境で使用されているパスワードの15～20 %に企業名が含まれており、パスワードが簡単に漏洩してしまいます。最近注目された2つのデータ漏洩事件がこのことを物語っています。SolarWinds社は、同社製品のOrionが攻撃を受ける前から、アップデートサーバーの1つで「solarwinds123」という公に知られたパスワードが使われているとの警告を受けていました。また、米国の前大統領であるドナルド・トランプ氏のTwitterアカウントがハッキングされた原因は、パスワードが「従業員の48 %が、自宅から仕事をする際に、安全なデータ利用ルールに従う可能性が低いことを認めたという報告もあります。

リモートワーカーはパスワード漏洩対策に疎く、サイバーセキュリティ習慣に対して杜撰であるため、サイバー犯罪者が価値の高い企業データにアクセスして盗み取ることは容易です。そのため、アクロニスのCPOCアナリストは、2021年にはデータ流出による財務的な影響が急拡大すると予想しています。これは、企業の非公開データや機密情報を盗み取り、支払いを拒否すればそのデータを公開すると標的を脅迫する、ランサムウェア攻撃者の現在の傾向に似ています。昨年アクロニスの調査により、ランサムウェア攻撃を受けた後にデータ漏洩を経験した企業は世界中で1,000社に達することが明らかになりました。

より厳しい認証要件の導入
データ漏洩によってもたらされる金銭的な損害によるダウンタイム、市場での重大なイメージの悪化、あるいは規制違反による高額の罰金を回避するには、組織は企業データにアクセスするための認証要件を強化する必要があります。

アクロニスやその他のサイバーセキュリティエキスパートが推奨しているベストプラクティスは次のとおりです。

• 多要素認証（MFA）。企業のネットワーク、システム、VPNにアクセスするために2段階以上の検証手段を完了することをユーザーに求めるものであり、すべての組織で標準的に導入すべき認証手法です。パスワード認証と、指紋スキャンやモバイルアプリからのランダムなPINの入力などの検証方法とを組み合わせることによって、攻撃者がユーザーのパスワードを推測したり突破したりしたとしても、組織が保護されます。
• ゼロトラストモデルを採用することで、データのセキュリティとプライバシーを確保します。リモートワーカーでも、企業ネットワーク内部で業務を行う従業員でも、すべてのユーザーに対し、企業データおよびシステムを利用する際に本人確認を求め、その認証状態を証明させ、セキュリティを継続的に確認させる必要があります。
• ユーザーおよびエンティティの行動分析（UEBA）が、組織の保護の自動化に役立ちます。AIと統計分析によりユーザーの通常の活動を監視することによって、通常のパターンから外れた振る舞い、特にシステムが侵害されデータが盗み取られていることを示す振る舞いをシステムで検知できます。

2021年のデータプライバシーデーは、データプライバシーのリスクについて注目する絶好の機会です。アクロニスのCPOCの研究チームはすでに、今後の1年間にシステム管理者、マネージドサービスプロバイダー（MSP）、およびサイバーセキュリティ専門家に挑戦する新たなサイバー脅威の動向を明らかにしています。この分析については、最近リリースされたアクロニス サイバー脅威レポートで全文をご覧いただけます。