メールを媒介とする大規模な攻撃の実質的なコスト

2023.04.17

2023年2月8日、Tilly Travers

最新の国際的な調査から、メールを利用したセキュリティ攻撃が引き起こす多大な金銭的コストと混乱が浮き彫りになりました。

「2023年のメールセキュリティトレンド」の調査対象となった組織の 4 分の 3（75％）が、過去12カ月の間に少なくとも1回はメール攻撃の実害をこうむったと回答しており、なかでも最も被害額が高額だった攻撃からの回復には平均100万ドル以上の費用がかかったといいます。

しかもこの高額のコストは、上昇の一途をたどっています。被害を受けた企業の23%によると、攻撃による経済的な影響は、昨年に比べて劇的に増加しています。

電子メールは、依然として強力な攻撃チャネルです。サイバー犯罪者が利用しやすく、効果的で、低コストなツールだからです。また、電子メールを使った攻撃は進化を続けており、AI や高度なソーシャルエンジニアリングの技術を活用し、ますます高度でステルス性の高い攻撃を行っています。バラクーダの調査チームは、13タイプのメール攻撃を特定しています。

混乱、損害、そして損失

この調査結果から、電子メールによるセキュリティ攻撃の成功がもたらす影響は甚大かつ深刻であることが浮き彫りになりました。

最も多く報告された影響は、最も深刻なものでもありました。ダウンタイムとビジネスの中断（被害を受けた企業の 44 ％が影響を受けた）、機密データや事業にとってクリティカルなデータの損失（43％）、ブランドイメージへの損害（41％）などです。

業界によって、その影響はさまざまでした。金融業界では貴重なデータと資金を犯罪者に奪われ、医療業界ではシステムの迅速な復旧に多大なコストがかかりました。製造業界では、業務が中断されたことによる影響がとりわけ大きかったのです。

小規模な企業ほど、機密データや重要データの損失による影響が大きく、次いでブランドイメージの低下による影響が大きいことがわかりました。しかし、調査対象となった中規模以上の組織では、最も一般的な影響は、ダウンタイム/ビジネスの中断と従業員の生産性の損失でした。これはすなわち、大規模な組織は、攻撃に耐えられるブランドイメージが確立されているものの、事業継続の面ではより大きな打撃を受けていることを示しています。

リモートワークのリスク

しかし、企業規模や業種に関係なく、従業員の半分以上がリモートで働く企業は、より高いレベルのリスクと回復コストに直面しています。

というのも、リモートワーカーに対して、常時一貫してセキュリティポリシーを適用させ、最大限の防御を確保することが企業にはなかなかできないためと考えられます。また、従業員が日々の業務を遂行できるよう、ビジネスアプリケーションや重要なデータへのリモートアクセスを可能にする必要があります。結果的に、サイバー犯罪者が利用できる攻撃対象領域を増やすうえ、サイバー攻撃の検知や対応、回復を大幅に遅らせることになります。

組織は準備が足りないと感じている

調査対象となった組織の大半（97％）は、最大級のセキュリティ脅威への対策が十分でないと感じています。約 3 分の 1（34％）がデータ損失やマルウェアへの対策が不十分であると感じており、4 分の 1 以上（27％）がランサムウェアについても同じように感じています。さらに、28%はスパムのような複雑ではない脅威への対策もできていないと感じています。大規模な組織ほど、ほぼすべての脅威への対策が遅れていると感じています。

悪いニュースばかりではない

全体として組織は、フィッシング、スピアフィッシング、ランサムウェアなどの高度な脅威への対策は、3年前に電子メール攻撃の影響について調査したときよりも進んでいると感じているようです。

また今回の調査では、全体の 26 %がメールセキュリティへの投資を増やし、89 %が 12 カ月前よりもシステムやデータの安全性が高まったと感じていることがわかりました。電子メールのリスクと強固な保護の必要性に対する認識と理解の高まりは、2023年の電子メールセキュリティにとってポジティブな出発点です。

「メールは信頼できるユビキタスな通信チャネルであり、そのためサイバー犯罪者にとって魅力的なターゲットとなっています。メールベースの攻撃は、AI と高度なソーシャルエンジニアリングを活用して、目的のデータやアクセスを取得し、セキュリティ対策を回避しようとするため、ますます高度化していると思われます」と、バラクーダのメールプロテクション、エンジニアリング＆プロダクトマネジメント担当SVPのドン・マクレナンは述べています。「電子メールによる攻撃は、ランサムウェアや情報窃盗、スパイウェア、暗号マイニング、その他のマルウェアなど、さまざまなサイバー脅威の最初のアクセスポイントになる可能性があります。世界中の IT チームが、多くの電子メールベースの脅威に対する防御対策が不十分だと感じているのも無理はありません。電子メールのリスクと安全性を保つために必要な強固な保護機能に対する認識と理解を深めることが、2023年以降も組織とその従業員を守り続けるための重要な鍵となるでしょう」

この調査は、独立系調査会社のヴァンソン・ボーン社（Vanson Bourne）がバラクーダのために実施したもので、米国、欧州、中東、アフリカおよびAPAC諸国のさまざまな業界の従業員100～2,500人規模の企業の現場担当から最高位の役割の IT 専門家に質問しています。