2022年もサイバー攻撃は、世界中の組織を苦しめ、CISOにとって非常に忙しい一年でした。ランサムウェア、国家による攻撃、サプライチェーンの脆弱性などによって、多くの影響がでました。その脅威のうちのいくつかのハイライトをご紹介します。
- ランサムウェアは猛威を振るい、157年の歴史を持つ米国の由緒ある大学を閉鎖に追い込み、大手自動車メーカーを丸一日操業停止に追いやり、コスタリカ政府は 緊急事態宣言を発令せざるをえない状況に陥らせました。
- 重要インフラは攻撃の標的となり続け、 ロシアのハッカーは米国の空港を標的にし、ロシアのハッカーは米国の空港を中国政府を後ろ盾とする攻撃グループは、ネットワーク通信の脆弱性を悪用したことが報告されています。
- デジタルサプライチェーンへの脅威はエスカレートしており、サイバー攻撃者は アイデンティティ窃取と認証技術窃取への攻撃に軸足を移しています。
2023年に向けて、CISOと取締役会は、特に世界的な緊張が高まり、世界経済がより不安定になり、労働力の問題が続く中、より大きな要求に直面する準備をする必要があります。プルーフポイントのレジデントCISOチームは、新年を前にして、予想される事態にどう対処すべきか、いくつかの考えを示しています。
1. 経済の低迷と紛争がグローバルエコシステム全体に影響し、システミック・リスクを悪化させる
相互に接続し、複雑化が進むデジタルエコシステムにおいて、エコシステムを構成するひとつの個別の要素の機能不全などが、エコシステム全体に波及することをシステミック・リスクといいます。一か所で起きた事象の影響が、接続し合うエコシステムや市場を通じて、またたく間にドミノ倒しのように波及してしまう新たな懸念を引き起こしています。プルーフポイントが最近発表した「Cybersecurity: The 2022 Board Perspective」レポートでは、75%の取締役会が、組織内のシステミック・リスクを明確に理解していると考えていることが明らかにされています。それでも、世界的な混乱が続いているため、エコシステムに対する脅威の全容を把握することは非常に困難です。その結果、システミック・リスクには常に注意を払う必要があります。
雇用の喪失、金利の上昇、生活水準の低下、インフレなど、景気後退のストレスは、従業員とその家族に経済的・精神的負担をかけます。従業員は仕事中に気が散ることが多くなり、現状に満足しなくなるため、攻撃者が「人」の脆弱性を突くことが容易になります。サイバー攻撃者は、人々の不安を煽り、人々の感情的な状態を食い物にして、より巧妙な攻撃を仕掛けてくるのです。また一方でロシアとウクライナの戦争のような物理的な紛争は、一般的に世界を混乱に陥らせ、新たなサイバー攻撃を引き起こし、組織のシステミック・リスクを拡大させます。
2. ダークウェブでのハッキングツールの商業化がサイバー犯罪を増加させる
ここ数年、ランサムウェアを実行するためのハッキングツールキットが、犯罪組織のアンダーグラウンドで商品化されているのを目にします。利益を生み出すランサムウェア・アズ・ア・サービスは、ダークウェブ経済として開花し、ランサムウェア攻撃を急増させることにつながりました。新しいダークウェブツールは、技術的な知識がほとんどなくてもランサムウェア攻撃を可能にし、Torブラウザと少しの時間さえあれば誰でもサイバー犯罪への扉を開くことができます。
ダークウェブでの商取引が活発化するにつれ、ダークウェブの商用化によって新たな攻撃の波が押し寄せることが予想されます。ランサムウェアだけでなく、フィッシング攻撃、スミッシング攻撃やモバイルデバイスの乗っ取りなどのツールが増えることで、技術的な知識がなくてもこれらの攻撃を簡単に実施することができてしまいます。
3. 攻撃者のビジネスモデルが二重恐喝手法に移行し、暗号化だけでなくデータの窃取がランサムウェア攻撃の成功要素のひとつとなる
ランサムウェアは今やどこの組織にも見られ、残念ながらこの脅威と無縁の組織はありません。プルーフポイントの「2022 State of the Phish report」レポートによると、世界の68%の組織が少なくとも1つのランサムウェアの感染を経験しています。しかし、最も懸念されるのは、過去3年の間にその手法が、単なるデータの暗号化から、データの暗号化とデータの窃取の両方を行う二重脅迫スキームへと進化していることです。
2019年に二重脅迫の戦術を用いた攻撃グループは1つだけでした。2021年の第1四半期には、77% のランサムウェア攻撃がデータリークの脅迫をおこなうようになりました。最新のトレンドは三重脅迫で、攻撃者はターゲット組織だけでなく、データ漏えいが影響を与える可能性のあるあらゆる組織体に支払いを求めています。この動きは、脅威者がより大胆になり、そのマネタイズ戦略がよりアグレッシブになっていることを表しています。単純な暗号化攻撃から完全にピボットすることは避けられないかもしれません。
4. MFAバイパス攻撃は、サイバー犯罪者が防御を突破し、「人」の脆弱性を突くための新たな手段を模索する中で増加する
攻撃者は、「人」の行動をより深く理解し、認証情報を窃取するための新しく簡単な方法を見つけるため、常に革新を続けています。サイバーセキュリティ業界は、MFAを推進することでこれに対応し、標準的なセキュリティ対策となりました。しかし、より多くの企業がMFAをセキュリティレイヤーとして追加するにつれ、より多くのサイバー攻撃者がMFAの弱点やユーザーのMFA疲れを悪用するために軸足を移すようになりました。私たちは、この進化の証拠を最近の出来事で確認し、これは新しいトレンドの始まりであると見ています。
