慈善団体に対するサイバー脅威、特に国家を後ろ盾とする攻撃の脅威が世界的に急増する中、Microsoftは米国時間10月21日、非営利団体を保護するための新たなツールのスイート「Security Program for Nonprofits」を発表した。
Security Program for Nonprofitsには、同社の「AccountGuard」プログラムへの無料アクセスと、無料のセキュリティアセスメント、IT管理者とエンドユーザーに向けた無料のトレーニングパスという3つのコンポーネントが含まれている。
MicrosoftのTech for Social ImpactのバイスプレジデントであるJustin Spelhaug氏と、シニアAzureインダストリーソリューションマネージャーFlora Muglia氏は米ZDNetに対して、Microsoftの目標はこのプログラムを今後の1年で1万の組織に、そして3年で5万の組織に採用してもらうことだと述べた。
Spelhaug氏によると、Microsoftがこのプログラムを作り出したのは、国家を後ろ盾とする攻撃の事例の中で非営利団体が2番目に多い標的となっているためだという。
「われわれが検知し、各組織に通知している、国家を後ろ盾とした攻撃のうちの31%は非営利団体に対するものとなっている。これらの団体は、人権擁護団体やシンクタンク、国家機関が入手したい機密情報を有している組織だ」(Spelhaug氏)
「サイバーセキュリティの脅威が増えつつある一方で、ほとんどの非営利団体は、潤沢な資金を使える民間企業と同じレベルの高度なネットワークセキュリティプロトコルを有しておらず、リソースやセキュリティモデルもそのレベルに達していない。非営利団体の70%は脆弱性アセスメントを実施しておらず、われわれの調査では80%がサイバーセキュリティ戦略を用意していない。このため、サイバーセキュリティの脅威は日に日に現実のものとなってきている。そして攻撃はより高度化している」(Spelhaug氏)
同氏は特に、ロシア政府を後ろ盾とするハッカー集団「NOBELIUM」が広範なフィッシングキャンペーンを展開したことに言及した。Microsoftは5月にこの攻撃について警告している。NOBELIUMは米国際開発庁(USAID)が電子メールマーケティングプラットフォーム「Constant Contact」で使用しているアカウントを乗っ取り、フィッシングメールを送付したとされていた。このフィッシングキャンペーンでは、政府機関やシンクタンク、コンサルタント、非政府組織などのアカウントおよそ3000が標的にされたという。さらにコロナ禍でデジタル化が進み、脅威の矛先も拡大しているという。
Muglia氏は、「またこのプログラムは、サイバーセキュリティ保険向けの特定の規則に準拠する必要がある組織で役立つとともに、組織における問題の洗い出しを支援するものとなっている」と述べた。
同氏によると、組織は無料のセキュリティアセスメントを、自らのリスクプロファイル、すなわち既存のエンドポイントや、ID情報へのアクセス、インフラ、ネットワーク、データの脆弱性を把握する上で役立てられるようになるという。その目的には「パートナーのエコシステムによるサポートによって、喫緊のリスクから自らの環境を保護できるよう機能を強化するための即時対応や緩和策をサポートし、優先順位を付けること」があると同氏は説明した。
AccountGuardは、国家を後ろ盾とする脅威アクターによって「Office 365」の組織のドメインのほか、「Microsoft Outlook」や「Hotmail」の個人ドメインが標的にされている、あるいは侵入されたことを検知した場合、手遅れになる前に組織に通知するようになっている。
Spelhaug氏は、「Microsoftは、役割に関係なく、非営利団体向けとして最も推奨できるトレーニングを効率化するトレーニングパスを培ってきた。これにより、どのような経歴の従業員であっても、オンラインでの詐欺や攻撃から身を守り、在宅勤務をよりセキュアなものにするための最新の戦略を学べるようになっている」と述べた。
21日の発表に先立ち、9月26日に多くの組織のMicrosoftのポータルで表示された際に、数百の組織がプログラムのAccountGuardの部分に登録したとMuglia氏は述べた。
Spelhaug氏は、「多くの非営利組織には大規模なITチームがない。詳しいセキュリティスペシャリストがおらず、すべての行動をデータを保護するよう導くコンサルティング企業もない」とし、同じ組織に異質のITシステムや異なる環境が存在すると指摘した。この業界でやるべきことは多いと話した。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。