America
America
KDDI America
今月と次回にかけて、事業継続の為に真摯に向き合わねばならないサイバーセキュリティ対策について取り上げていきます。サイバーセキュリティ事故に対して適切な対策を打つことは、今や、ビジネス継続のために避けては通れません。被害による影響規模がますます大きくなっている中、起こる前に然るべき対策をしておく事が、経営リーダーには求められます。
しかし、やみくもに手を打っても、大事なポイントをカバーしていなかったり、無駄に費用が掛かってしまったりします。昨今の傾向をしっかり把握し、適切な対策が打てるように、改めておさらいをして行きましょう。
今月号では2023年振り返り編として、サイバーセキュリティ事故の昨今の傾向を整理します。次回号は、それに対して2024年に取り組りくむべき対策をまとめていきます。
1) 被害件数・被害規模:過去5年間の傾向
2) 引き続き増加するランサムウェア被害:
感染経路はフィッシングメール、リモート デスクトップ プロトコルの悪用、およびソフトウェアの脆弱性の悪用がトップ
3) 2023年の傾向:
① ビジネスメール詐欺(BEC)の増加
② 攻撃対象領域:サプライチェーン攻撃の増加
③ クラウドサービス・ウェブアプリケーションに起因するインシデントの増加
米国におけるサイバーアタックによる経済損失額は過去数年間増加の一途をたどっており、連邦捜査局(FBI)等と連携して設立された政府機関であるIC3の年間レポートによると、潜在的な損失総額は 2021 年の 69 億ドルから、2022 年には 102 億ドル以上に増加しました。
出典: 2022_IC3 Report
この中でもランサムウェアは、2022 年の申告件数としては2,385 件となり、損失は 3,430 万ドルを超えました。サイバー犯罪者はさまざまな手法を使用して被害者をランサムウェアに感染させますが、ランサムウェア インシデントの初期感染経路としては、依然としてフィッシングメール、リモート デスクトップ プロトコル (RDP) の悪用、およびソフトウェアの脆弱性の悪用がトップとなっています。
IC3への問合せ内容では、フィッシングメールによる被害申告が最も多く、引っかからないようにする従業員向けのトレーニングが重要になっています。
出典: 2022_IC3 Report
日本国内においても、2023年公表されたセキュリティインシデント事例全体は2022年に比べ減少したものの、ランサムウェアによる被害は増加し、2018年以降で最大の件数となりました。企業側としてはしっかりした対策が必要な状況です。
悪意ある第三者による虚偽のメールにより、金銭を流出させる手口が非常に増えています。子会社の担当者に対して、親会社代表者の名前を騙るなど、実在の人物、関係性を巧みに利用する手口です。BECによる被害は、米国ではサイバー犯罪の常に上位に入っています。
一方で、フィッシングやBEC のようなサイバー攻撃を検出することが技術的にもますます難しくなっています。これを防止するには、従業員のセキュリティ意識向上トレーニングとフィッシングのシミュレーションを繰り返し実行して、組織全体のセキュリティ強化レベルを上げることが必要です。
2023年に目立った傾向として、サプライチェーンのセキュリティリスクを狙った攻撃が相次いだことが挙げられます。サプライチェーン攻撃とは、取引先など業務上でつながる組織間の関係性を狙い、脆弱な組織やポイントに対してサイバー攻撃を仕掛ける手口です。
具体的には以下のようなやり口です。
・関連組織や子会社、取引先などを侵害し、標的組織への侵害を図る攻撃
・クラウドなどのサービス事業者を侵害したうえで、サービスを通じてその顧客にサイバー攻撃に広げる攻撃
・ソフトウェアそのものに不正コードを混入させ、標的組織に侵入する攻撃
サプライチェーン攻撃により、在米日系企業も損害を受けました。
2023年には、クラウドに起因するセキュリティインシデントも増加しています。某大手セキュリティベンダー調査によると2023年は2022年の約130%増となったと報告されています。ひとつには、クラウドサービスやウェブアプリケーションの脆弱性を狙った攻撃があります。
一例として、多くのユーザー数を持つクラウド電話サービスプロバイダーを侵害し、そのユーザーを感染させた攻撃がありました。攻撃者はサービスプロバイダーのWebサーバーの脆弱性を悪用し、ソフトウェアのアップデートに悪意のあるコードを混入しました。
また、2023年には、クラウドサービスやクラウドシステムのアカウントを狙ったり、悪用する攻撃が相次いだという報告もあります。
クラウドサービスの活用やDX (デジタルトランスフォーメーション) 化が進む中、新しいサービスやデバイスの導入は増加しています。しかし、この流れに中で、セキュリティが十分に確保されていないサービスがあったり、新しいサービスに対する設定ミスが増加したりすることも予想されます。
こうしたことから起こる事故を軽減するには、ユーザのアカウント管理の定期的な棚卸、また定期的なセキュリティアセスメントを実施する必要があります。
今月もご購読ありがとうございました!
KDDIアメリカはお客様のシステムをサイバーアタックから守るべく全力でサポートします。
KDDIアメリカ
KDDIアメリカ(本社:ニューヨーク)は、1989年に設立され、以降30年にわたりワンストップのICTソリューションを提供しています。米国に8拠点展開し、サービスエリアは北米だけでなく中南米もカバーしています。お客さまに最適なデジタルトランスフォーメーションを実現するべく、近年は、既存のICTソリューションの提供だけでなく、アプリケーション分野におけるコンサル・構築などを強化しています。
こうした取組みをとおして、お客さまの挑戦を全力でサポートしていきます。
KDDIのコンサルタントにご相談ください
KDDI America
長瀬 幸太 / Kota Nagase
Marketing Associate
2023年KDDI America, Inc.に新卒で入社。アメリカ合衆国テキサス州のヒューストン大学にて、マーケティングの修士を修了。趣味は筋トレ、テニス、ファッション。高校時代にはテニスでテキサス州ダブルス大会3位に入賞。毎日のようにお目当ての洋服を追い求めている。
)
あなたのお悩みに最適な解決策は?
KDDIのコンサルタントにご相談ください
