2023年におけるサイバー保険の状況を調査した新しいデータで、保険の申請が増加していることが示されています。ここでも、フィッシングとソーシャルエンジニアリングが深刻な問題となっていることを改めて認識する結果となりました。
サイバーセキュリティ保険会社のCoalition社がサイバーセキュリティ保険申請状況レポート2024年版を公開しました。このレポートでは2021年から2023年までの比較データがあり、注目すべき以下の2つの統計が示されています。
このレポートによると、企業の規模に関わらず保険の申請数と申請金額は増加しており、企業の売上高別の申請数の内訳を見ると、2023年の上半期と下半期の両方ではあらゆる規模の企業で保険金の請求数が増加しています(下図参照)。
出典:Coalition
また、昨年の平均損失額は10万ドルを若干超える程度であったことが報告されています。その金額の多さと、規模に関わらず多くの企業をこのような被害を受けていることから、注意すべき状況と言えるでしょう。
では、これらの攻撃の原因は何でしょうか?保険金の支払いを受ける場合であっても、攻撃を受けてから身代金を支払うよりも攻撃を未然に防いだほうが、圧倒的にコストは低くなります。
保険金請求の詳細を見ていくと、攻撃の起点に関する共通の問題が浮かび上がってきます。ランサムウェア、不正な送金、ビジネスメール詐欺、およびその他のサイバー攻撃のタイプ別の保険金請求の詳細を見てみましょう(下図参照)。
出典:Coalition
不正送金とビジネスメール詐欺に関する保険金の請求は、全請求の56%になっています。Coalitionは、これらの請求の半数以上の攻撃の背後にはフィッシングやソーシャルエンジニアリングが関連している可能性があることを指摘しており、メールのセキュリティの必要性について特に指摘しています。
また、このレポートによると、保険金請求の19%を占めるランサムウェアは、Lockbit 3.0とBlack Catによって主に実行されています。これらはサービスとしてランサムウェアを展開している代表的な2つの脅威グループであり、フィッシングを含むあらゆる形態の初期アクセスの方法を使用しています。
ランサムウェア攻撃についても、その一部にはフィッシングが関係しています。サイバー攻撃を防止し、サイバー保険への保険金請求を回避する必要があるのであれば、フィッシング対策を何よりも優先しなければなりません。
メールセキュリティを向上するためにCoalition社が呼びかけている対策は合理的ですが、メールから配信されている脅威の7分の1が従業員の受信箱に到達していることからも、「ユーザー」という重要なレイヤーにおけるセキュリティ対策を強化することが重要となっています。新しいスタイルの先進的なセキュリティ意識向上トレーニングによって、ユーザーを企業や組織のセキュリティの盾の1つとして機能させることが可能となり、悪意のあるリンク、添付ファイル、メールコンテンツをすばやく特定し、操作せずにIT部門やセキュリティチームに報告して、これらの脅威を無力化することができます。
Coalitionのレポートデータから、サイバー攻撃者が高度なさまざまな手法を考案していること、そして組織の準備や対策が整っていないことが見えてきます。これらの状況が、サイバー保険の申請という結果につながっています。この問題を防ぐ唯一の方法は、このレポートのデータを読み解き、保険申請の根本原因となっているフィッシングに目を向け、ユーザーの意識改革など、効果的なセキュリティ対策によってその原因を解決することです。
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの形成につなげています。
原典:Stu Sjouwerman著 2024年5月21日発信 https://blog.knowbe4.com/cyber-insurance-claims-rise-as-email-becomes-the-primary-vehicle