情報セキュリティ ソリューションを専門とする企業である Securonix (米国テキサス州) の最新のレポートによると、過去 12 か月間に新たに発見されたセキュリティ脆弱性の数は、昨年のほぼ 2 倍である一方で、サイバーセキュリティの脅威の数は増加しています。前年比482%増。

具体的には、Securonix によると、867 件の脅威と 35,776 件の侵入レポート (IOC) があり、前年比でそれぞれ 482% と 380% 増加しています。 この期間中に合計 582 件の脅威が検出、分析、報告され、2021 年と比較して 218% 増加しました。

2023年の大きなリスク

現在、多くの企業がサイバーセキュリティを最大の懸念事項として挙げています。 AGCS のサイバー担当グローバル ディレクターであり、サイバー コンピテンシー センターのチーム リーダーである Scott Sayce 氏は、ほとんどの企業がサイバーセキュリティの脅威から逃れることはできないと考えています。 ただし、以前にサイバーセキュリティの経験を持つ組織は、インシデントに対応するために最新化された場合、明らかにより効果的です.

彼によると、AGCS はサイバーセキュリティの認識が十分に進んでいると考えていますが、経験上、特に情報技術セキュリティトレーニングにおいて、多くの企業がサイバースキルを強化する必要があることも示しています。 特に、中小企業は、ギャングの標的となるサイバーセキュリティに投資するための制御とリソースを欠いていることが多く、大企業はセキュリティにより多くの投資を行っています。

セキュリティ調査会社カスペルスキーの統計によると、中小企業の 60% 以上が 2022 年を通じてサイバー攻撃を受けたことが示されています。このグループの企業は世界経済に大きく貢献しています。 世界貿易機関 (WTO) によると、中小企業は世界中のすべての企業の 90% 以上を占めています。 サイバー攻撃の影響を受けると、企業は機密情報、財務、市場シェアを失う可能性があります。

Allianz Global Corporate & Specialty (AGCS) のレポートによると、ランサムウェアは世界中の組織にとって最大のサイバーセキュリティ リスクであると特定され続けていますが、企業の電子メール侵入インシデントは増加しており、その数はさらに増えるでしょう。 AGCS の年次レビューでは、クラウド サービスへの依存度の高まりと、サイバーセキュリティの専門家の不足の影響により、脅威が出現していることも強調しています。

マルウェア攻撃

世界的に、ランサムウェア攻撃の頻度と関連する請求費用は依然として高いままです。 2021 年には、2020 年の 2 倍の 6 億 2,300 万件のランサムウェア攻撃が世界で記録されました。 . .

特にヨーロッパでは、この時期にサイバー攻撃が増加しました。 ランサムウェア攻撃は、2023 年までに世界中の組織に 300 億ドルの損害を与えると推定されています。

AGCS のディレクターは、犯罪者が大企業、重要なインフラストラクチャ、サプライ チェーンを標的にしているため、ランサムウェア攻撃のコストが増加していると説明しました。 ランサムウェアの深刻さは、ギャングの手口がますます巧妙化しているため、企業にとって大きな脅威であり続ける可能性があります。 ギャングは、さまざまな嫌がらせ手法を使用し、身代金の要求を特定のビジネスに合わせて調整し、プロの交渉人を雇って利益を最大化する傾向があります。

電子メール セキュリティ プロバイダーの Proofpoint は、今年初めにフィッシングとランサムウェアの年次レポートをリリースし、アジア太平洋、米国、ヨーロッパ、イギリスの 600 人のセキュリティ専門家と 3,500 人の従業員を対象とした調査結果を共有しました。 この調査によると、組織の 83% が 2021 年にメール フィッシング攻撃を受けたと答えており、これは 2020 年から 26 ポイント増加しています。回答者の 68% は、昨年マルウェアに感染したと答えており、2020 年から 2 ポイント増加しています。マルウェアに感染した人の 58% が身代金の支払いに同意し、2020 年から 24 ポイント増加しました。

SMB の 4 分の 1 以上が依然としてコスト削減のために海賊版またはライセンスのないソフトウェアの使用を選択しているため、マルウェア攻撃のリスクはますます大きくなっています。

クラウド サービスに関連するデータの盗難とリスク

記録された上位の脅威の中で、データ盗難に関連するセキュリティ リスクは 2022 年に最も多く発生し、2023 年まで続くと予想されます。

情報セキュリティ ソリューションを専門とする企業である Securonix (米国テキサス州) のレポートによると、現在、テクノロジー犯罪者はクラウド アプリケーションを利用して、個人の電子メールや共有プラットフォームを使用して企業データを盗んでいます。 実際、調査によると、電子メール (68%) とコンテンツ管理製品 (68%) は、ハッカーがデータを盗むための一般的なチャネルです。 これは、USB などの従来の方法からの大きな変化です。

