2019年もわずかとなりました。今年も様々なセキュリティインシデントが報告されましたが、今回は2019年の振り返りと、2020年に脅威となり得るサイバーリスクについて予測していきたいと思います。
法人組織におけるセキュリティ実態調査 2019年版
トレンドマイクロは2019年6月に、日本国内の官公庁自治体および民間企業における情報セキュリティ対策の意思決定者および意思決定関与者を対象に、セキュリティインシデントによる被害とセキュリティ対策の実態を明らかにするため『法人組織におけるセキュリティ実態調査 2019年版』を実施しました。この調査をみていくと、2019年度の日本の企業におけるセキュリティインシデントの被害状況並びに、様々な数値を業種別、地域別、規模別で把握することができます。
約4割がセキュリティインシデント重大被害を経験
引用:
https://resources.trendmicro.com/jp-docdownload-form-m164-web-sor2019.html
同調査によれば2018年4月~2019年3月の1年間に、国内法人組織の約6割が何らかのセキュリティインシデントを経験していると回答しています。また約4割がセキュリティインシデントに起因した情報漏えいやデータの破壊などの重大被害を経験しています。原因究明のための調査費用、改善策の導入、損害賠償といった事後対応を含めた年間平均被害総額は約2.4億円になり、年間平均被害総額は4年連続2億円を超えています。特に発生率が高い業種は中央省庁、都道府県庁、金融となっており、これは行政に関する情報、個人情報や金融情報などの機密性の高い情報を多く取り扱っていることから、サイバー犯罪者に狙われやすい傾向があると分析されています。また一般的な企業はセキュリティインシデントが起こったことに気づいていない可能性もあると示唆しています。
規模が大きくなるにつれてインシデント発生率も比例して上昇
従業員規模50名~99名の法人組織におけるインシデント発生率は40.6%となった一方で、5,000名以上の法人組織では75.8%と規模が大きくなるにつれてインシデント発生率も比例して上昇する傾向となりました。昨今ではグループ会社や業務で関連する組織を攻撃し、それを足がかりに標的組織へ攻撃する「サプライチェーン攻撃」も発生していることから、規模の大きさを問わず全ての法人組織が改めてセキュリティ対策を見直す必要があると警告しています。
経営者の意識問題
法人組織における経営層・上層部のサイバーセキュリティに関するリスク認識調査では、「事業継続上あるいは組織運営上のリスクとして十分認識している」と回答した割合は34.6%に留まっています。 セキュリティインシデントによる被害内容次第ではシステムやサービスの停止、ブランドイメージ・信用低下につながり自法人の事業に大きな影響をおよぼす可能性があることを理解し、セキュリティに対するリスク認識を改めることが求められます。
2020年の脅威動向予測
今年のインシデント事例などを振り返ってみると、2019年が脅威の転換期となり、2020年は新たな脅威の10年を迎える節目になると予測する専門家もいます。2020年に脅威となると予測されている者には次のようなものがあります。
「ディープフェイク」による詐欺
2,600万円詐取、AI使った“声のディープフェイクス”が仕掛けるオレオレ詐欺
AIはどのような犯罪に悪用されるのか――欧州で確認されたその実例が、「声のディープフェイクス」によるオレオレ詐欺だ。
ウォールストリート・ジャーナルやワシントン・ポストによると、今年3月、英国のエネルギー会社の最高経営責任者(CEO)が、ドイツの親会社のCEOを騙った「声のディープフェイクス」の電話による指示で、ハンガリーの企業の口座に22万ユーロ(約2,600万円)を送金してしまった、という。
AIを使った音声のなりすましによる犯罪の被害事例はこれまで明らかになってこなかったが、表面化していないだけで、すでに類似の事件は複数確認されているという。
引用:
https://news.yahoo.co.jp/byline/kazuhirotaira/20190906-00141454/
こちらのニュースは今年9月、世界で初めてAIで作られた合成音声による詐欺被害が発生したことを伝えるものです。被害にあった企業の保険会社であるユーラーヘルメス信用保険会社によると、合成音声は声色だけが同じというわけではなく、声の調子や言葉の区切り方、ドイツなまりまで再現されていたと報告しています。しかも、悪用されたテクノロジーは、ネットで不特定多数に提供されているものとみられ、水面下の広がりも予感させます。
