進化を続けるテクノロジー環境は企業とエンドユーザーを熱狂させ、機会をもたらしますが、新たなエクスプロイトを求めるサイバー犯罪者の脅威によるリスクの増大という危険な側面もあります。
これまでネットワークセキュリティの担当者は、メールによるフィッシング攻撃、データ侵害、USBメモリーで持ち込まれるマルウェア、既知のエクスプロイトを含むパッチ未適用のオペレーティングシステムなど、よく知られた脅威への対応に専念してきました。しかし、今日のサイバーセキュリティ環境はこれまでとは大きく異なっており、攻撃ははるかに悪質なものになっています。たとえば、セキュリティが不十分なIoTデバイスは、サーモスタットや煙探知器を介して侵入する手段を攻撃者に与える恐れがあります。また、在宅勤務への移行に伴い、スマートフォンなどの個人所有のデバイスに企業データが読み込まれることで新たなリスクが生まれています。また、攻撃者もより巧妙になっており、人工知能(AI)を利用して、増え続ける標的にこれまで以上に迅速かつ効果的にアプローチしています。
サイバー攻撃がこれほどまん延しているのは、暗号通貨や電子知的財産などのデジタル資産やeコマースが劇的に普及したことで、攻撃が成功した場合の見返りが飛躍的に増大したためです。特に、企業にとってそのリスクは甚大です。攻撃が成功して顧客のデータが漏洩すれば、数百万ドルの罰金が科され、取り返しがつかないほど企業の評判を傷つける恐れがあります。
この記事では、現代のサイバーセキュリティの脅威とはどのようなものか、そして企業が賢く身を守るにはどのようにすべきかなどについて深く掘り下げます。
最も注意すべき今日のサイバーセキュリティ脅威とは
サイバーセキュリティの脅威は絶えず変化していますが、現在の市場で注意すべき、最も悪名高く、最もまん延しているサイバー脅威をいくつかご紹介します。
- フィッシング:かつては下手な文章のフィッシングメールがほとんどでしたが、これらの脅威は爆発的に普及すると共に巧妙さを増しており、音声通話、テキストメッセージ、ソーシャルメディアを介してデスクトップコンピューターやモバイルデバイスにソーシャルエンジニアリング攻撃が仕掛けられるようになっています。そして、これらの攻撃は大きな成功を収めています。連邦取引委員会によると、2020年には2019年よりも45%多い480万件のなりすましと詐欺が報告されており、すべてのサイバー攻撃の44%をフィッシングが占めていました。また、有名人の標的を狙うスピアフィッシングなどの巧妙な攻撃も増加しています。
- ランサムウェア:ランサムウェア攻撃では、企業が標的となることが一般的です。この攻撃ではサイバー犯罪者がコンピューターやサーバーにマルウェアをインストールし、見つけた機密情報を暗号化します。その後、攻撃者はデータの復号と引き換えに、通常は追跡不能なビットコインでの支払いによる身代金を要求するのです。2019年には世界各地で約250億ドルの身代金が要求され、修復にかかったコストや損害の総額は1,700億ドル近くに上っています。非常に悪質なランサムウェア攻撃では、企業のサプライチェーンや生産能力、あるいは運用能力に甚大な被害を与えることもあります。
- ボットネット攻撃:ボットネットはこれまで、DoS攻撃やDDoS攻撃を仕掛けたり、通常は暗号通貨のマイニングのために企業のコンピューティングリソースを密かに乗っ取ったりするために使用されてきました。NetScout社によると、DDoS攻撃の総数は昨年初めて1,000万件を超えました。企業はボットネット攻撃の標的になるだけでなく、自社のネットワークにボットマルウェアがインストールされるリスクにもさらされています。
- クラウドベースのエクスプロイト:組織がサービスをクラウドへと移行し、クラウドインフラが拡張し続ける中、クラウドリソースを悪用しようとする試みが増加しています。他のエクスプロイトと同様に、ハッカーはしばしば企業のクラウドベースリソースを感染させて、データを盗んだり、暗号通貨をマイニングしたりするのに利用しようとします。クラウドベースの攻撃は急激に広まっており、2020年には250%増加しました。
