ベライゾンがまとめた情報セキュリティに関する報告書、サイバー犯罪が侵入しやすいサイトを探して手軽に盗むようなケースが増えているとのこと。

この報告書は2008年版から毎年発行しているもので、今回が4年目。2009年版まではVerizon Businessで調査したケースのみをベースにしていたが、2010年版からは米国シークレットサービスから提供を受けた金融犯罪の被害データも追加。さらに今回の2011年版では、オランダ警察庁の国家ハイテク犯罪対策局も報告書作成に参加した。
報告書によると、漏えいしたデータ数は、2004年に1148万8000件だったのが、2005年に1億432万1000件、2006年に1億2423万5000件、2007年に1億7107万7984件と増加した後、2008年には3億6083万4871件へと一気に倍増した。しかし2009年には1億4364万3022件へと半分以下に減少し、さらに2010年になって387万8370件に激減している。
攻撃が巧妙化し、検知されにくくなったことも事実だというが、Verizon Businessでは、それだけではこの激減を説明できないと指摘する。すなわち、データ漏えい事件の件数自体は増加していることから、サイバー犯罪者の心理が変化してきた結果だとみている。2009年、2010年と立て続けに犯罪グループのリーダー的存在が逮捕・起訴されたことを目の当たりにしたことで、犯罪者は、大規模な攻撃を仕掛けて捕まるよりも小規模の攻撃を数多く行うようになったという。

サイバー犯罪はお手軽志向へ、脆弱性のある企業がたまたま狙われるケース増 - クラウド Watch

こうした変化について、ベライゾンビジネスのフォレンジック調査対応部シニアコンサルタントの鵜沢裕一氏は、「侵入しやすいサイトを探して手軽に盗んでいくケースが増え、逆に特定の企業を狙ってごっそり持っていくケースは減った」と説明。犯罪者の意識が、リスクの少ないお手軽志向になってきていると表現する。
761件の事件のうち、そのターゲットを本当に狙っていたケースは17％にとどまり、漏えいしたデータ数でみても全体の10％に過ぎなかった。残りの83％の事件は、自動化された攻撃ツールなどを用いて「たまたま」攻撃可能なサーバーを見つけて侵入したらデータを盗めてしまったという、不特定型の攻撃だったと分類している。

サイバー犯罪はお手軽志向へ、脆弱性のある企業がたまたま狙われるケース増 - クラウド Watch