インシデントデータの新たな分析結果が公開され、IT予算とセキュリティ人材に乏しい中小企業が多くの被害を受けていることがわかりました。
サイバー犯罪者は大企業を中心に攻撃しているように思われがちですが、業界のデータから中小企業の被害は大きいことが明らかになりました。
サイバー犯罪の経済規模は非常に大きくなっています。連邦政府機関や国際的な法執行機関から注目されることがないように、少額の報酬を狙うサービスやサイバー攻撃グループが増えています。
Sophosが公開した2024年版の脅威レポートによると、サイバー攻撃者は成功率を高めるために中小企業にアプローチする以下の新たな攻撃方法を取り入れています。
- Webベースのマルウェアの配信:悪意のある広告とSEOポイズニングにより騙してマルウェアをダウンロードさせるように設計された攻撃が行われています。
- 保護されていないシステムの使用:中小企業は予算が少ないことが多く、サポートが終了しておりパッチが適用されていない、安全ではないOSやアプリケーションを使用しています。サイバー攻撃者はこのような弱点を狙っています。
- チェーンメールによるフィッシング:サイバー攻撃者は、悪意のある目的を達成するため、これまでのような単純なフィッシングメールを送信するのではなく、フィッシング攻撃の説得力を高めるために、これまでやり取りされていたメールへの返信や転送などのチェーンメールを使用しています。
- 警戒されないプラットフォームの使用:一般的なプラットフォームでテキストメッセージを受信したりソーシャルメディアを使用したりするときには、サイバー攻撃かどうかを判断することは困難です。サイバー攻撃者は不審に思われないように、ユーザーが使い慣れているサードパーティーのサービスやソーシャルメディアプラットフォームを悪用しています。
Sophosの報告書では中小企業であったとしても、犯罪者の最大のターゲットはデータであると述べています。ランサムウェア、不正なリモートアクセスなど報告が寄せられた攻撃の90%以上は、データや認証情報の盗難が関与しているようです。
中小企業にとってデータや認証情報の盗難に遭わないようにするためには、新しいスタイルの先進的なセキュリティ意識向上トレーニングを採用する必要があります。これにより、重要な標的になっている企業は、企業の特性に合わせて進化を続ける攻撃にも適切に備えることができます。
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティ文化の醸成につなげています。
原典:Stu Sjouwerman著 2024年3月15日発信 https://blog.knowbe4.com/sophos-over-75-of-cyber-incidents-target-small-businesses
