今週のセキュリティニュースへようこそ!
ここでは、国内・国外で過去数日間に起こったサイバーセキュリティ関連のニュースやレポートなど、知っておくべきことをお伝えします。
ぜひご覧ください。
国内
企業規模が大きくなるほどインシデント発生率が増加 - サイバーソリューションズ調査
法人向け電子メールのセキュリティ対策企業のサイバーソリューションズ株式会社は、従業員300名以上の企業に勤務する人を対象に「企業のメールセキュリティへの取り組みに関するアンケート調査」を実施し、結果を公表しました。
これによると、過去3年間にサイバー攻撃の被害にあった割合は、従業員数300名〜999名の企業は24.7%、従業員数1,000名〜4,999名の企業は30.6%、従業員数5,000名以上の企業は34.7%と、企業規模が大きくなるほど発生割合が高くなることがわかりました。
従業員数5,000名以上の企業における被害の内訳は、「社内のシステムや端末がウイルス感染した」(60.8%)がもっとも多く、次いで「社内・社外に不正なメールを拡散した」(33.8%)が挙げられています。また、「データが暗号化され身代金を要求された」、「メールやデータが消失した」、「攻撃によりサーバやシステムがダウンした」など、事業の継続に大きな影響を与える被害も高い割合で発生していました。
参照:サイバーソリューションズ「企業のメール環境とセキュリティ対策の実態調査 2024」
ISC2、日本のサイバーセキュリティ業界にAIが与える影響について調査
サイバーセキュリティ専門家資格の非営利会員制組織であるISC2は、日本のサイバーセキュリティ人材を対象に実施した調査の結果を公開しました。
これによると、回答者の90%が、AIが業務効率を向上させることについて楽観的な見方を示しており、日本のサイバーセキュリティ専門家は、諸外国の同業者よりも楽観的な見通しを持っているといいます。また、グローバル調査の回答が54%だったのに対し、本調査の回答者の25%が、フィッシング、ランサムウェア、パスワードリセット攻撃、なりすましなどのサイバー脅威の増加を報告しており、そのうち5%がAIによって生成されたものであると明確に判断することができるサイバー脅威だったという回答から、日本における悪意のある活動の増加度合いは、世界的と比較して緩やかであることもわかりました。
しかし一方で、4分の3の回答者が、AIがサイバー攻撃やその他の悪意のある活動に利用されることについて、中程度から非常に懸念していると回答しています。AIがもたらす懸念事項のトップ3には「ディープフェイク」、「偽情報/誤情報」、「ソーシャルエンジニアリング」が挙げられており、この結果はグローバル調査とも一致しています。
参照:PR TIMES「ISC2、生成AI時代のサイバーセキュリティに関する国内調査結果を発表:AIを活用した偽情報(詐欺の高度化)、ディープフェイク、ソーシャルエンジニアリングのサイバー犯罪に強い懸念」
国外
デジタルなりすまし詐欺を防止できるブランドはわずか6% - Memcyco調査
Webサイトのセキュリティソリューションを提供するMemcyco社の調査によると、調査対象企業の87%がウェブサイト偽装を重大な問題と認識している一方で、効果的に対処するソリューションを持っていると主張するブランドはわずか6%に過ぎませんでした。
また、72%の企業が自社ウェブサイトの偽装を検知するための監視システムを導入しているものの、66%もの企業がデジタルなりすまし攻撃について知るのは主に顧客から指摘を受けたときだけだと回答しました。
偽のウェブサイトは、ユーザーを騙して不正なページでログイン認証情報を共有させることで、アカウント乗っ取り(ATO)攻撃を引き起こしやすくします。米国連邦取引委員会のデータによると、この問題の深刻化により、サイバー犯罪者は2023年だけで10億ドル以上という驚くべき金額を手にしているとのことです。
参照:Memcyco「State of Digital Impersonation Fraud Resilience」
人事関連のEメールが依然としてフィッシング試行のトップ - KnowBe4調査
セキュリティ意識のアセスメントと教育プラットフォームを提供するKnowBe4が発表した「Q1 2024 Phishing by Industry Benchmarking Report」によると、全世界のフィッシングメールの42%が人事部からのメールを装った件名であることが明らかになりました。
KnowBe4のCEOは声明の中で、従業員の信頼を利用する戦術がますます巧妙になっていると指摘し、「人事部やIT部などの内部部門から送られてくるメールは信頼できる送信元からのものであるように見えるため、従業員はその正当性を確認する前に騙されやすく、組織にとって特に有害です」と述べています。
また同レポートでは、約3分の1のユーザーが悪意のあるリンクをクリックしたり、詐欺的な要求に従ったりする可能性がある事がわかりました。そのため、強固なセキュリティ文化を構築する上で、十分な訓練を受けた従業員を育成することが極めて重要であり、予防可能なサイバー攻撃から組織を守るための最善の防御策となると述べています。
参照:KnowBe4「Q1 2024 top-clicked phishing test report」
Change Healthcareのサイバー攻撃、多要素認証の欠如が原因と判明
今年2月、米国のChange Healthcare社がランサムウェア攻撃を受け、医療業界における支払いと請求処理に大きな影響を及ぼしました。この事件について、親会社であるUnitedHealth社のCEOが米上院の公聴会に出席し、多要素認証という基本的なセキュリティが欠如したサーバーからハッカーが侵入したと説明しました。
また、同氏はChange Healthcare社の技術をアップグレードしている最中であり、UnitedHealth社全体で標準となっている多要素認証が欠けていたことを知り、「信じられないほど悔しい」と述べています。
