サイバー犯罪の現場で起きている7つの変化とは：半数以上の企業がランサムウェア感染を経験

プルーフポイントは2022年11月2日、2023年のサイバーセキュリティ予想を発表した。「暗号化だけでなくデータの窃取がランサムウェア攻撃の成功要素の一つとなる」など、7項目を予想した。

[＠IT]

　プルーフポイントは2022年11月2日、2023年のサイバーセキュリティ予想を発表した。同社のレジデントCISO（最高情報セキュリティ責任者）チームは、それらの事態に対処するための考えも示した。

　プルーフポイントが予想した2023年のサイバーセキュリティ項目は、以下の通り。

経済の低迷と紛争がグローバルエコシステム全体に影響し、システミックリスクを悪化させる

　「システミックリスク」とは、相互に接続したデジタルエコシステムで、それを構成する個別要素の機能不全などが、エコシステム全体に波及すること。1カ所で発生した事象の影響が、接続し合うエコシステムや市場を通じて、またたく間にドミノ倒しのように波及し、新たな懸念を引き起こす。

　プルーフポイントは、「人々の不安をあおり、人々の感情的な状態を食い物にして、巧妙な攻撃を仕掛けてくるサイバー攻撃者だけでなく、ロシアとウクライナの戦争のような物理的な紛争は世界を混乱に陥らせ、新たなサイバー攻撃を引き起こし、企業のシステミックリスクを拡大させる」と注意を促している。

ダークウェブでのハッキングツールの商業化がサイバー犯罪を増加させる

　最近では、ランサムウェアを実行するためのハッキングツールキットが、犯罪組織のアンダーグラウンドで商品化されている。特に、「Ransomware as a Service」のような、技術的な知識がほとんどなくてもランサムウェア攻撃を可能にするツールは、ダークウェブ経済として開花し、ランサムウェア攻撃を急増させる原因になっている。

　プルーフポイントは、「ダークウェブでの商取引が活発化するにつれて、新たな攻撃の波が押し寄せる」と予測する。ランサムウェアだけでなく、フィッシング攻撃やスミッシング攻撃、モバイル機器の乗っ取りなどのツールが増えることで、技術的な知識がなくても簡単に攻撃できてしまうからだ。

攻撃者のビジネスモデルが2重恐喝手法に移行し、暗号化だけでなくデータの窃取がランサムウェア攻撃の成功要素の一つとなる

　プルーフポイントによると、「世界の企業の68％がランサムウェアの感染を経験しており、今ではランサムウェアと無縁の企業はない」という。同社は、ランサムウェアの手法が過去3年の間に、単なるデータの暗号化から、データの暗号化とデータの窃取の両方を行う2重脅迫スキームに変化してきていることに警戒している。

　最新のトレンドは3重脅迫で、攻撃者は標的とした企業だけでなく、データ漏えいが影響を及ぼす恐れのある全ての組織に支払いを求めている。

サプライチェーンはますます攻撃ツールとして使われ、サードパーティーベンダーやサプライヤーへの信頼を悪用するようになる

　World Economic Forum（世界経済フォーラム）の調査によると、「約40％の組織がサプライチェーン内のサイバーセキュリティインシデントによる悪影響を経験している」という。

　プルーフポイントは、「2023年には、サードパーティーのパートナーやサプライヤーに対する信頼が主要な攻撃経路の一つとなる。サプライチェーンリスクの中でも、特にAPIに目を向ける必要がある」と予測している。

　企業がAPIに大きく依存していることを攻撃者は理解しており、これを悪用しようとすることが懸念されるが、APIの安全な統合手法や、確固たる管理手法が確立されていない。攻撃者は、より簡単にAPIを利用できるようになっている。

　企業は、サプライチェーンリスクをよりよく理解するために「ベンダーのデューデリジェンス（企業の財務状況の確認など）プロセスを強化しよう」とし、一方でサプライヤーは「自社のプロセスを管理しよう」と奮闘しているので、プルーフポイントは、「サプライチェーンの関係全体がより緊張する」と予想している。

　その他プルーフポイントでは、「MFA（多要素認証）バイパス攻撃は、サイバー犯罪者が防御を突破し、『人』の脆弱（ぜいじゃく）性を突くための新たな手段を模索する中で増加する」「ディープフェイク技術はサイバー攻撃において、より顕著な役割を果たし、ID詐欺、金融詐欺、偽情報のリスクを増大させる」「取締役会レベルにおける規制当局の監視の高まりは、CISOの役割をさらに変化させ、取締役会の期待や要求を増大させる」と予測している。