コロナ禍により世界的にデジタル化が進んだことで、サイバー攻撃のリスクはかつてないほど高まっている。ミュンヘン再保険のレポート「サイバーリスク及び保険調査2022」によると、2021年のサイバー攻撃による世界の経済損失額は約6兆ドルであったという。この数字は今後も伸び続け、2025年には10.5兆ドルになると同社は予測している。

拡大するサイバー犯罪市場、ランサムウェアのサービスプロバイダも

Image: Pixabay

近年ハッカーたちは敏捷性と「プロ意識」を高めており、その手口は複雑化している。特に、機密情報の暴露と引き換えに「身代金」を要求するランサムウェア攻撃が急増。2021年には11秒毎にランサムウェア攻撃が発生したという。

また、身代金の額も上がっている。ブロックチェーン分析企業Chainalysisによると、攻撃1件の獲得金額の平均は2020年が8万8,000ドルであったの対し、2021年には11万8,000ドルにアップ。2021年の1件あたりの最高金額は、米国の金融会社CNAファイナンシャルが狙われたランサムウェア攻撃であり、身代金4,000万ドルがハッカーグループに支払われた。2020年の最高額2,000万ドルから2倍以上も増えている。

2021年のランサムウェアによる主な攻撃と被害額(出典:ミュンヘン再保険

最近のランサムウェア攻撃は、通常2回のステップを踏む。まずは標的組織のネットワークに忍び込んで情報を盗み取り、情報窃取に成功したらランサムウェアを実行。ファイルの暗号化やPCにロックをかけるなどして撹乱し、その上で「身代金を支払わなければ情報を暴露する」と脅迫する。この二重脅迫によって、組織は多額の身代金を払わざるを得なくなる。

ミュンヘン再保険によると、最近はダークウェブを介した「ランサムウェアのレンタル」も行われており、ハッカーが定額でランサムウェアプログラムを貸し出す「プロバイダサービス」も増えているという。これにより、知識やスキルのない素人もサイバー攻撃に容易に加担できてしまう。

ランサムウェア攻撃は最大の脅威であり、多くの組織・企業がそのリスクを認識しているものの、まだ対策が追いついていないのが現状である。

マイクロソフトのサイバーセキュリティ人材育成プログラム

Image: Pixabay

サイバーセキュリティ人材の確保も急務である。米マイクロソフトはセキュリティソフトの開発・提供のほか、人材育成にも乗り出している。2021年秋より米国で実施していたサイバーセキュリティの人材育成およびスキル向上プログラム「サイバーセキュリティスキルイニシアチブ」を、翌年3月に欧州や豪州、日本など23カ国に拡大。

マイクロソフトの社内慈善活動組織Microsoft PhilanthropiesのバイスプレジデントKate Behnckenは「2025年には世界中で350万人のサイバーセキュリティ人材が必要とされるだろう」と述べている。このプログラムでは、各国の教育機関、非営利団体、政府、企業と協力してスキル開発に取り組むという。

ASEANサイバーセキュリティスキルプログラム

これとは別に、東南アジアでもサイバーセキュリティに対するスキルアッププログラムを実施している。

2022年2月、マイクロソフトはASEAN財団と共同で「ASEANサイバーセキュリティスキルプログラム」を開始。このプログラムでは、シンガポール、マレーシア、インドネシア、タイ、ベトナム、カンボジア、フィリピンの若者と教育関係者560名を対象に、サイバーセキュリティに関する情報共有とトレーニングを提供した。

ASEAN地域ではインターネットユーザーが4億人を超え、2030年には市場規模が1兆ドルに成長すると予測されている。これに伴いサイバー攻撃の頻度も急増しており、国際刑事警察機構のレポートによると、2020年の1〜9月には8万件を超えるフィッシング攻撃が発生したという。同地でサイバーセキュリティ人材を育てることは、サイバー攻撃から守るだけでなく、若く優秀なIT人材の確保・雇用という意味でもメリットは大きい。

