数字で振り返る2024年
2025年1月9日、Christine Barry
脅威の状況は常に変化しており、新たな脅威が出現する一方で、消滅したり、関連性を失ったりする脅威もあります。 2024年2月にChange Healthcareから2200万ドルを身代金として要求した個人ハッカーにインフラ、ツール、管理サービスを提供したランサムウェア・アズ・ア・サービス(RaaS)グループであるALPHVを考えてみましょう。 ALPHVは、攻撃を実行した脅威行為者と身代金を分け合うことを望んでいなかったようです。このグループは暗号通貨口座を空にし、解散し、2024年に登場した33の新しい、または”ブランド変更”されたランサムウェアグループの1つへと姿を消しました。 これらの33のグループと40以上の既存のアクティブなグループは、ランサムウェアの脅威アクターの30%増を占めているようです。 一部のグループはそのまま残りましたが、ランサムウェアへの注意を外し、目をそらしました。
状況の変化は結果の変化にもつながります。2024年のデータ侵害の平均コストは488万ドルに跳ね上がり、2023年の445万ドルから増加しました。これらのコストは2018年以降増加しており、目新しいものではありません。興味深いのは詳細です。医療業界におけるデータ侵害関連コストは109.3億ドルから97.7億ドルに減少しました。また、データ侵害の特定と封じ込めにかかる平均時間は277日から258日に減少しました。フィッシングと盗難または侵害された認証情報は、依然として上位2つの攻撃ベクトルでした。
ランサムウェアによる被害額も増加傾向が続きましたが、身代金を支払った企業の数は減少しました。2024年の平均的な身代金支払額は273万ドルに増加し、2023年の182万ドルから増加しました。最も高額な身代金支払額として知られているのは、約7,500万ドルでした。この支払額は被害者によって公表されておらず、研究者によって発見・確認されたためわかったことです。このように当該企業が公表しないということが、グローバルなサイバー犯罪によるコストやその他の被害の全体像を把握することが難しい理由の1つです。脅威の全体像とその影響について完全な把握はできていませんが、他にも興味深いデータがあります。
9.22ドル~9.5兆ドル
先ほど世界的なサイバー犯罪の総コストについて触れたばかりなので、そこから始めましょう。これについては正確な数字は一つではありませんが、データに基づく被害額の推定値はいくつかあります。
世界的なサイバー犯罪のコストとして最も頻繁に引用されるのは、9兆5000億ドルという数字です。これは、サイバーセキュリティベンチャーズ社(Cybersecurity Ventures)による推定値で、同社はコストを「データの損傷と破壊、盗まれた金銭、生産性の低下、知的財産の盗難、個人情報および財務データの盗難、横領、詐欺、攻撃後の通常の業務への支障、法医学的調査、ハッキングされたデータおよびシステムの復旧と削除、評判の低下」と定義しています。同じ定義を使用して、StatistaのMarket Insightsは2024年の被害額を9兆2200億ドルと推定しています。これはCybersecurity Venturesの推定額より若干低いですが、両者とも2025年には被害額がさらに1兆ドル増加すると予測しています。
世界的なサイバー犯罪の総被害額について明確な全体像を把握できない理由のひとつは、風評被害のようなものを考慮しなければならないことです。ブランドイメージの回復や消費者および株主の信頼の回復は、困難で費用のかかる作業です。セキュリティインシデントの直後に失った顧客数や売上減、ダウンタイム関連のコストを測定することはできますが、「評判やブランドの修復」に対する”請求書”は届きません。被害の全容とコストを把握するには、長期的な視点が必要です。
サイバー犯罪のコストを算出するには、正確な報告も必要となりますが、ほとんどの攻撃は一般公開も法執行機関への報告も行われません。評判を守るという理由以外にも、被害者の中には自力で解決できる事件を報告する意味を見出せない、あるいは誰に連絡すればよいのかわからないという理由で報告を行わないケースもあります。 米国にはサイバー犯罪に関する情報を収集する連邦機関が少なくとも12機関ありますが、それらの機関は犯罪を追跡し、分類する方法が統一されていません。この断片化により、サイバー攻撃の特定や追跡が困難になっています。
