サイバーセキュリティの1年を振り返る:2022年に学んだ5つのこと
2022年12月28日、Phil Muncaster
2022年は多くの点で、過去5年の傾向をそのまま継続してきました。全米脆弱性データベースに公開されたCVEの数は、2022年も記録を更新する勢いです。ランサムウェアの脅威は、地政学的な対立という特殊要素を含みつつ、かつてなく大胆に展開しています。そして脅威者は、コロナ禍で常態化した新しいワークスタイルを悪用し、組織を追い詰めています。
2022年をとらえる切り口はいろいろあります。しかしここでは、私が注目するトレンドのトップ5と、そこからの学び(これが何より重要です)を紹介します。2023年の企業セキュリティ強化に大いに利用してください。
1. たとえ各国政府が身代金支払いを禁止しても、ランサムウェア攻撃はなくならない
ランサムウェアの試行回数は、記録的だった2021年と比べると若干減少したとはいえ、2022年10月までの1年間で数億回に上りました。さらにこの期間中に前年比で増加したのが、英国(20%)および欧州・中東・アフリカ(38%)です。ランサムウェア・アズ・ア・サービス(RaaS)モデルが利益を生み出し続け、関連企業や開発者が敵対的な国家に保護されている限り、終わりは見えません。オーストラリアには、犯罪グループへの身代金の支払い禁止を提案する政治家もいます。しかしそれでは単に報告が表に見えなくなるだけで、むしろ重要なサービスプロバイダーへの攻撃を助長することになりかねません。
代わりにITリーダーが取るべき最善の対応は、改善したユーザーの意識向上プログラムとゼロトラストを組み合わせたサイバー衛生のベストプラクティスです。
2. Z 世代が職場を席巻するなか、インサイダーの脅威に対処する必要がある
私たちは、組織内部からの脅威を深刻に受け止めているとは言い切れません。通常、組織内部の脅威は意図的な悪意に基づくというよりも、むしろ過失によるものです。しかし、だからといって影響がないわけではありません。ある試算によると、インサイダーによるインシデントの修復には、年間1,500万ドル以上のコストがかかっています。さらに懸念されるのは、若い世代の従業員による会社のデータの扱いにリスクが伴う傾向が強いという事実です。たとえばアップデートを期限内に適用しない、仕事でも個人のアカウントでもパスワードを再利用する、個人のデバイスのセキュリティを会社のデバイスの保護よりも真剣に考える、といった具合です。
ハイブリッド型の働き方で、こうした傾向はさらに拍車がかかるでしょう。在宅勤務のときのセキュリティに関しては従業員が自分自身のルールに自由に従うからです。こうした新しい現実に対応するために、組織は適切なテクノロジーとユーザー教育を通してポリシーを書き換える必要があります。多要素認証(MFA)からゼロトラスト、セキュアアクセスサービスエッジ(SASE)の導入に至るまで、セキュリティ管理は強力かつ実質的に摩擦がないものでなければなりません。
3. WebアプリケーションとAPIは持続的かつあまり報告されない脅威
2022年は、ランサムウェアと国家による攻撃が最も注目された年だったことは間違いありません。しかし、企業が直面した脅威はほかにもあります。華やかさには欠けますが、アプリケーションとクラウドのセキュリティも同じくらい重要です。SQL インジェクション攻撃をはじめとする Web アプリケーションの脆弱性を狙った攻撃は、ハッカーの大好物です。しかもハッカーにとっては、顧客や従業員の有益なデータを直接入手する経路となる可能性があります。また API は、DX(デジタル改革)においてますます重要になっていくため、アカウント乗っ取りやデータ窃取などを目的とする脅威者の格好の標的となるでしょう。
2022年に発表されたレポートによると、95%の組織が過去 12カ月間に API セキュリティインシデントを経験し、12%が月平均 500 以上の攻撃に悩まされていたことが明らかになりました。デジタル環境のこの分野のセキュリティにも、そろそろ真剣に取り組むべき時が来ているのです。
4. 中小企業にとって、情報漏えいは存亡に関わる問題
セキュリティ侵害は、企業にとってどれほどの損害をもたらすものなのでしょうか。この質問への答えは簡単には見つかりません。というのも、多くの企業は、顧客や投資家、パートナーを遠ざけることを恐れて、インシデントについてあまり多くを開示したがらないからです。しかし、国際保険会社のヒスコックス社は2022年、米国と欧州諸国の5社に1社が歴史的な攻撃によって倒産に近い状態に陥ったという調査結果を発表しました。ほとんどの企業が、サイバー攻撃をビジネス上の脅威のトップに挙げ、リモートワークによって組織がより脆弱になったことを認めています。
この調査では、企業の規模別に評価したわけではありませんが、リソースの少ない企業のほうがランサムウェアやその他の攻撃によって存亡の危機にさらされる可能性が高いことはいうまでもありません。繰り返しになりますが、特効薬はありません。業界のベストプラクティスに従って、保護とユーザーの意識を高めることが重要なのです。
5.ディープフェイクでビジネスメール詐欺(BEC)は加速
サイバー犯罪の地下世界では、常にイノベーションが起きています。フィッシングと対峙する企業と脅威者コミュニティとの間のイタチごっこが絶え間なく続くのを私たちは目にしています。もう一つ、BEC 攻撃も激しさを増しています。FBI は2022年、BEC の手法にディープフェイク技術やビデオ会議ソフトを組み合わせた試みがあると警告を発した。
ディープフェイク音声は、ユーザーを騙して詐欺師に多額の資金を送金させることで大きな被害をすでにもたらしています。また技術が進んで安価で説得力のあるものになれば、Zoom会議で配信されるフェイク映像は、間違いなくさらなる混乱を引き起こす可能性があります。この問題に取り組むには、より優れた訓練を受けた人材、電信送金の署名プロセスの改善、ディープフェイクを発見してブロックする AI 搭載ツールの組み合わせが必要です。
経済的な逆風が吹き荒れる2023年、中小企業のITリーダーは、セキュリティ予算を堅持し、賢く活用することが不可欠となります。
原文はこちら
A cybersecurity year in review: Five things we learned from 2022
Dec. 28, 2022 Phil Muncaster
https://blog.barracuda.com/2022/12/28/cybersecurity-year-in-review-2022/