2019 年 6 月 22 日 Trevor Collins 著

サイバー攻撃に関連する対策、復旧、保険には、どれ位の費用が必要になるのでしょうか？サイバーセキュリティ研究者の団体である WEIS [PDF] が最近の調査研究で、サイバー犯罪のコストと年ごとの変化を分析しています。発表されたレポートのほとんどは、世界の電子商取引の損失と政府による対策に関する説明ですが、サイバーセキュリティのトレンドも報告されており、その調査結果は我々の認識と一致するものです。フィッシングメールや認証情報を不正取得しようとする攻撃は、増加の一途をたどっています。また、同レポートによれば、オンラインのユーザ情報の増加に伴い、サイバーセキュリティの脆弱性に対するコストも上昇しています。優れたネットワークセキュリティプラクティスの重要性が、これまで以上に高まっています。サイバー攻撃の後に発生する損害は、攻撃者が手に入れた利益を上回り、たとえば、同レポートは、2018 年に銀行が危殆化したクレジットカードの交換のコストだけで 9,800 万ドルに上るとしています。

同レポートは、これ以外にも多くの興味深い事実を紹介しています。その中でも重要なものをいくつか抜粋し、対策と共にその概要を以下に解説します。

• SMS（テキスト）メッセージの傍受を悪用する不正が大幅に増加しました
  – 2要素認証（2FA）で SMS を利用しないでください。マルウェアを電話に送り込むことに成功した攻撃者は、SMS メッセージを読むことができます。さらには、多くの場合に、SIM カードを入れ替えて（アカウントに関連付けられた SIM カードを交換して）データにアクセスしようとします。これら 2 つの攻撃方法によって、ユーザの SMS メッセージを簡単に読み取ることができます。SMS ベースの 2FA ではなく、WatchGuard AuthPoint などの多要素認証（MFA）アプリを使ってアカウントを保護してください。また、SIM の入れ替えを防ぐため、携帯電話のアカウントが携帯電話会社に正しく紐付けされていることを確認します。
• 偽の ICO（Initial Coin Offering）詐欺で 3,600 万ドルを盗む事件が発生しました（盗難時の価値は 10 億ドル）
  – 仮想通貨では、十分な時間をかけて、我々が特定の銀行を信用するような方法で企業を識別しているわけではありません。ICO の中には、合法的ではないものも多く存在します。短時間で大金を手に入れられると宣伝する、確信を持てない ICO に手を出すべきではありません。
• 不正クリプトマイニングによる損害額が 5,200 万ドルに達しました
  – ICO 詐欺と同様、うますぎる話だと感じたならば、その感はおそらく的中しています。
• 2018 年に FBI の IC3（Internet Crime Complaint Center）に寄せられたインターネット犯罪の相談件数が 1 万 4,000 件を超え、被害額も前年比 161% 増の 3,800 万ドルに達しました。
  – IC3 によれば、被害者のほとんどが 60 歳以上です。最初に電話がかかってくる場合もありますが、不正 Web サイトにアクセスしたことで、これらの犯罪の被害者になることもあります。ウォッチガードの DNSWatch は、ユーザによるこれらの不正 Web サイトへのアクセスの防止に役立ちます。そして、偽のテクニカルサポートの電話に注意するよう呼びかけ、大きな損害を被る恐れのあるソーシャルエンジニアリングに騙されないよう、ユーザに周知する必要があります。
• CEO 詐欺の損害額が、2014 年の 2 億 6,000 万ドルから 2018 年の 13 億ドルへと大幅に増加しました
  – FBI への CEO 詐欺の相談件数も 8 倍に増加しました。この詐欺では、CEO からのものであるように見える電子メールが送信されてきますが、実際にはそのアドレスは偽装されたものです。Outlook などのメールクライアントの多くは、偽装された電子メールが実際には外部のアドレスから送信されたものであると通知してくれます。このような警告が表示された場合は、電子メールを開くべきではありません。確信がない場合は、電話や文字などの他の通信手段で送信者を確認する方法も考えられます。たとえば、ある口座に 100 万ドルを振り込むよう指示する電子メールを CEO から受け取った場合は、振り込む前に本当に CEO から送信されたものであることを確認します。
• FTC の Consumer Sentinel には、2 万件以上のロマンス詐欺が記録されました
  – Consumer Sentinel は、FTC に報告された一般ユーザを標的とする詐欺が記録されるデータベースです。最近のロマンス詐欺の報告件数の増加に伴い、2018 年のこの詐欺による損失額は 1 億 4,300 万ドルに達し、報告件数が 8,500 件だった 2015 年より大幅に増加していることがわかります。オンラインの偽の甘い言葉に惑わされることのないよう、従業員に周知する必要があるでしょう。
• 2018 年は、サイバー保険の保険金額が 40 億ドルに達しました
  – 2015 年から約 2 倍に増加したことになります。予防的防御が最も重要であることに変わりありませんが、サイバー保険によって、サイバーセキュリティ戦略に新しい有効なレイヤが追加されます。

レポートの最後に、サイバー犯罪者を捕え、罰することに時間をかけて取り組むよう推奨されています。もちろん、犯罪者を捕えるのは警察の仕事ですが、オンライン犯罪を報告することで、我々も重要な役割を果たすことができます。また、保護の強化にあたっては、サイバーセキュリティの適切な予算配分が重要です。ウォッチガードの CTO、Corey Nachreiner が昨年、セキュリティ予算配分に関する記事を公開しましたが、その記事では、予防に 50％、攻撃を迅速な特定を可能にするツールに 30％、攻撃が成功した場合の復旧に 20％ の予算を確保することが提案されています。サイバーセキュリティ保険によって、この復旧に関連する予算の一部が保障されることになるでしょう。

今回ご紹介したレポートの全文は、このリンクからお読みいただけます。