MFAに対する攻撃手法は特に真新しいものではなく、プルーフポイントのリサーチャーは、2年前にもMFAをバイパスする脆弱性について確認しています。ユーザーはしばしば攻撃者が発動させるMFAからの多くの通知が来ることにうんざりし、うっかり承認ボタンを押してしまいます。これをMFA Fatigue(MFA通知疲れ)攻撃と呼びます。こうした攻撃をおこない、トークンを盗むことを目的としたフィッシング・キットなどのツールは増えてきています。この脅威は、技術だけでなく人間の弱点も突いてくるため、検知・防御がより困難なものとなっています。
5. サプライチェーンはますます攻撃ツールとして使われ、サードパーティベンダーやサプライヤーへの信頼を悪用するようになる
SolarWindsとLog4jの問題は私たちに大きな警鐘をもたらしましたが、デジタルサプライチェーンの脆弱性から保護するための適切なツールを持つには、まだ遠い道のりです。World Economic Forum(世界経済フォーラム)の調査によると、約40%の組織がサプライチェーン内のサイバーセキュリティインシデントによる悪影響を経験していることがわかりました。ほぼ全員が、自社のエコシステム内の中小企業のレジリエンスに懸念を表明しています。
2023年には、サードパーティのパートナーやサプライヤーに対する信頼が主要な攻撃経路の1つとなることを予測しています。サプライチェーンリスクの中でも、特にAPIに目を向ける必要があります。企業がAPIに大きく依存していることを攻撃者は理解しており、これを悪用しようとすることが懸念されますが、残念なことに、多くの企業ではAPIの安全な統合手法や、管理するための確固たる手法が確立されていません。攻撃者はより簡単にAPIを利用できるようになっています。企業はサプライチェーンリスクをよりよく理解するためにベンダーのデューデリジェンスプロセスを強化しようとし、一方でサプライヤーは自社のプロセスを管理しようと奮闘しているため、サプライチェーンの関係全体がより緊張することが予想されます。
6. ディープフェイク技術はサイバー攻撃においてより顕著な役割を果たし、ID詐欺、金融詐欺、偽情報のリスクを増大させる
ディープフェイク技術は、一般市民にとってより身近なものになりつつあります。巨大な画像データベースで訓練されたAIジェネレータのおかげで、誰でも少しの技術的知識でディープフェイクを生成できるようになりました。最先端モデルの出力には欠点もありますが、この技術は常に改善されており、サイバー犯罪者はこれを利用して抗しがたい物語を作り始めるでしょう。
ディープフェイクは、従来、一般的な詐欺やビジネスメール詐欺を狙ったものでしたが、今後は、これらの詐欺をはるかに超えて利用が広がると予想されます。大手企業のCEOやCFOの偽物が大胆な発言をし、株価が急落・急上昇した場合、金融市場が混乱することを想像してみてください。また、生体認証とディープフェイクを組み合わせて、アイデンティティ詐欺やアカウントの乗っ取りを行う悪質な行為も考えられます。 これらはほんの一例に過ぎませんが、サイバー犯罪者は非常に創造的であることは周知のとおりです。
7. 取締役会レベルにおける規制当局の監視の高まりは、CISOの役割をさらに変化させ、取締役会の期待や要求を増大させる
透明性の向上を目的とした米国証券取引委員会の報告義務案により、企業は取締役会自体の監視を強化し、サイバーセキュリティの専門性を高めることを余儀なくされるでしょう。彼らはCISOに対して新たな要件と期待を持ち、CISOの従来の役割を変化させることになるでしょう。
しかし、最近、米国連邦裁判所で下された Uber の情報漏えい事件の評決は、取締役会が CISO に直接責任を転嫁することを促す危険な前例となりました。私たちの業界はすでにサイバーセキュリティの専門家の確保に苦労しているため、この評決は、人材争奪戦を進めようとするあらゆる努力に冷や水を浴びせることになりかねないのです。
CISO の半数だけが取締役会と意見が一致したと報告されている中、CISOへの高まる期待やサイバー攻撃に対する潜在的なCISO個人に圧し掛かる責任のストレスは、取締役会と CISO の関係の緊張を高め、組織のサイバーセキュリティに大きな影響を与えることになるでしょう。
そのため組織は基本に立ち返り、従業員とデータを確実に保護する必要があります。2023年に攻撃者がどのような弱点を突いたとしても、「人」が最も好ましい攻撃対象であることに変わりはなく、また攻撃者が望む商品がデータであることに変わりはありません。サイバーハイジーンと防衛戦略への全体的なアプローチの重要性が、これまで以上に増すことに疑いはありません。
個々の組織を超えた広い視野で、官民が一体となってレジリエンスを高める必要性が高まっていると考えています。近年、サイバーセキュリティは国家安全保障上の懸念事項として浮上しており、私たちの業界と政府は、これらの差し迫ったサイバーセキュリティの問題に協力して取り組まなければなりません。
プルーフポイントの CISO Hub では、グローバルなCISOコミュニティのためのリサーチ情報、インサイト、リソースをご利用いただけます。