社員が退職する際、会社内のアカウントの引き継ぎはスム
2024年、多くの組織や個人がサイバー攻撃による被害に遭いました。 最も一般的なサイバー脅威には、ソーシャルエンジニアリング攻撃、パスワードベースの攻撃、データ漏洩が挙げられます。
ここでは、2024年に発生している最も一般的なサイバーセキュリティの脅威10種類と、自分自身や企業をサイバー攻撃から保護する対策法について説明します。
1. ソーシャルエンジニアリング攻撃
ソーシャルエンジニアリングはサイバー犯罪者が使用する手口で、人々を心理的に操作して個人情報の詳細を共有するように仕向けるものです。 犯罪者らは、攻撃対象者が知る人物や信頼する人物になりすまして機微情報を明らかにさせ、個人アカウントや金融アカウント、仕事関連のアカウントへのアクセスを獲得しようとします。 例えば、家族を名乗る人物から電話がかかってきて、さっき交通事故に遭ったという理由で急いでお金を送るように頼まれるような事例があります。 しかし、すぐ要求に応じるべきではありません。 最近の技術の進歩により、サイバー犯罪者はソーシャルメディアや人工知能(AI)のビデオを使用して、攻撃対象者が知っている人物の声を模倣する可能性があるのです。
ソーシャルエンジニアリング攻撃の種類
ソーシャルエンジニアリング攻撃の種類には、フィッシング、ビッシング、スミッシング、プリテキスティングなど複数のものがあります。フィッシングは一般的にメールを介して発生します。 サイバー犯罪者はフィッシングメールを送信しますが、それには被害者がクリックあるいはダウンロードすることを意図したリンクや添付ファイルが含まれています。 しかし、迷惑リンクや添付ファイルをクリックあるいはダウンロードすることで、被害者は自分のデバイスにマルウェアをダウンロードしてしまったり、サイバー犯罪者に個人的な情報を盗まれてしまったりする可能性があるのです。 ビッシングとスミッシングはフィッシングに似ていますが、ビッシングは電話を介して行われ、スミッシングはSMSを介して実行されます。 プリテキスティングは、サイバー犯罪者がストーリーを作成したり口実を並べたりして、被害者に共感や恐怖を感じさせて個人情報を共有させようとするものです。
2. ランサムウェアと恐喝
マルウェアはデバイスを感染させて個人情報を盗むソフトウェアですが、ランサムウェアはデバイスを使用不能にするマルウェアの一種で、被害者が身代金さえ支払えば削除するとサイバー犯罪者が約束するものです。 2024年6月にVeeamが公表したレポートによると、ランサムウェア攻撃の被害者は平均して約43%のデータを失っています。 つまり、ランサムウェアの被害に遭った場合、ユーザーのデータの半分近くが回復不能になる可能性が高いということです。
恐喝は、サイバー犯罪者が個人や組織を恐喝してデバイスからロックアウトすることで、金銭を支払わせようとする犯罪です。個人データを公開すると脅し、ファイルへのアクセスを取り戻すための身代金を要求します。 お考えの通り、ランサムウェアと恐喝には確かに類似するものがあります。 ただ、恐喝はサイバー犯罪を幅広く分類したものですが、ランサムウェアはマルウェアの一種です。 恐喝を働くサイバー犯罪者は、金銭や個人情報を手に入れるためのツールとしてランサムウェアを使用することがよくあります。
3. サプライチェーン攻撃
サプライチェーン攻撃では、サイバー犯罪者は特定の企業を標的とするのではなく、販売業者や卸売業者を標的にします。 サイバー犯罪者は、サードパーティの販売業者や卸売業者を経由して企業にアクセスすることで、サプライチェーン攻撃を実行します。 最も悪名高いサプライチェーン攻撃のひとつは、2019年に発生したSolarWinds社のOrionと呼ばれるソフトウェアを利用したものでした。 サイバー犯罪者は、コードを介してソフトウェアのアップデートにマルウェアを挿入しておきました。そして組織が新しいソフトウェアアップデートをダウンロードすると、サイバー犯罪者は数千ものシステムにアクセスできるようになり、他の組織をスパイすることが可能になったというものです。 ほとんどのサプライチェーンは多重構造で広範に展開しているため、この種のサイバー攻撃を受けてセキュリティの弱点がどこにあるのかを突き止めることは困難です。
4. AIを利用した攻撃
