Yahoo!ニュース

急増するノーウェアランサム 2024/03/11-03/17

大元隆志CISOアドバイザー
画像はChatGPTにより筆者作成

一週間を始めるにあたって、抑えておきたい先週気になったセキュリティニュースのまとめです。セキュリティニュースは毎日多数の情報が溢れかえっており「重要なニュース」を探すことが大変です。海外の報道を中心にCISO視点で重要なインシデント、法案や規制に関して「これを知っておけば、最低限、恥はかかない」をコンセプトに、コンパクトにまとめることを心がけています。

1.令和5年におけるサイバー空間をめぐる脅威の情勢公開

 警察庁より日本国内のサイバー攻撃の動向をまとめた「令和5年におけるサイバー空間をめぐる脅威の情勢等について」が公開されました。

 本資料は日本国内でランサムウェアにあった被害企業の統計を見るうえで重要なレポートとなっています。

 ランサムウェアの被害件数は令和5年上期103件、下期が94件で合計197件となりました。令和5年の結果で注目すべき点は令和5年5上期から観測の始まった「ノーウェアランサム」の急増でしょう。この攻撃はネットワーク侵入を試み、「暗号化せず」に、データだけを盗み出し対価を要求する攻撃です。ランサムウェアを利用しないため「ノーウェアランサム」と命名されました。

  「ランサムウェアの被害件数」には「ノーウェアランサム攻撃」は含まれておらず、ランサムウェアとノーウェアランサムを合算すると、令和5年の身代金要求型攻撃の被害件数は227件となります。ノーウェア型の攻撃は暗号化機能の開発が不要となるため攻撃を高速に行うことが可能であり、多数のパソコン等に感染させることも不要なセキュリティ監視に発見されづらいという攻撃者側の利点が多くあり、また成果も出ていると考えられるため、今後「ノーウェアランサム」が増加していくことが予想されます。

以下、ランサムウェアに関する統計値について抜粋します。

 ・ランサムウェアの被害件数:197件

 ・ノーウェアランサム被害件数:30件

 ・感染経路:VPN機器 63%、リモートデスクトップ 18%

 ・復旧に要した期間:復旧までに一ヶ月以上が28件で20%。

 ・復旧費用:1000万円以上の被害額が44件で37%、そのうち1億円以上が7件。

 ・バックアップからの復旧:被害企業の94%がバックアップを取得していたが、83%が被害直前の水準まで復元出来なかったと回答。

 ・バックアップから復元できなかった理由:バックアップも暗号化されたため69%

 ・被害企業のウィルス対策ソフト導入状況:92%が導入していたが、そのうち79%で検出が無かった。

2.サイバーセキュリティー関連の求人が急増

 リクルートエージェントによるサイバーセキュリティーに関する求人動向が公開されました。

 本調査からは高度化するサイバーセキュリティ攻撃に対処するために企業側はサイバーセキュリティ人材獲得意欲が高まっていることが読み取れますが、圧倒的な需要に対して供給が全く追いついていない現状が垣間見えます。

 ・2014年を1とした場合に、2023年は24.3倍と大きく伸長

 ・転職者数の成長は2014年比で3.62倍

 ・転職者数は求人数の急激な伸び幅と比べると小さく、企業のサイバーセキュリティー関連人材へのニーズに転職者数が追いつかない状況が表れてる。

 セキュリティ人材を外部から調達するという考えだけでは自社の組織ニーズを満たせない可能性があり、中長期的な視点にたって社内の人材を育成する等の視点も必要になってくるでしょう。

 一方で「セキュリティ人材の85%が燃え尽き症候群を経験している」とも伝えられており、セキュリティ人材を自社で維持する難しさも伺えます。貴重なセキュリティ人材のやる気を維持し、高度化した攻撃にも対処するといった視点からも「レガシーなセキュリティシステム」では運用担当者の意欲を削ぎ、攻撃者にとっても都合が良いシステムとなりえるので、「セキュリティ運用者から見ても自身の付加価値を高め魅力あるセキュリティシステム」とすることも、人材獲得という視点では重要な視点になると言えるでしょう。

3.AI包括規制、最終案を承認 リスク応じた措置義務付け 欧州議会

 欧州連合(EU)欧州議会は13日、フランス東部ストラスブールで本会議を開き、人工知能(AI)の開発や利用を巡る世界初の規制法の最終案について、賛成多数で承認しました。なお、次のステップとして欧州理事会の承認が必要となります。

 規制案では、AIのリスクを四つに分類。リスクに応じた措置を事業者に義務付けています。違反した事業者には、最大で3500万ユーロ(約56億円)もしくは世界売上高の7%に相当する巨額の制裁金が科されます。

 これまでにも、欧州は個人情報保護等でも世界に先駆けて法制度を整えて、他国が追随するという流れを産んできたので、本規制の動向は他国も関心が高いと考えられます。欧州にはGDPRという個人情報保護法があり、成立当時に高額な違反金が課せられると話題になりました。GDPRの違反金は最大2000万ユーロと全世界年間売上の4%のどちらか高い方でした。

今回違反した事業者には、GDPRよりも高額な違反金が設定されることになります。AI活用を検討している企業経営者は今後の承認の行方、他国への影響にも注意を払う必要があります。

★国内、海外における重要な注意喚起★

該当期間中に発表された、CISAのKEVとJPCERT/CCを掲載します。自社で該当する製品を利用されている場合は優先度を上げて対応することを推奨します。

・CISA 悪用された既知の脆弱性カタログ登録状況

- 該当期間中の掲載はありませんでした。

・JPCERTコーディネーションセンター(JPCERT/CC)注意喚起

- 2024年3月マイクロソフトセキュリティ更新プログラムに関する注意喚起 (公開)

CISOアドバイザー

通信事業者用スパムメール対策、VoIP脆弱性診断等の経験を経て、現在は企業セキュリティの現状課題分析から対策ソリューションの検討、セキュリティトレーニング等企業経営におけるセキュリティ業務を幅広く支援。 ITやセキュリティの知識が無い人にセキュリティのリスクを解りやすく伝えます。 受賞歴:アカマイ社 ゼロトラストセキュリティアワード、マカフィー社 CASBパートナーオブ・ザ・イヤー等。所有資格:CISM、CISA、CDPSE、AWS SA Pro、CCSK、個人情報保護監査人、シニアモバイルシステムコンサルタント。書籍:『ビッグデータ・アナリティクス時代の日本企業の挑戦』など著書多数。

大元隆志の最近の記事