- 在宅勤務に特化した攻撃:新型コロナウイルスに関連した規制により、何百万人もの会社員が1年以上にわたって在宅勤務を強いられました。通常、ユーザーのホームセキュリティ環境は企業の環境ほど徹底していないため、安全でないWi-Fiネットワークや簡単に破られるパスワード、さらにはノートPCやスマートフォンの物理的な盗難を狙う攻撃者にとって格好の標的となっています。
- 国家による攻撃:2020に発生して大きな話題となったSolarWinds攻撃は、ロシアの諜報機関が仕掛けたものと考えられています。この攻撃では、サイバー犯罪者が数十の国際企業や政府機関のネットワークにバックドアを仕掛け、検知されるまでの約1年間、永続的なアクセスを可能にしていました。この攻撃は、このような高度なサイバースパイ活動にプロアクティブに対抗する戦略の必要性を浮き彫りにしました。
(連邦取引委員会のリンク:480万件のなりすまし)
現代のサイバーセキュリティの脅威はどのように進化しているか
この1年でサイバーセキュリティの脅威は爆発的に増加し、これらの脅威はますます巧妙でターゲットを絞ったものになっています。通常、サイバー犯罪者はソーシャルメディアのデータのような公開された情報を利用して個人情報を盗み、パスワードを簡単に解読します。このようなデータはブラックマーケットで販売されており、サイバー攻撃者は標的になる可能性のある人物に関する情報不足をこれまで以上に簡単に解消できるようになっています。
一方で、これらの攻撃を可能にするテクノロジーはますます浸透しています。攻撃者は、クラウドコンピューティング、AI、分散型コンピューティングリソースなど、企業と同じ種類のリソースを利用して攻撃を成功させる可能性を高めています。IoTデバイス、クラウドインフラ、従業員による個人所有デバイスの使用などの普及によって企業全般の攻撃対象が増大し、標的となるユーザーはこれまで以上に大きなリスクに直面しています。
サイバーセキュリティ攻撃の目的とは
サイバー攻撃者の目的は年々変化していますが、一般的には次のようなお決まりのテーマに沿っています。
- 金銭:直接間接を問わず、ほとんどの攻撃の最終目的は金銭的な利益を得ることです。これは、銀行の認証情報やクレジットカード番号の盗難、広範ななりすまし、あるいは暗号通過のような金銭的資源を直接盗むことで達成されます。
- データ:これには、個人情報(社会保障番号や医療保険記録など)や企業データ(知的財産、ソースコード、顧客記録など)の盗難が含まれます。攻撃者がこれらのデータを狙う主な目的は、より多くの攻撃を行うためか、データを売って金銭的な利益を得ることです。
- コンピューティングリソース:攻撃者はしばしば企業のコンピューティング能力を利用し、従来型データセンターやクラウドを介してより多くの攻撃を仕掛けようとします。通常、これらのリソースは、貴重な暗号通貨のマイニングや、マルウェアなどの悪意のあるコードを起動するボットネットを実行してDDoS攻撃を仕掛けるために使用されます。
- 社会の混乱:それほど一般的ではありませんが、大規模な混乱を引き起こし、被害者に損害を与えて苦しめようとする攻撃者がいまだに存在します。水道や電力網などの重要なインフラへの攻撃がこのカテゴリに分類されます。
マルウェアの概要と一般的な配信方法
マルウェアとは、コンピューターシステムやネットワークに損害を与えるように設計された悪意のあるアプリケーションの総称です。マルウェアの種類には、ウイルスやトロイの木馬(正規のコードに隠された悪意のあるコードスニペット)、ゼロデイ脅威、バックドア(標準的なログイン手順をバイパスする方法)、キーロガー(ログイン資格情報を含め、ユーザーのキーボード入力をすべて記録するコード)、スパイウェア(ユーザーの個人情報や作業習慣を密かに収集するように設計されたアプリケーション)、中間者攻撃(攻撃者がデータ転送や通信を妨害する盗聴攻撃)、アドウェア(広告を表示したり、攻撃者自身の広告に置き換えたりするよう設計されたマルウェア)などがあります。