Deep Instinctのレポートによると、2024年におけるサイバー攻撃の85%がAIを利用したものでした。 前述したように、サイバー犯罪者は技術を進化させており、AIをヴィッシングのようなサイバー攻撃のツールとして使用しているのです。 サイバー犯罪者がAIを利用した攻撃を実行する方法は他にもあります。例えば、パスワード解読などです。 今日のサイバー犯罪者は、頻繁に使用されるパスワードの大半を解読することが1分以内に達成できるPassGANなどのAI搭載ツールを利用してパスワードを解読しています。 また、AIは説得力のあるフィッシングメールを書くためにも使用されているため、ほとんどのフィッシング詐欺に見受けられる明白な誤字脱字や文法の間違いも排除されています。 これにより、サイバー犯罪者による詐欺行為の信憑製が高まるため、このようなフィッシング攻撃に騙される人が増えるのです。
5. パスワードベースの攻撃
サイバー攻撃と言えば、パスワードベースの攻撃を思い浮かべることがよくあります。これは、第三者があなたのパスワードを推測してオンラインアカウント情報を盗もうとするものです。 多くの人は脆弱なパスワードを使用したり、複数のウェブサイトで同じパスワードを使い回したりする傾向があるため、サイバー犯罪者がパスワードを推測して使用し、個人データにアクセスするのは簡単なのです。
サイバー犯罪者がパスワードベースの攻撃を実行する手口はいくつかあります。 最も一般的なパスワードベースの攻撃のひとつは試行錯誤することであり、ブルートフォース攻撃と呼ばれています。 サイバー犯罪者は、攻撃対象者のアカウントにアクセスできるようになるまで何度も試行錯誤します。攻撃対象者がアカウント間でパスワードを使い回している場合は、複数のアカウントから情報を盗む可能性があるのです。 サイバー犯罪者が利用するもうひとつの一般的な手口はパスワードスプレーです。これは、犯罪者が1つのドメインをターゲットにし、よく使われるパスワード(「パスワード」や「123456」)を使用して複数のアカウントにアクセスしようとするものです。 パスワードベースの攻撃の場合、サイバー犯罪者は被害者が複数のウェブサイトで脆弱なパスワードや同じパスワードを使用していることを当てにして、個人情報に自由にアクセスできるようにするのです。
6. モノのインターネット(IoT)攻撃
スマートデバイスの人気が高まるにつれて、サイバー犯罪者はインターネットに接続されたさまざまな物理的オブジェクトを攻撃する方法を発見しました。 いわゆるモノのインターネット(IoT)攻撃では、サイバー犯罪者は攻撃対象者のWi-Fiネットワークにアクセスしてスマートデバイスに接続し、個人データを盗むことができると考えられます。 従来のコンピュータ、携帯電話、タブレットに加えて、Amazon EchoやRingドアベル、Nestのサーモスタット、Nanitベビーモニターなど、家にあるスマートデバイスの種類を考えてみてください。 このようなスマートデバイスをはじめとする多くのデバイスは、サイバー犯罪者に接続されるとマルウェアに感染する可能性があります。これにより、被害者の個人情報が盗まれたり、デバイスのカメラやマイクを介して監視されたりすることさえ可能になるのです。 例えば、サイバー犯罪者にベビーモニターがハッキングされ事例がありますが、そのことで犯罪者に子供が見られるだけではなく、家の中も覗かれてしまうことになるのです。 IoT攻撃は、サイバー犯罪者に監視または聴聞されていることに被害者が気づいた時には取り返しのつかない状況になっている可能性があり、関係するすべての人にとって心理的に強い負担となり得るものです。
7. クラウドの脆弱性
クラウドベースのシステムやデバイスに頼る組織や個人が増えていますが、これらのシステムにはサイバー犯罪者が悪用できるようなクラウドの脆弱性や欠点が数多く存在します。 IBMが2024年に発表したレポートによると、データ漏洩の40%以上がクラウドベースであり、企業はその回復に数百万ドルもの負担を強いられる可能性があるとされています。 クラウドの脆弱性による影響は、金銭的な損失だけではない場合があります。顧客データが流出することで将来にわたって潜在顧客の不信感が増大したり、評判が損なわれたりする可能性があるためです。