サイバー犯罪の範囲や影響を測定することの難しさを報告
標準的な分類法と一元化されたサイバー犯罪データベースの作成に向けた取り組みが進行中です。また、「Secure Our World」プログラムも、サイバー犯罪の撲滅と報告に関する意識向上を目指す取り組みの一例です。
4億
約4億台のデスクトップパソコンが、残り10ヶ月の寿命を残して2024年に終了しました。これらのシステムは、2025年10月にマイクロソフトがWindows 10の公式サポートを終了すると、セキュリティ更新プログラムや技術サポートへのアクセスを失うことになる。企業は、この日付以降の更新プログラムのサブスクリプションを購入できるが、デバイスあたりの価格は毎年2倍になる。
Microsoft WindowsはデスクトップOSの世界を独占しており、複数のバージョンを合わせると市場シェアは約99.93%に達しています。 2024年12月現在の内訳は以下の通りです。
| Windowsバージョン | 市場シェア(%) |
| Windows 10 | 62.73 |
| Windows 11 | 34.1 |
| Windows 7 | 2.4 |
| その他のWindowsバージョン | 0.7 |
Windows 10 より古いシステムはすでにサポート対象外となっており、今後、Windows 10 搭載のデバイスもサポート対象外となることが予想されます。セキュリティ対策が施されていないシステムを稼働させるのはリスクが高いですが、実際にはそのような状況が発生しています。しかし、すべてのデスクトップがアップデートされると仮定した場合、企業や個人に600億ドル以上のコストがかかる可能性があります。その理由は以下の通りです。
| カテゴリー | デバイス数(推定) | デバイスあたりのコスト(想定) | 総コスト(米ドル) |
| 交換が必要なシステム | 4800万(12%) | 1,000ドル | 480億ドル |
| ハードウェアのアップグレードが必要なシステム | 8800万(22%) | 200ドル | 176億ドル |
| 延長セキュリティ更新(ESU) | Per Device | 427ドル(3年間) | 数十億ドルの可能性 |
また、Windows 11と互換性のあるデバイスの更新にも費用がかかります。ほとんどの最新システムでは、1時間以内にWindows 11をインストールできますが、オペレーティングシステムの更新には依然としてリスクがあります。一部のインストールでは、サードパーティのソフトウェアやドライバ、データ損失、互換性のあるはずのハードウェアとの予期せぬ競合など、さまざまな問題が発生する可能性があります。小規模な企業でも、Windows 11の計画、テスト、インストールには多大なリソースが必要になる可能性があります。ダウンタイムやトラブルシューティングが必要になれば、コストはさらに増加します。
40,289
2024年は、共通脆弱性識別子(CVE)を追跡しているあらゆるソースによると、CVEの記録を更新する年となりました。CVEdetailsによると、新たに40,289件のCVEが公開され、これはこれまでに公開されたCVEの15%以上にあたります。
これらの脆弱性のうち、脅威行為者によって悪用されたのは204件のみでしたが、これらは今年最も重大なサイバー攻撃のいくつかの原因となりました。例えば、Ivanti ConnectとPolicy Secure Webに対する悪用試行は1日あたり約25万件に達し、18か国から攻撃トラフィックが送信されました。
また、2024年には、古いCVEsの悪用が10%増加しており、新たな脅威だけがリスクではないことを示す注意喚起となっています。システムにパッチを適用したり、交換したりするのが難しい場合でも、以前に特定された脆弱性には対処しなければなりません。
22億ドル
