4月にはいくつかのセキュリティベンダーから2014年の状況をまとめた報告書が公開されましたが、その中で今回は、Verizonが毎年提供している「データ漏洩／侵害調査報告書（Data Beach Investigations Report、以降DBIRと略）」の2015年版を紹介します。 DBIRは、セキュリティベンダーとしてのVerizonが自社のみならず、世界各国のセキュリティ関連企業やCSIRT、政府機関などから集めたインシデント情報を分析した結果をまとめた資料で、日本からはJPCERT/CCも協力しています。今回の報告書は、計70の組織から集められた7万9790件のインシデント、およびそのうちデータ侵害であると確認された2122件の情報に基づいており、調査対象となった国や地域は61となっています。 ちなみに、DBIRに情報を提供する組織は毎年増えており、調査対象となったインシデントの件数も増えています。具体的には、一昨年は19組織でインシデントは4万7000件以上（うち621件がデータ侵害）、昨年は50組織で6万3437件（うち1367件がデータ侵害）でした。 セキュリティベンダーが公開する調査報告書の多くが一般的にそれぞれの企業の顧客の情報のみに基づいているのに対し、DBIRはその調査対象の広さが特徴と言えます。しかしながら、今回の調査対象となった7万9790件のインシデントのうち、5万315件が公的機関で起きたインシデントであり、またデータ侵害についても全2122件のうち、公的機関が303件を占めるなど、かなり偏りがあるように見えます。この点について報告書では、情報提供元に政府系のCSIRTが多く含まれていることに加え、公的機関の場合はインシデントの発生について報告・届出の義務があることが原因としています。 なお、公的機関に続いて多いのは「情報系（Information）」と「金融系（Financial Services）」の業界であり、これら上位3つは昨年と同じ結果となっています。その一方で報告書では、セキュリティの問題に無縁の業界はなく、「自分のところは○○（適当な理由）だから、そんなことは起きないだろう」などと油断してはいけないと強調しています。

2）フィッシング RAMスクレイパーと並んで2014年の最大の脅威とされたフィッシングですが、攻撃者にとっていまだに有効な攻撃手法であることを示す結果が出ています。報告書によれば、フィッシングメールを受信した人のうち23％がメールを開き、11％が添付ファイルを開いてしまうのだそうです。また、これとは別に、Verizonらがいわゆる「予防接種」と呼ばれる標的型攻撃予防訓練のようなテストを行なった結果では、ユーザーの50％近くが受信から1時間以内にメールを開いてフィッシングリンクをクリックしているそうです。