残念なITリーダーが考えがちな「プログラムを増やせばセキュリティが強化される」の誤り:BECの被害は2021年だけで24億ドル
Acronisは、「Acronisサイバープロテクションオペレーションセンターレポート(上半期)」の日本語版を発表した。それによると2021年だけで、ビジネスメール侵害(BEC)によって24億ドルの損失が発生していることが分かった。
Acronisは2022年10月21日、「Acronisサイバープロテクションオペレーションセンターレポート(上半期)」の日本語版を発表した。
これはAcronisのサイバープロテクションオペレーションセンターが取りまとめた、サイバー脅威レポートの中間アップデート版。政府機関や企業にとってランサムウェアが引き続き最大の脅威になっている背景に加えて、ITとインフラの過剰な複雑さが攻撃の増加につながっている理由について取り上げている。
被害が増えている背景に「ITの過剰なまでな複雑さ」
2022年上半期に報告された侵害の約半数は「ログイン情報の盗難」だった。ログイン情報など機密情報を盗み出すため、サイバー犯罪者は悪意のあるリンクやファイルを含んだメールを使っている。Acronisによると、そういった悪意のあるメールは全体の約1%で、そのうちの26.5%が「Microsoft 365」でブロックされずにユーザーの受信トレイに到達しているという。
レポートによると、従来の侵入経路とは異なる経路を使用した攻撃が増えており、最近の主な標的は「暗号通貨(仮想通貨)」と「分散型金融プラットフォーム」だという。これらの侵害によって、数十億ドルの被害が生まれ、テラバイト単位のデータが失われたとAcronisは指摘している。
Acronisは、このような攻撃を可能にしている原因として「ITが過剰なまでに複雑になっていること」を挙げた。
「ベンダーとプログラムの数を増やせばセキュリティが強化されると多くのITリーダーが考えている。だが、複雑さが増すことで攻撃対象範囲が拡大し、攻撃者に付け入られる隙も増えているため、壊滅的な被害を引き起こしかねない脆弱(ぜいじゃく)性を常に抱えている」(Acronis)
2021年に発生したダウンタイムのうち36%がサイバー攻撃に起因
レポートではサイバー攻撃による被害の詳細についても解説している。
ランサムウェアの被害も続出しており、レポートによると特に「Conti」「Lapsus$」といったランサムウェア集団による被害が深刻だという。Contiはコスタリカ政府に身代金として1000万ドルを要求し、盗み出した672GBのデータを公開した。Lapsus$は1TBのデータを盗み出し、7万人を超えるNVIDIAユーザーのログイン情報を漏えいさせた。
フィッシングや悪意のあるメール、マルウェアの増加も続いている。2022年上半期の、悪意のあるメールを使った攻撃は600件で、その58%がフィッシング攻撃だった。そして、そのうち28%がマルウェアを含んでいた
また、サイバー攻撃による被害は金銭的なものにとどまらない。ダウンタイムなどサービスレベルの侵害によって、企業の評判やカスタマーエクスペリエンスが影響を受けている。2021年だけで、ビジネスメール侵害(BEC)によって24億ドルの損失が発生し、2021年に発生したダウンタイムのうち36%がサイバー攻撃に起因していた。
Acronisのキャンディッド・ヴュースト氏(サイバープロテクション研究所担当バイスプレジデント)は、「サイバー脅威は常に進化しており、従来のセキュリティ対策をかいくぐっている。サイバー犯罪は高度に洗練されてきており、単層型のアプローチとポイントソリューションでは攻撃に対抗できない。マルウェア対策から電子メールのセキュリティ、脆弱性評価機能などあらゆるものを統合した包括的なサイバーセキュリティアプローチを全ての組織が求めている」と述べている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 思ったより少ない? 従業員数1000人以上の企業でシャドーITの利用経験がある社員の割合とは
メタップスは、従業員数1000人以上の企業を対象に実施したセキュリティ意識に関する調査の結果を発表した。それによると、18.3%の人が「シャドーIT」の利用経験があることが分かった。 - 「ビジネスの成果につながるセキュリティ」 世界の企業はハイブリッドワークに注目、日本は?
ウィズセキュアは、世界12カ国で実施したサイバーセキュリティに関する調査「WithSecure 2022 B2Bマーケットサーベイ」の結果を発表した。企業がセキュリティへの投資に対して求める技術的優先事項のトップは「データ侵害の防止」だった。 - “産業化”するサイバー攻撃をどう防ぐ? サイバーセキュリティの基礎から解説
セキュリティの素朴な疑問を、話題のトピックスを交えて解説する本連載。第2回は、「サイバー攻撃のHow」をテーマに、セキュリティの基礎を紹介する。