マルウェアは、被害者となるユーザーや企業にさまざまな問題を引き起こす可能性があります。場合によっては、マルウェアが数カ月から数年にわたって気付かれることなく密かに情報を盗んだり、ユーザーのWebブラウザ上で広告を生成したりすることもあります。マルウェアは、ボットネットのサービスに呼び出されるまで身を潜めていることがあります。しかし、ほとんどの場合、マルウェアは早急に対処が必要な差し迫った問題です。マルウェアは身代金の人質としてファイルを破壊または暗号化したり、広告などのポップアップを画面に表示してコンピューターを使用不能にしたり、被害者のマシンをスパムをまき散らすロボットに変えて被害者の連絡先を感染させたりすることで、ユーザーのPCに大混乱を引き起こします。サイバー犯罪者はセキュリティ防御を回避し、検出をかいくぐり、自らの痕跡を消すように設計された新たなマルウェアを開発し続けています。
マルウェアは従来、メールの添付ファイルとして配信されていましたが、現在はさまざまな方法で配信されています。(PurpleSec社によると、2018年の時点では、マルウェア感染の92%は依然としてメールによるものでした。)マルウェアは、感染したWebページを介し、ユーザーを騙して悪意のあるアプリケーションをダウンロードさせることで配信されることもあります。悪意のあるテキストメッセージがユーザーを侵害されたWebページに誘導し、正規のものに見せかけた悪意のあるアプリケーションで被害者のスマートフォンを感染させたりします。サイバー犯罪者が被害者に電話をかけて騙し、感染したWebページにアクセスさせたり、PCのリモートアクセスを制御させたりして、その時点でシステムにマルウェアを侵入させることもあります。
マルウェアは、Microsoft Windows PC、MacOSコンピューター、スマートフォン、タブレットなど、あらゆる種類のコンピューティングデバイスを感染させます。つまり、マルウェアに感染しないデバイスはありません。
ランサムウェアの概要と仕組み
ランサムウェアは、2つの段階で構成された悪質なサイバー攻撃です。攻撃の第1段階では、サイバー犯罪者がファイルを暗号化するマルウェアを被害者のコンピューターまたはネットワークに挿入し、ユーザーをロックアウトします。攻撃の第2段階は身代金の要求です。ファイルを復号してユーザーに返すことと引き換えに、被害者に身代金を要求します。この攻撃は被害者の準備不足やパニックに付け込みます。システムを適切に保護していない被害者はバックアップをとっていない可能性が高く、ファイルを取り戻そうと必死になることがあります。ランサムウェア攻撃でファイルが暗号化されると、マルウェア対策ソフトウェアでは元に戻すことができないため、多くの被害者は身代金を支払わざるを得なくなります。身代金の額は数百ドルから数万ドルまでと幅広く、通常は追跡できないビットコインで要求されます。また、身代金を支払っても、攻撃者が被害者のファイルを復号するという保証はありません。最近のある報告によると、身代金を支払った被害者のうち、データを取り戻すことができた被害者は半数をわずかに下回っています
ランサムウェアの攻撃の歴史は2000年代半ばに遡りますが、ランサムウェアが大きな問題となったのは2016年になってからであり、注目を集めるきっかけとなったのは約20万人の被害者を出した悪名高いWannaCry攻撃でした。標的となる相手、特に病院や医療機関から金銭を脅し取るこの種の大規模なランサムウェア攻撃は、攻撃者が多額の金銭を得られることから増加傾向にあります。
一般的なサイバー攻撃の標的は誰か
サイバーセキュリティが特に複雑なのは、攻撃対象が増加し、攻撃者が悪用できる手法が増えているためです。一般的なサイバー攻撃の標的は以下のとおりです。
- インフラデバイス:サーバー、ネットワークハードウェア、ワイヤレスアクセスポイントなど。
- エンタープライズアプリケーション:攻撃者は、コードの脆弱性やマルウェアを利用してこれらのシステムを標的にします。
- エンドポイントハードウェアおよびソフトウェア:クライアントコンピューターやオペレーティングシステム、スマートフォンなどのユーザーデバイス、さらにはプリンターなどの接続されたIoTデバイスなど。
- IoTデバイス:産業用センサーやセキュリティカメラ、さらにはスマートサーモスタットや家電のような日常的なデバイスを含む、ネットワークに接続されたあらゆるIoTデバイス。