2022年のサイバー攻撃“トレンド”

Image: Pixabay

ランサムウェアによるサイバー攻撃は今に始まったことではなく、約30年前から存在していた。サイバーセキュリティソリューションのTrend Microによると、世界初のランサムウェアは1989年の「AIDS Trojan」で、2000年代初め頃より端末上のファイルを暗号化するランサムウェアが流行し出したという。

サイバー攻撃の形や手口をは時代とともに変化しており、当然その時期に流行する“トレンド”がある。以下では、ITセキュリティ専門ウェブメディアCSOが予測した、2022年のサイバー攻撃トレンド(ランサムウェア以外)の一部を紹介する。

クリプトジャッキング

フィッシング攻撃によって組織に侵入し、組織のデバイスを使って暗号資産をマイニングするクリプトジャッキング。これの怖いところは、犯罪がなかなか気づかれないことである。身代金が要求されたり、ファイルが暗号化されたりということがないため、企業側に気づかれにくい。放っておくと情報が他者へ漏洩したり、ランサムウェアを仕掛けられたりという危険性もある。セキュリティサービスのSonicWallによると、2021年第3四半期にクリプトジャッキングが21%増加したという。

ディープフェイクを使った詐欺や恐喝

AI技術を活用して、人の顔や動画に捏造を加えるディープフェイク。現在はエンターテインメント分野でよく見られるが、今後は生体認証に悪用をされることが懸念されている。実際、CEOの声を偽装して、部下をだまして多額の金を偽口座に振り込ませる詐欺事件も発生している。経営幹部が違法な行為をしているような動画を作成して、恐喝目的でディープフェイクが使われる可能性もある。

IoTに対する攻撃

IoT(モノのインターネット)やOT(オペレーショナルテクノロジー)に対する攻撃も増えるだろう。産業用センサーを損傷させて組み立てラインを機能不全にするというような企業対象の攻撃のほか、スマートホームを狙った犯罪も懸念される。個人住宅にランサムウェアタイプの攻撃を実行し、ドアロックやサーモスタットを操作するというような事件も発生するかもしれない。

サプライチェーンへの攻撃

最近は大企業だけではなく、中小企業のシステムも標的にされる。サプライチェーンがサイバー攻撃を受けることで、取引先全体が損害を被り、システムが機能不全になることもある。日本では2022年3月、トヨタ自動車の取引先が攻撃を受けて、国内すべての工場の稼働を停止した一件は記憶に新しい。中小企業はセキュリティが脆弱であることが多く、ハッカーの攻撃対象になりやすい。日本マイクロソフトはこうしたリスクに対応するため、2022年5月に中小企業向けのセキュリティツール「Microsoft Defender for Business」を提供をし始めた。

注目のサイバーセキュリティスタートアップ

Axonius

サイバーセキュリティ専門のスタートアップも続々登場している。スタートアップ製品の導入はリスクが伴う一方、得意分野が細分化されており、大手に比べて迅速で柔軟なカスタマイズが可能という利点もある。

ユニークな専門性を持ち、多額の資金調達を達成しているスタートアップも数多い。NYタイムズやコロンビア銀行を顧客に持ち、2億7,000万ドルの資金を調達済みの米国のAxonius。クラウドコンピューティング専門のセキュリティプラットフォームで、AWS(アマゾンウェブサービス)クラウドにデプロイできるSnyk。SaaSセキュリティ管理プロバイダーで、シリーズAラウンドで1,900万ドルを調達したGrip Security。2022年5月にリリースされた、エンドツーエンドのポスト量子暗号ソフトウェアQuSecureなど、枚挙にいとまがない。

ミュンヘン再保険によると、企業のサイバーセキュリティ投資は今後さらに増える見込みだという。実際、同社のサイバー保険加入企業数は、2021年と比較して2022年は20%増加している。サイバー攻撃およびセキュリティ分野は、IT市場の一大成長セクターになることは間違いないだろう。

文:矢羽野晶子
編集:岡徳之(Livit