2024年には、脅威の主体が分散型金融(DeFi)プラットフォームやその他の支援インフラコンポーネントを攻撃し、22億ドル相当の暗号通貨やその他のデジタル資産を盗みました。このうち約13.4億ドルの活動は、朝鮮民主主義人民共和国(北朝鮮)を代表して行動する脅威グループに関連していました。 北朝鮮の国家主体は、これらの攻撃を実行し、資金を平壌に送金するために極端な手段を講じます。これらの資金は、ミサイル開発プログラムやその他の事業に充てられ、政権の主な収入源となっています。
また、悪意のあるウェブサイト、不正広告、および電子メールのフィッシング攻撃を利用して、被害者にウォレットへのアクセス権限を与えるよう仕向けることで、ウォレットドレイナー攻撃により、さらに4億9400万ドルが盗まれました。
この4億9400万ドルはウォレットドレイナーのみに起因するものであり、プラットフォームおよびインフラストラクチャ攻撃により失われた22億ドルには含まれていません。
240万
少し異なるものもあります。台湾の政府サービスネットワーク(GSN)およびその他の機関に対するサイバー攻撃は2024年に倍増し、1日平均240万回に達しました。これらの攻撃のほとんどは、中華人民共和国(PRC)の公式なサイバー作戦に関連付けられています。台湾の国家安全局は、運輸、通信、および防衛のサプライチェーン産業が中国の主要な標的であると指摘しています。
台湾はサイバーセキュリティに多額の投資を行っており、現在、24年間のサイバーセキュリティ計画の第6段階にあります。
米国と台湾は、共有フレームワークの採用、サイバーセキュリティ/サイバー戦争演習の共同実施、防御的サイバーセキュリティ資産の共有など、サイバーセキュリティレジリエンス(回復力)という観点で強固な関係を築いています。このパートナーシップは、特に中国からのエスカレートするサイバー脅威に直面している台湾にとって、近年ますます重要になっています。米国はまた、中国による米国企業への攻撃は、まず台湾を標的にしてテストされることが多いことも指摘しています。
105,120
2024年には105,120件のディープフェイク攻撃が報告されており、これは約5分に1回の割合です。
ディープフェイクとは、人工知能(AI)や機械学習(ML)の技術を用いて音声、動画、画像を生成または加工する高度な合成メディアです。完成したメディア製品は完全に偽物ですが、非常に説得力があり、誤情報の拡散や詐欺の容易化に使用されます。
ディープフェイク攻撃のほとんどは金融セクターを標的としており、そのうち9.5%は暗号通貨プラットフォームを標的としていました。 貸付および住宅ローン、そして従来の銀行も、それぞれ5.4%、5.3%と、金融セクターの標的の上位にランクインしています。 金融サービスセクターの損失総額は、1社あたり60万3000ドルを超えました。 ディープフェイクの被害者の10%は、100万ドルを超える損失を報告しています。
脅威行為者は、ディープフェイクを悪用する多くの方法を持っています。Google DeepMindは最近、ディープフェイクの脅威行為者の目標と戦略をマッピングしました。
サイバーセキュリティの専門家は、ディープフェイクによる金融詐欺が米国やその他の西側諸国における次の主要な詐欺のトレンドになる可能性があると警告しています。
2024年にはサイバー犯罪は前例のないレベルに達し、世界的なセキュリティ支出が約2150億ドルに達したにもかかわらず、サイバー犯罪が防御策を上回るペースで増加し続けました。クラウド環境への侵入やソーシャルエンジニアリングのようなマルウェアを使用しない攻撃が急増し、DDoS攻撃は前年を大幅に上回りました。主に製造業におけるIoTデバイスに対するマルウェア攻撃は400%増加しました。
全体像を把握することはできませんが、ここで見たことから推測することはできます。世界の出来事が脅威の状況を変えつつあり、地政学的な緊張や政治的な分断は、金銭的利益への欲求と同様に重要な要素となっています。企業、政府、その他の組織は、こうした攻撃者に対して警戒を怠らないようにしなければなりません。そしてもちろん、すべての被害者はサイバー犯罪を警察当局に報告すべきです。
