FBI の Internet Crime Complaint Center (IC3) から発表された最新の年次報告書「インターネット犯罪レポート」によると、米国でサイバー攻撃など悪意のあるサイバー活動が 2021 年に「前例のない増加」を見せたとのことです。報告されたインシデントの上位には、ビジネスメール詐欺 (BEC) とメールアカウント侵害 (EAC) が含まれ、企業と消費者の昨年の調整済み損失は 24 億ドルに上りました。
この数字は、2020 年に報告された 18 億ドルからの大幅な増加となります。 米国にとってこれは、BEC/EAC による経済的損失の過去最高額にもなりました。 こうした詐欺は、サイバー犯罪関連として昨年報告された全経済的損失の 35% 近くを占め、対前年比でも 28% の増加となっています。
2021 年にサイバー犯罪の被害者から IC3 に寄せられた苦情は、記録的な数字となる 847,376 件に上りました。こうした犯罪が原因と考えられる損失は 69 億ドルを超えます。また、申し立てられた苦情は前年比でわずか 7% しか増加していないにもかかわらず、サイバー犯罪インシデントを原因として報告されている 2021 年の合計損失は 2020 年の 42 億ドルから 64% 増加しています。
以下、IC3 の最新版「インターネット犯罪レポート」からその他の主な調査結果をさらに詳しく取り上げ、こうしたサイバー犯罪の傾向についてプルーフポイントの所見を基に分析していきます。
メール詐欺が依然として経済的損失の上位を独占
2021 年に、IC3 は BEC/EAC 詐欺に関する苦情を 19,954 件受け付けました。前述のとおり、このようなインシデントに関連する調整済み損失は合計で 24 億ドル近くに上ります。メール詐欺インシデント 1 件当たりの平均損失は 96,373 ドルから 120,074 ドルに増加し、対前年比でおよそ 25% の増加となっています。
ランサムウェア攻撃がサイバー犯罪関連ニュースを独占しているとはいえ、BEC と EAC が 2021 年に発生したサイバー犯罪に関連する経済的損失の最大の割合 (35%) を占めています。 昨年のランサムウェアによる損失は合計で 49,207,908 ドルだったと IC3 は報告しています。 しかし、IC3 が 2021 年に BEC と EAC 詐欺に結びつけた経済的損失は、その数字の 49 倍となっています。
図 1. BEC/EAC が依然としてサイバー犯罪の全種類の中で最大の経済的損失を占める (出典: FBI IC3 の 2021 年度版「Internet Crime Report (インターネット犯罪レポート)」)
図 2. メール詐欺攻撃による経済的損失が 2021 年に 28% 増加 (出典: FBI IC3 の 2021 年度版「Internet Crime Report (インターネット犯罪レポート)」)
IC3 のデータはまた、BEC/EAC 詐欺がいかに標的を十分に絞ったものであり、他のサイバー攻撃よりもその量は少ないながらも、BEC/EAC の被害者に生じる経済的損失がいかに大きくなり得るかに注目を集めるものとなりました。「インターネット犯罪レポート」には、このような詐欺に関して昨年申し立てられた苦情の数は、2020 年からわずか 3% しか増加していないと書かれています。しかし、BEC/EAC 詐欺を原因とする経済的損失は、2021 年には 28% 増加し、インシデント当たりの平均損失については対前年比で 25% の増加となっています。
詐欺師の手口とともに進化を続ける BEC 攻撃
2021 年度版「インターネット犯罪レポート」では、詐欺師の手法が巧妙化するのに伴って、BEC/EAC 攻撃が進化している点を指摘しています。レポートによると、このような詐欺は従来「仕事や個人のメール アカウントを単にハッキングまたはスプーフィングして、詐欺師の銀行口座に送金するよう要求する」ものであり、悪意のある攻撃者は不正アクセスしたベンダーのメールアドレスを利用して、源泉徴収票の要求、不動産詐欺、ギフトカード詐欺などを行っていたとのことです。しかし今では、詐欺師は不正な送金をさせるために、仮想会議を利用したり、ビジネスリーダーのメールをスプーフィングしたりするようになっています。
現在使用されているあらゆる BEC の手口の中で、サプライヤー請求詐欺が多くの場合最大の経済的損失を占めることをプルーフポイントは目撃してきました。企業間 (B2B) の支払いも関係するためです。プルーフポイントの調査でも、ほぼすべての組織 (98%) がサプライヤードメインからの脅威を受けていることが示されています。