- クラウドベースのリソース:このカテゴリには、ストレージシステム、パブリッククラウドサービス(Webベースのメールシステムなど)、SaaSクラウドコンピューティングプラットフォームなどが含まれます。
- サードパーティベンダー:企業は、システムが適切に保護されていない請負業者やベンダーを通じて侵害や攻撃を受けるリスクがますます高まっています。
- 内部脅威:資格情報を使用して不正アクセスを行ったり、意図的あるいは無意識に企業を悪意のあるソフトウェアやその他のセキュリティリスクにさらしたり、個人データなどの機密情報を盗んだりする従業員や請負業者。
今日のサイバー脅威がビジネスに与える影響とサイバー攻撃を受けた場合に起こりうる事態
サイバー攻撃が成功した場合、以下のような大きな影響をビジネスに与えかねません。
- 経済的損失:サイバー攻撃により、収益が直接打撃を受ける可能性があります。また、被害の修復にも多額のコストがかかることがあります。
- 企業の信頼の低下:侵害が発生した場合、それが顧客データの損失につながる場合は特に、その余波(報道、顧客の減少、ビジネスの損失、コンプライアンス違反など)を受けて企業の評判が著しく損なわれる可能性があります。侵害の規模が大きいほど、企業の評判が損なわれ、将来的に顧客を獲得できなくなるリスクが高まります。
- 運用上の問題:攻撃の多くは、重要なシステムを停止させ、企業の運用能力に影響を与える恐れのあるものです。これらのシステムには、製造管理システムや支払処理システムなどの重要なコンピューターシステムが含まれます。
- 訴訟と規制違反による罰金:顧客記録の盗難に起因するプライバシー侵害は、規制違反による高額な罰金や集団訴訟、および行政機関による罰金につながることが少なくありません。また、侵害が発生すると、攻撃を受けた企業の保険料が高くなることもあります。
最も一般的なサイバーセキュリティ防御とは?今日のサイバー脅威に備えてどのようなサイバー防御に投資すべきか?
今日の脅威に対抗するための強力なセキュリティソリューションには、以下のようなものがあります。
- ファイアウォール:外部からの脅威に対する防御の最前線であるファイアウォールは、悪意のあるトラフィックが内部ネットワークに侵入するのを防ぎます。
- マルウェア対策:一般に、エンドポイントベースのツールであるマルウェア対策アプリケーションは、入ってくるアプリケーション、メッセージ、ドキュメントをスキャンして、マルウェアに感染していないことを確認します。
- 侵入テストとネットワークの脆弱性分析:ネットワークを調査してセキュリティレベルを評価します。
- 侵入検知:侵入テストツールに相当するこれらのツールは、ネットワークを監視して、攻撃者がネットワーク境界への侵入に成功したかどうかを判断します。
- 認証:最新の認証システムは、AIを利用してユーザーの異常な行動を検知し、ユーザーが本人かどうかを判断します。
- パスワードの監査:これらのツールは、簡単にハッキングされるパスワードが検出された場合に、ユーザーやシステム管理者にパスワードを変更するよう警告します。
- 暗号化:攻撃者がネットワークに侵入したりハードウェアを盗んだりしても、暗号化してあれば機密データへのアクセスを防ぐことができます。
- クラウドセキュリティシステム:これらのツールは、オンプレミスシステムに保存されているデータではなく、クラウドベースのリソースを保護するために特別に設計されています。
当然ながら、パズルの最後のピースとして、十分に訓練された有能なSOC(セキュリティオペレーションセンター)チームが、強力なサイバーセキュリティ戦略でこれらすべてのツールを管理する必要があります。
サイバーセキュリティの一般的なベストプラクティスとは
サイバーセキュリティは、一般的な企業が日々直面する無数の脅威や攻撃に対処するために進化してきました。企業を保護するためのベストプラクティスには、次のようなものがあります。
- システムを監査し、セキュリティ対策を文書化する。まず、ネットワーク上のすべてのシステム、攻撃された場合のリスクレベル、データ保護の方法などを詳細に監査します。FCCのCyber Plannerなど、さまざまなツールキットをガイドとして利用できます。