組織が直面すると考えられるクラウドの脆弱性の中で非常に影響が大きいものの一つは、クラウドの設定ミスです。これは、クラウドリソースが正しく設定あるいは管理されていないことで、セキュリティ上の欠陥やデータ漏洩が発生する可能性につながるものです。 一般的に、従業員に最小特権アクセスが与えられていると、従業員がアクセスできるのは業務遂行に必要なものだけであるため、漏洩が発生した場合でもサイバー犯罪者による企業への攻撃を防ぐことができます。
8. ビジネスメール詐欺(BEC)攻撃
従業員はビジネスメール詐欺(BEC)攻撃の標的にされる可能性があります。これは、サイバー犯罪者が企業内の権威のある人物(CEOなど)になりすまして従業員を騙し、金銭や個人情報を送らせようと仕向けるものです。 サイバー犯罪者は誰を狙い誰になりすますかを知る必要があるため、この種のサイバー攻撃を仕掛けようとするサイバー犯罪者は綿密な調査を行う必要があります。自分を信頼できる身元に見せかけ、周りに溶け込むようにするためです。
あなたの上司が、できるだけ早く顧客のクレジットカード情報リストを送るように指示するメールをあなたに送信してきた場合について考えてみてください。 迅速に行動を起こすように依頼され、そのタスクが顧客のデータを送信することを要する場合、信頼できる通信手段を使用して上司に直接連絡し、その依頼が正当なものであることを確認すると良いでしょう。
9. 分散型サービス拒否(DDoS)攻撃
分散型サービス拒否(DDoS)攻撃は、サーバーを氾濫させて最終的にクラッシュさせることで、サーバーの通常のトラフィックを混乱させようとするものです。 サイバー犯罪者はこの攻撃を実行して、組織の評判を損ねたり、トラフィックの遅延を止めるために身代金を要求したり、ウェブサイトの通常の運用を完全に停止させて混乱を引き起こしたりします。 ネットワークが一度にリクエストを処理できる能力には限りがあるため、DDoS攻撃はボットを利用して異なる攻撃を同時に実行します。これによってネットワークがリクエストで溢れ返り、最終的にはトラフィックが完全に停止してしまうのです。 これは最も話題になっているサイバー脅威ではないかもしれませんが、DDoS攻撃は着実に増加しており、組織に財政的な破綻を引き起こすことも可能なのです。
10. データの流出と侵害
2024年だけでも、多くの企業がデータの流出や侵害に苦しみました。データの流出は、組織が誤って顧客情報などのセンシティブデータを公開してしまうことで発生します。 データ侵害は、サイバー犯罪者が企業のリソースにアクセスした後に情報を盗むことで発生します。 この種のサイバー攻撃は、意図の有無にかかわらず、ユーザー情報の盗難や個人情報の盗難につながることがあります。IBMは、2024年のデータ漏洩によって発生した世界的なコストが2023年と比べて10%増加し、平均で480万ドルだったと報告しています。 データ流出とデータ侵害は、どちらも深刻なサイバーセキュリティの脅威です。これは、機密情報が盗まれることによって発生するさまざまな影響、すなわち個人情報の盗難、評判の損壊、金銭的な損失、法的な問題、そして将来の顧客やビジネスパートナーからの信頼の欠如などがあります。
頻発するサイバー脅威から身を守りましょう
最も一般的なサイバーセキュリティの脅威10種類について理解していただいたところで、このようなオンラインの危険から身を守る対策方法を学びましょう。 セキュリティ慣行に組み込むべき役立つヒントをいくつかご紹介します。
- Wi-Fiネットワークなど、使用するアカウントそれぞれに強力で固有なパスワードを使用する
- よく使われるパスワードや脆弱なパスワード、使い回しされたパスワードは、どのアカウントにも使用しない
- 可能な限り多要素認証(MFA)を有効にして、アカウントにアクセスするために追加の認証形式を要求する
- SNSでの過剰な共有を避け、自分の情報がサイバー犯罪者に知られすぎないようにする
- 従業員に最小特権アクセス制御を設定する
- デバイスのソフトウェアを最新のセキュリティ機能で最新の状態に保つ
サイバー衛生のベストプラクティスに対応し、サイバー脅威から身を守る方法のひとつは、Keeper®を活用することです。 Keeper Businessパスワードマネージャーの14日間無料トライアル、またはKeeperパスワードマネージャー(弊社の個人用パスワードマネージャー)の30日間無料トライアルをお試しください。