攻撃者は、ベンダーになりすます手口や不正アクセスしたベンダーのアカウントを使用して、組織が信頼するサプライヤーやビジネス パートナーを利用し、攻撃を行っています。こうした傾向があるにもかかわらず、プルーフポイントは、ほとんどの組織がリスクをもたらすベンダーを十分可視化できていないことに気づきました。
COVID-19 パンデミックの中、フィッシングは 280% 急増
ビッシング、スミッシング、ファーミングをはじめ、フィッシング詐欺および関連する手口に関して申し立てられた苦情の数は、2020 年初頭に始まった COVID-19 パンデミックの中で 280% 急増しました。「インターネット犯罪レポート」によると、さまざまな種類のフィッシング詐欺に関する苦情が、昨年 IC3 に報告されたサイバー犯罪の苦情すべての 38% を占めています。
図 3 が示すように、この種の脅威のインシデント数は過去 5 年間上昇の一途をたどり、この 2 年間は急激に増加していることがわかります。2021 年のフィッシング、ビッシング、スミッシング、ファーミングのインシデント数は、2020 年から 34% 増加しています。一方で、それ以外の上位 4 種類のサイバー犯罪 (恐喝、個人情報窃盗、個人データ漏えい、代金未払い/商品未発送) は、2017 年から大きな変化がありません。
図 3. 2021 年に上位を占めた 5 つの犯罪の種類を過去 5 年間で比較。(出典: FBI IC3 の 2021 年度版「Internet Crime Report (インターネット犯罪レポート)」)
フィッシングおよび関連する手口における過去数年間の大幅な増加から、攻撃者が人間の脆弱性を利用し続けていることがわかります。このことからも、メールが依然として最上位の脅威ベクトルであることからも、組織は従業員のリスクを把握し、必要な管理を行う必要があるのです。
2021 年、ランサムウェアが爆発的に増加
IC3 のデータによると、3,729 件のインシデントが IC3 に報告されるなど、ランサムウェア インシデントの数は 2021 年も上昇し続けており、対前年比で 51% 増加しています。また、2021 年に IC3 がランサムウェア攻撃に紐づけた経済的損失 (4,900 万ドル超) は、2020 年より 69% 高くなっています。
とはいえ、注意すべきは、2021 年の経済的損失が不自然に低く抑えられていることです。というのも、IC3 によると、人件費、ファイル、設備の損失や修復サービスが計上されていないためです。4,900 万ドルという数字は、単に企業と消費者による IC3 への報告を表しているに過ぎず、各地の FBI 支局に直接寄せられた報告が含まれていません。このことから、2021 年のランサムウェア インシデントの実数と関連する損失額は、はるかに大きいものになると考えられます。
「インターネット犯罪レポート」はまた、「ランサムウェアの手口やテクニックが 2021 年も進化を続けており、ランサムウェア攻撃者がさらに技術的に巧妙になり、世界中の組織に対するランサムウェアの脅威が拡大している」ことも示しています。IC3 によると、昨年発生したランサムウェア インシデントにおける最初の感染経路の上位 3 つは、フィッシングメール、リモート デスクトップ プロトコル (RDP) の利用、ソフトウェアの脆弱性の利用だったとのことです。
ランサムウェア関連インシデントが増加し、悪意のあるソフトウェアの配信における日和見的な初期アクセス ブローカーの関与が増加している中で、組織は「シフトレフト」して防止に投資することを検討する必要があります。メール チャンネルを保護し、攻撃チェーンの早い段階で脅威を阻止することが、ランサムウェアに対する防御の最も効果的な方法です。
FBI の IC3 レポートが People-Centric なセキュリティアプローチの重要性を強調
現在多くの攻撃者が、ソーシャル エンジニアリングに大きく依存して下準備をし、キャンペーンを実行して展開しています。そして全段階で人を標的にしています。FBI の IC3 が発行する最新版「インターネット犯罪レポート」の調査結果は、People-Centric で多層型プラットフォームのアプローチをとって、人の行動により引き起こされる脅威に対処することが組織にとって必要であることを強調しています。
プルーフポイントは、統合脅威対策プラットフォームで、お客様の組織のセキュリティリスク削減をサポートします。人を標的にしたメールやクラウドの脅威を食い止め、人に伴うリスクを可視化したうえで、ますます高度になる今日の脅威に対して耐性を強化できるようユーザーをトレーニングするプルーフポイントのプラットフォームにお任せください。
BEC および EAC 対策のためのソリューションの詳細はこちらのページをご覧ください。