ディープフェイクに関しては、「AIが顔合成技術を使って『有名女優のフェイクポルノ』を作る」という事態が2017年末に起こり、「このディープフェイク技術が悪用されるようになればインターネット上で真実とうそとを見分けるのが困難になると警告されていました。
こちらの動画はディープフェイクで人造したFacebookのザッカーバーグCEOが「データの支配」について語るムービーです。一見して偽物とは分からないのではないでしょうか?2019年は「ビジネスメール詐欺」も多く発生しましたが、2020年以降、サイバー犯罪者は従来の詐欺手口に加えて、「AI(人工知能:Artificial Intelligence)」を使った新たな手口によって、より巧妙に法人組織を騙そうとしてくるものと予測されています。メールだけでなく、取り上げたニュースのように電話やビデオメッセージなどが使われる可能性が高まっています。
クラウド(クラウドコンピューティング)関連のリスク
現在多くの企業が社内資料の管理、従業員や顧客の情報管理などにクラウドサービスを利用しています。それに伴い、ユーザの設定ミスやクラウド・コンテナ環境で稼働するアプリケーションの脆弱性に起因する情報漏えいやマルウェア感染といった被害を受ける法人組織が増加すると予測されています。デジタルセキュリティベンダーのタレス(Thales)が、日本やアメリカ等8カ国のIT管理者やITセキュリティ担当者3000人以上を対象にアンケート調査を実施しました。「クラウドセキュリティ調査レポート2019」(Could Security Study 2019)として公表された同レポートによると、日本の企業の48%はAmazon Web Services(AWS)、Microsoft Azure、IBMを中心とするマルチクラウド戦略を取り入れています。約半数の日本企業はデータをクラウド上に保存している一方で、クラウド上の機密データを暗号化で保護している組織はわずか32%(日本:29%)でした。調査に参加した半数近くの46%(日本:52%)の組織が、クラウド上に消費者に関連する個人情報の機密データを保存することで、セキュリティリスクが増加すると回答していますが、暗号化を実施している企業は非常に少ないことが分かっています。一旦データが流出すれば、企業の信用や存続に関わる重大なリスクを抱えていることになります。暗号化はそのリスクを減らすための効果的な一手段といえます。
IoT関連の脅威増加
5Gは大容量、超高速、低遅延、多数接続を実現するネットワークとして期待され来年春頃いよいよ日本国内でも本格的に開始する予定です。5Gの普及に伴い、ネットワークに接続される機器や端末が増えれば、その分サイバー攻撃のターゲットも増えることも予想されます。トラフィック量が増大するということは、通信を傍受されて盗まれた場合のデータ量も増大することにつながります。現時点でも街中の監視カメラや駐車管理システム、ビル制御システム、火災報知システムなど、すでに多くの機器がインターネットに接続されていますが、これらのIoTデバイスはかなりの割合がサイバー攻撃の侵入を受けています。ShodanやCensysなどインターネットに直接接続された端末を見つける事が出来るIoT検索エンジンを利用すれば、簡単に端末の検索が誰もできてしまいます。インターネットに繋がることはイコールでハッキングのリスクにつながります。IPカメラに侵入すれば、カメラに映る映像を見ることができ、遠隔操作に対応した機種であれば操作も可能になります。例えばデフォルトのパスワードの変更なしに、無防備に各種IoT機器のリモートアクセスを許可するといった事は慎むべきでしょう。IoTデバイスはサーバやパソコンと比較するとインターネットに接続しているという意識も薄く、その分セキュリティ対策が脆弱なものとなっています。
さいごに
新たな脅威としては、他にも外部委託やテレワーク等の促進に伴いサプライチェーン攻撃のリスクが増加する、標準型攻撃の高度化等も警告されています。AIや機械学習、高速通信といった技術の進歩は、同時に新たなセキュリティ脅威を招きます。高度な技術を持つ組織化されたサイバー攻撃の前に防御側も単独で対抗するのが難しいのが現状です。企業のセキュリティ担当者、経営者は「新たな脅威の10年」について高いセキュリティ意識をもってリスクに備えるようにしましょう。