- フィッシングの実態についてユーザーを教育する。依然として、フィッシングは攻撃者がネットワークにアクセスするための主な手段です。フィッシングの仕組みや注意すべき点、避けるべき行動(添付ファイルを開くなど)についてユーザーを教育すれば、これらの攻撃の多くを防ぐことができます。
- パスワードを監査し、強力なパスワードの使用を徹底する。辞書に掲載されているすべての単語を含め、脆弱なパスワードは驚くほど簡単に破られます。文字を形が似た数字に置き換えた複数の単語や末尾に数字を加えた単語も、もはや安全とはいえません。暗号学者のBruce Schneierが書いているように、「記憶できるものはほとんどすべて破ることができます」。
- サイバーセキュリティツールに投資する。前のセクションでご紹介した防御システムは、あらゆる規模の企業に不可欠なツールです。また、それらを展開するためのプランも必要です。
- サードパーティを監視する。クラウドコンピューティングサービスを利用する場合は、セキュリティ侵害やサービスに関連する脆弱性を常に把握し、データが適切に保護されていることを確認することが重要です。
- データを確実にバックアップする。バックアップを毎日(またはそれ以上の頻度で)実行して別の場所に保存し、固有のログイン資格情報で保護することを徹底します。
サイバー攻撃を防ぐさまざまな方法
サイバー攻撃を防ぐためには、継続的な注意と警戒が必要です。これらのヒントは企業が身を守るのに役立ちます。
- リスクレベルを把握する。特に貴重なデジタル資産を持たない小規模企業や中規模な消費者向けビジネスでも、攻撃のリスクにさらされています。この1年間だけで、小規模企業の47%がサイバー攻撃を受けました。サイバー攻撃によってデジタルデータが一夜にしてすべて失われたとしたら、業務を継続できますか?どのように復旧しますか?
- トレーニングが重要。すべての従業員がリスクを把握し、セキュリティのベストプラクティスやポリシーを理解することは、組織の保護に大いに役立ちます。
- すべてのソフトウェアとハードウェアにパッチを適用する。一般に、エクスプロイトが成功するのは、パッチ(脆弱性を修正するソフトウェア)がリリースされているにもかかわらず、それが適用されていない場合です。
- 物理的な侵入を防ぐ。世界中のどのようなデジタルセキュリティも、建物に物理的に侵入されて機器が盗まれてしまったら意味がありません。
- 必要なリソースにのみアクセスできるようにする。マーケティング担当者には、経理担当者と同じレベルのネットワークアクセスは必要ありません。サービスへのアクセスをパーティション分割し、必要に応じてアクセスを許可します。
- セキュリティ対策を実施し、システムを定期的に監査する。ネットワーク監視、マルウェア対策、侵入検知などのツールを実行することで、サイバー攻撃を効果的に防ぐことができます。セキュリティ監視システムを定期的に監査して、期待通りに動作していることを確認します。
サイバーセキュリティの今後
サイバー攻撃は間違いなく悪化し続けます。企業が在宅勤務を永続的に導入するようになればなおさらです。ある試算では、世界のサイバー犯罪の被害総額は2025年までに10兆ドルを超えるとされています。攻撃者の手口は時間とともに変化し続けるため、可能性のあるすべてのエントリポイントで企業を保護することがますます重要になっています。一方で、リスクは高まり、攻撃が成功した場合の損害も増加する一方です。今後は、すべての企業がセキュリティを最優先事項とする必要があることは明らかです。
1980年代から90年代にかけてのウイルス攻撃やワーム攻撃以降、サイバー犯罪は大きな進化を遂げています。最近では、外国がコンピューターネットワークを利用して政府や企業を攻撃しているというニュースが日常的に報道されています。リスクにさらされているのは大企業だけではありません。サイバー犯罪は小規模企業やその従業員、さらには顧客にも影響を与えます。自社が新たな統計対象となり、悪いニュースとして取り上げられる可能性を回避したければ、今すぐサイバーセキュリティを優先し、システムの隔離とデータの保護を徹底するしかありません。
