米国のサイバーセキュリティ啓発月間の初日、2024年の重大な世界的サイバー攻撃の件数は2020年の2倍になるとの調査結果が明らかになった。
保険会社QBEの新しいレポート「コネクテッドビジネス:デジタル依存がリスクを高める」では、組織が今年211件の破壊的かつ混乱を招くサイバー攻撃に見舞われると予測しています。
破壊的インシデントは回復可能であり、データの可用性、整合性、またはアクセスにのみ影響を及ぼします(分散型サービス拒否攻撃など)。一方、破壊的攻撃は回復不可能であり、石油化学プラントの安全システムを機能停止させたTritonマルウェアのように、人への物理的な影響を目的としています。
2020 年の破壊的かつ妨害的なサイバー攻撃の件数は 103 件で、わずか 4 年間で 105% 増加する可能性があることを示しています。
本レポートのデータは、コンサルティング会社Control Risksによって収集されました。同社は、データ損失や単純なデバイス侵害といったインシデントではなく、「戦略的に重要な」オープンソースおよびインシデント対応事例を厳選してインデックス化しました。
過去 4 年間の重大な攻撃の例としては、次のようなものがあります。
- 2021年コロニアルパイプライン事件。
- 2022年、ヨーロッパの石油港ターミナルが攻撃される。
- 2023年MOVEitデータ漏洩。
- 2023 LockBit ランサムウェア攻撃。
- 2024年、英国NHSのサプライヤーに対するランサムウェア攻撃。
参照:ランサムウェアチートシート:2024年に知っておくべきことすべて
しかし、QBE は TechRepublic に対し、混乱を招き破壊的な攻撃の実際の数字は報告されている数字よりはるかに高い可能性があると語った。
「テクノロジーの相互依存性が高まるにつれ、1回の攻撃で多くの企業に混乱をもたらすサイバーインシデントが増えることが予想され、企業が混乱を引き起こすサイバーイベントを経験する可能性が高くなることを意味する」と著者らは記している。
「悪意のある行為者は、身代金を強要したり、地政学的なライバルを不安定化させたりするために、特定の企業を標的にしてより大きな損害を与えることもできます。」
ランサムウェア攻撃者は、より大きな報酬を求めてオペレーショナルテクノロジー企業や大企業を標的にしている
報告書によると、オペレーショナルテクノロジーオペレーターと大規模組織がランサムウェア攻撃者の主な標的となっている。
重要なインフラストラクチャを管理する OT 組織は、厳格な稼働時間要件があるだけでなく、通常の運用を維持しながらテクノロジーを交換することが困難でコストもかかるため、従来のデバイスに依存していることで知られています。
ランサムウェアの国家安全保障への脅威に関する英国政府の報告書に提出された NCC グループからの証拠によると、「OT システムには、20 ~ 30 年前のコンポーネントが含まれていたり、安全性が低くサポートが終了している古いソフトウェアが使用されていたりする可能性が非常に高い」ことが判明しました。
これにより、OT企業はダウンタイムが深刻な結果をもたらすため、身代金を支払う可能性が高まります。実際、QBEのレポートによると、産業セクターの組織に対するランサムウェア攻撃は2022年から2023年にかけて50%増加しました。
参照:英国、米国、カナダのサイバー当局が、運用技術システムへの親ロシア派ハクティビストによる攻撃を警告
攻撃者の要求に屈する可能性が高いもう一つのグループは、業務の中断の方がコストが高いと考える大企業の経営幹部です。QBEによると、年間売上高50億ドルの組織では、攻撃後に身代金を支払う割合が平均61%であるのに対し、年間売上高1,000万ドル未満の組織では25%となっています。
これらの戦術は利益をもたらすことが証明されています。2023年のランサムウェアによる平均支払額は200万ドルで、2022年の5倍に増加しました。報告書の著者らは、LockBit、BlackCat、Hiveといった法執行機関による攻撃の成功により、攻撃者はより裕福な標的を狙い、攻撃が止まる前に身代金を最大化しようと努めていると述べています。
さらに、現在ではシステムの停止がより頻繁に行われているため、ランサムウェアグループは政府の報復を「避けられないもの」とみなし、大規模組織や重要な組織を標的にすることに何の躊躇も持たない可能性があると専門家は指摘している。
QBE レポートの研究者は、ランサムウェアの被害者数は 2023 年から 2025 年にかけて 11% 増加し、製造、医療、IT、教育、政府部門が最も危険にさらされると予測しています。
報告書で指摘されているように、攻撃者が最大の被害をもたらすために用いるもう一つのランサムウェア手法は、ITサプライチェーンを標的とすることです。理由の一つは、CNIの場合と同様に、多くの企業がサービスに依存しているため、稼働時間の重要性が増していることです。しかしもう一つの理由は、一度の攻撃で様々な業種の多くの組織を攻撃する機会を生み出すためです。
報告書によると、2023 年のサードパーティ インシデントの 4 分の 3 以上は、わずか 3 つのサプライ チェーンの脆弱性に起因するものとなっています。
英国企業のセキュリティにとって、人工知能は恐怖と希望の源泉である
QBE は新しいレポートに加え、9 月に英国の IT 意思決定者 311 人を対象にセキュリティ上の懸念について調査を実施しましたが、当然ながら AI が最もホットな話題でした。
調査によると、AIがサイバー攻撃のリスクを高めると考えている回答者はわずか15%と、依然として高い割合でした。これは重要なポイントです。英国の中堅・大規模企業の69%が、過去1年間にサイバー攻撃による混乱を経験したと回答しているからです。
6月、HPは「GenAIの助けを借りて作成された可能性が高い」スクリプトを使ってマルウェアを拡散するメールキャンペーンを傍受しました。AIはサイバー犯罪の参入障壁を下げる可能性があります。スキルの低い犯罪者でも、ディープフェイクの作成、ネットワークの侵入口のスキャン、偵察などにAIを活用できるからです。
今年初め、香港の金融関係者が、AIを使って最高財務責任者(CFO)になりすましたハッカーたちに2500万ドルを支払った。ハッカーたちは、送金を承認するために、電話中に幹部の声を真似ていた。
参照:AIがサイバーセキュリティに与える影響を明らかにするレポート
一方、英国企業の32%はQBEに対し、AIによってサイバー防御力が向上すると感じていると語り、コントロールリスクの研究者は、AIによってセキュリティと防御活動の効率が向上すると述べた。
QBE保険のサイバー担当ポートフォリオ・マネージャーであるデイビッド・ウォー氏は次のように述べています。「AIはサイバー空間において、障害にもなり、助けにもなります。AIがより広く利用できるようになると、サイバー犯罪者やサイバー活動家はより大規模かつ迅速に攻撃を仕掛けることができるようになります。AIによってもたらされる規模とスピードの増大は、サイバー領域を脅かす可能性があります。しかしながら、AIを制御・管理された形で利用することで、サイバー脆弱性の検出にも役立ちます。」
「英国および世界中の大小を問わず企業は、サイバー脅威を軽減し、サイバー攻撃が発生した場合に行動できるよう、レジリエンス(回復力)を高める必要がある。」
