企業や組織を狙うサイバー攻撃は巧妙化・複雑化が進み、大きな脅威となっています。その侵入経路は主にメールとウェブアプリケーションの脆弱(ぜいじゃく)性であり、侵入しても気づかれないようにさまざまな手法を駆使しています。ここでは、脅威アクターが企業や組織に侵入する手法と、その被害について紹介します。前編では、現状のサイバー攻撃の手法について解説します。
サイバー攻撃と脅威アクターの現状
脅威アクターとは、意図的に悪意のある活動を行う個人またはグループを指す言葉で、バッドアクターとも呼ばれます。特に近年は、サイバー空間などを利用した手法により活動する攻撃主体を指し、日本ではサイバー攻撃者やサイバー犯罪者といった言葉が一般的となっています。
こうした脅威アクターの活動には、システム、ネットワーク、またはデータに危害を加えることを意図したハッキング、フィッシング、またはその他のサイバー犯罪が含まれます。脅威アクターは、金銭的利益、政治的イデオロギー、不平や怨恨など、さまざまな要因によって動機付けられます。
近年は、脅威アクターの活動が著しく増加しています。IBMの報告書「X-Force 脅威インテリジェンス・インデックス2024」によると、フィッシング(30%)、一般に公開されているアプリケーションの脆弱性の悪用(29%)、リモートサービスの悪用(9%)が代表的な攻撃または脅威ベクトルであると説明しています。
特に、ソフトウェアに存在するプログラム上の欠陥である脆弱性が悪用された場合は、データ盗難とデータ漏えい(32%)、恐喝(24%)、認証情報の収集(23%)、ブランド名へのダメージ(9%)、データの破壊(9%)といった影響が上位5位にランクインしています。つまり、脅威アクターの攻撃結果として生じた影響の40%以上がデータに直接関係していることになります。
しかし、報告書に書かれているように、サイバー犯罪と脅威アクターの活動範囲は、不完全なデータに基づく推定値です。さまざまなカテゴリーの脅威アクターが存在し、事象に関するデータセットがバラバラで、透明性が欠如しています。このため、実際の脅威アクターや事象の数は報告書が示唆するよりもはるかに多いことはほぼ間違いありません。
過去の歴史をみると、脅威アクターは個人が自らの技量を広く知らしめようとするスクリプトキディーから始まっています。彼らはハッカーに成長し、マルウェアを作成して何台のコンピューターを感染させられるかを競い合うようになりました。ワームが猛威を振るった時期です。そしてマルウェアのバリエーションを増やしていくことになります。
その後、力を持つ脅威アクターがハッカーたちを雇うようになり、徐々に組織化が進んでいきます。当時はサイバーギャングやサイバーマフィアと呼ばれましたが、プロジェクト(オペレーション)ごとに結成されるサイバー攻撃グループに変遷していきます。優秀なサイバー攻撃グループは国家からの依頼を受け、潤沢な資金により重大なサイバー攻撃を引き起こすようになっています。
もう一つ、忘れてはならないのが脅威アクターたちのアンダーグラウンドの世界です。彼らは一般的なウェブブラウザーではアクセスできないインターネットの深い場所にコミュニティーを作り、サイバー攻撃のためのツールやグループのリクルートなどを行います。そこで近年、活発になっているのがサイバー攻撃のSaaS型サービスです。
例えば、ランサムウェアを生成するサービス「Ransomware as a Service」(RaaS)ではサイバー攻撃の知識がない脅威アクター初心者でも簡単に新種のランサムウェアを作成できます。同様に、フィッシングサービス「Phishig as a Service」(PhaaS)も登場しています。フィッシングサイトやフィッシングメールの作成が可能で、攻撃により取得したIDとパスワードなどを管理する機能も提供されています。
こうしたアンダーグラウンドのサービスにより、脅威アクターはより簡単にサイバー攻撃を行える環境が整ってきました。その結果、サイバー攻撃そのものの件数が増加しています。しかも、攻撃を受けてしまうと深刻な影響を受けてしまうケースも少なくありません。また、サイバー攻撃とセキュリティ対策のイタチごっこも続いているため、これらを考慮したサイバーセキュリティ対策を構築する必要があります。
脅威アクターが標的とする業種を見てみると、「製造業」(26%)、「金融サービス・保険業」(18%)、「専門サービス・消費者サービス業」(15%)が最も多く攻撃を受けています。個人を特定できる情報(PII)を扱う消費者部門は、データの収益化を狙う脅威アクターにとって重要な標的となっています。製造業では、プロセスやサプライチェーンが破壊されることで多大な金銭的損失が発生し、恐喝が深刻な脅威となっています。
世界経済フォーラムによると、サイバー犯罪の総費用は2025年までに10兆5000億ドルに達すると予測しています。これには、商業部門を標的とした脅威行為や、重要な公共部門のインフラに対する組織的攻撃の影響も含まれます。このような理由から、サイバーセキュリティ、特にデータの保護は現在、経営幹部や政府首脳の優先事項として急速に高まっています。