ガートナージャパンは4月14日、日本国内におけるセキュリティ・インシデントの傾向を発表した。そこでは、直近のセキュリティ・インシデント傾向を10パターンに分類している。その概要は以下のとおり。
●サプライチェーン・サイバーリスクの拡大
サプライチェーン・サイバーリスクが急速に拡大しており、2030年までにサイバーセキュリティ・インシデントの60%以上がサードパーティ/サプライチェーンに起因するものとなるとみている。
●ランサムウェア攻撃
ランサムウェア攻撃は、攻撃者による既存機器の脆弱性悪用、正規のツールを悪用するLoTL(Living off the Land)攻撃、マルウェア使用など、複数の攻撃手法を組み合わせて目的達成を図る傾向がある。拠点やVPNの脆弱性や認証情報の管理不足といった問題を抱えている企業はいまだに多いと考えられるため、当面は被害が継続する可能性が高い。
●外部公開アプリケーションへの攻撃
ランサムウェア以外にもECサイトが数カ月にわたって停止する事例が見られる。ECサイトへの攻撃では、過去に使われたクレジットカード情報が不正利用された可能性があると公表されたケースがある一方で、ECサイト・サーバー内にクレジットカード情報は保管していないと明確に公表した事例も存在した。組織は「情報を保有するリスク」という観点からシステムとセキュリティのデザインを再考することが求められる。
●ビジネス・メール詐欺/フィッシング詐欺
すべてのビジネス・メール詐欺(BEC)やフィッシング詐欺を技術的に防御することはできないため、多額の送金を1人の従業員で行えないようにワークフローを強化し、それを遵守する対策が必要となる。
●作業や設定のミス
1つのミスが重大なセキュリティ・インシデントにつながるような業務においては、ミスを防止、検知できるよう複数名が関与する業務フローが必要となる。ミスの発覚時に社員(業務委託先を含む)がどのようなアクションを取るかのセキュリティ・アウェアネスも必要。
●フェイク・インシデント
実際は起きていないセキュリティ・インシデント情報の拡散や、事実と異なる企業の公表内容が結果的にフェイク・インシデントとなる事例が見られる。セキュリティ・インシデントの対外的な公表の範囲やタイミングは企業によってさまざまで、正解はない。方針や判断フローを定めておき、サイバー攻撃やレピュテーション・リスクに過度に敏感にならず、冷静に十分な事実確認を行うことが必要となる。
そのほか、AIエージェントのリスクと脅威、DDoS攻撃、内部不正/組織ガバナンスの崩壊、プライバシー問題/デジタル倫理についても取り上げている。
関連リンク