インターナショナルシステムリサーチ(ISR)は8月24日、サイバー攻撃の最新動向について報道関係者向けのオンライン説明会を開催した。同社 代表取締役社長のRaul Mendez氏が詳細を説明した。
企業や組織に対するサイバー攻撃は世界的に増加傾向にある。セキュリティ企業であるCheck Pointのレポートでは、組織に対するサイバー攻撃がグローバルで29%増加しているという。また、地理的に見ると、アジア太平洋地域(APAC)の年初からの増加率は13%で他地域よりも低い値となっているが、攻撃数では最も多くなっている。同社の調査では、2021年1月~8月20日の期間に公表された日本企業のサイバー攻撃被害は161件となっており、日本もこうしたトレンドの例外でないことが分かる。なお、同社の調査対象は「公表されたもの」であるため、非公表のものがさらに存在することも考えられる。
グローバルでのサイバー攻撃の増加傾向
2021年1月~8月20日に公表された日本企業のサイバー攻撃被害例
日本企業のランサムウェア被害の状況
また、攻撃手法の進化として、新たに「三重脅迫型ランサムウェア」が登場したことも紹介された。最初期のランサムウェアでは、データを暗号化することで解除キーを売りつけるというものだったが、この手法では適切なバックアップなどがあれば自力で回復することが可能なため、暗号化を実施する前にまずデータを盗み出しておき、支払いに応じない場合には盗み出したデータを暴露するという脅迫も追加で行う手法が増えてきている。
一般にこの手法を「二重脅迫型ランサムウェア」と呼ぶことが多いが、今回紹介された三重脅迫型ランサムウェアについて同社は「組織から機密データを盗み出し、支払いをしなければ公開すると脅すことに加えて、攻撃者は組織の顧客やビジネスパートナーを標的にして身代金を要求するようになった」と説明している。漏えいした情報が顧客やパートナーなど社外の関係者に関する機密情報だった場合、この脅迫は深刻な影響を及ぼすことになるだろう。
米国での被害としては、2020年末に発覚してサプライチェーン攻撃の大規模被害事例として注目されたSolarWindsの事例のほか、7月に多数の顧客を巻き込む形で大きな被害が発生したKaseyaの事例が前述の三重脅迫型ランサムウェアのケースとして取り上げられた。そして、この攻撃が被害を拡大した背景には、ユーザーや事業者が取引先を盲目的に信頼してしまう「ブラインドトラスト」があると同社は指摘している。
米国での最近の主なサイバー攻撃被害例
ブラインドトラストの対極にある考え方が、現在注目を集め、導入が急速に進みつつある「ゼロトラスト」となる。同社は「ITベンダーからエンドユーザーに至るまで、利便性から『セキュリティ』へ投資をシフトしなければならない」と提言する。利便性というのは、SSO(シングルサインオン)を考えれば分かりやすいだろう。
1度ログインすれば以降は毎度ログインプロセスを経ることなく複数のサービスを利用できるSSOは利便性に優れているが、パスワードが1つ漏れ、ログイン認証を1度突破されれば利用する全サービスが侵害を受けるリスクがある。同社ではSalesforce.comが2022年2月1日から多要素認証(MFA)への対応を必須化する方針を明らかにしていることを紹介し、「ITベンダーが率先してMFAを必須にすることでセキュリティ投資の流れを作る必要がある」としている。
Salesforce.comによるMFA必須化の影響がエンドユーザーにまで波及すると予想される