従来のチャネルの代わりにクラウド アプリケーションとエンタープライズ コラボレーション サービスを使用することで、データ盗難の機会が増えています。 組織が徐々にクラウド コンピューティング アプリケーションの使用に移行し、コラボレーション ツールに投資するにつれて、リスクも増大します。 脅威アクターとサイバー犯罪者は、クラウドの有効化とテクノロジー サービスを利用して、攻撃対象領域を拡大し、政府機関からの防止および制御措置を回避しています。 また、クラウド プラットフォームに攻撃ネットワークを設定するのは比較的簡単です。

クラウド セキュリティ レポート 2022 (775 人のサイバーセキュリティ専門家の調査に基づくグローバル レポート) によると、組織の 27% が、過去 1 年間にパブリック クラウド アプリケーションに関連するセキュリティ問題に遭遇したと述べています。 過去 12 か月間で、昨年より 10 ポイント増加しました。 サイバー犯罪者は、セキュリティの脆弱性を悪用して組織のネットワークからデータを盗み、利益や違法な利益を得るなど、さまざまな理由でクラウド サービスを標的にしています。 また、クラウド サービスを悪用してマルウェアを拡散しようとする可能性もあります。

ビジネスメール詐欺

ビジネス メール ハッキング (BEC) は、営業中の大企業を標的とするビジネス メール詐欺の一種です。 ハッカーは、企業の上級管理職になりすますような詐欺を計画し、従業員に金銭または極秘データを転送して金銭をゆすり取るように要求します。

フィッシング メール攻撃の形態は非常に巧妙であることが証明されており、場合によっては、ハッカーが経営幹部の公式メールを取得することさえあるため、これらのケースを防ぐことは困難です。 より巧妙に、ハッカーは確認の電話を偽装したり、被害者を騙したりして、認証を非常に困難にします。 2021 年、アラブ首長国連邦の銀行家は、企業幹部のクローンの声にだまされた後、3,500 万ドルを電信送金しました。

BEC 攻撃は、データのデジタル化と可用性の向上、リモート作業への移行、人工知能 (AI) ベースのなりすまし技術または機械学習の可用性の向上により、増加し続けています。 米国連邦捜査局 (FBI) によると、BEC 関連の詐欺は、2016 年から 2021 年の間に世界中で 430 億ドルに達し、2019 年 7 月から 2021 年 12 月までの 5 月から 10 月にかけて 65% に達しました。

犯罪者がオンライン プラットフォームを使用して従業員を騙し、送金や機密情報の共有を行うようになるにつれて、攻撃はより巧妙になり、標的を絞るようになっています。 これらの攻撃は、人工知能によってますます可能になり、ディープ フォージェリ テクノロジーを使用してオーディオまたはビジュアルが高レベルのフレームワークを模倣できるようになっています。

サプライチェーン攻撃

サプライ チェーン攻撃は、サプライヤーを通じて企業を標的とするサイバー攻撃です。 したがって、サプライ チェーンが大規模または複雑になればなるほど、攻撃を受けるリスクが高くなります。 サプライ チェーン攻撃は、アウトソーシングから製造技術、金融からヘルスケア、さらには政府機関に至るまで、あらゆる業界やセクターを容赦なく攻撃していることがわかります。

企業が被る影響は多岐にわたり、情報の漏えい、業務の中断または中断、収入の減少、評判への影響、ブランドへの影響、投資機会の喪失、さらには訴訟まで…

サプライ チェーン攻撃の主な原因は、運用プロセスにおけるセキュリティの欠如と、両者間の協力です。 具体的には、多くの企業がベンダーに「機密」情報へのアクセスを許可しており、これが公開されるとビジネスに影響を与える可能性があります。

2014 年の米国の小売業者 Target に対する攻撃は、ベンダーのセキュリティの欠如が原因でした。 2019 年、クレジット会社の Equifax は、使用しているサードパーティ製ソフトウェアの脆弱性による深刻な攻撃を受けたと報告されています。 同社はその後、自社の Web サイトにある別のプロバイダーへの悪意のあるリンクを非難しました。 もう 1 つの例は、大企業、政治家、有名人による外国の租税回避計画を詳述した 1,300 万件を超える記録が流出した、Paradise Papers スキャンダルです。 このリークのソースは何ですか？ 昨年のパナマ文書のように、法律事務所は最も弱いリンクです。

近年、より巧妙で予測不可能な新しい形の攻撃の出現により、ビジネスの世界は苦戦しているようです。 一方、攻撃者はますます装備を整え、それを利用するための行動を起こす適切な瞬間を常に待っていますが、当局は遅れをとっており、脅威に対応できていないようです。 専門家の不足が、サイバーセキュリティを改善する取り組みを妨げています。 世界中の統計サイバーセキュリティの専門家の数は、過去 8 年間で 350% 増加して約 350 万人になりましたが、多くの企業は依然として専門家の採用に苦労しています。