予測される傾向としては、セキュリティカルチャー構築へのシフト、ソーシャルメディア詐欺による新たなソーシャルエンジニアリングの戦場、重要インフラへの壊滅的な攻撃、レピュテーションにダメージを与えるディープフェイク、攻撃対象の拡大の5点が挙げられる
東京発 (2022年11月30日) – 世界のセキュリティ意識向上トレーニング市場をリードするKnowBe4社(本社:米国フロリダ州タンパベイ、創立者兼CEO:Stu Sjouwerman (ストゥ・シャワーマン))は、KnowBe4のサイバーセキュリティ・エキスパートチームによる2023年のサイバーセキュリティ動向予測を発表しました。
KnowBe4のサイバーセキュリティ・エキスパートチームは、2023年の動向予測として、次の5点を要注意と指摘しています。
-
セキュリティカルチャーの構築へのフォーカスシフトが始まる
セキュリティ意識向上トレーニングの必要性は今やほとんどの組織で認識され、単なる教育から行動変容へ、さらにはセキュリティカルチャーの醸成へと、セキュリティ意識向上トレーニングの注力ポイントがシフトし始めている。その中、経営陣や従業員全体からのサポートのもとに、強固なセキュリティカルチャーを構築しようという前向きな機運が生まれてきているが、この傾向がさらに加速する。この背景には、サイバー攻撃の急増とその手法の巧妙化がある。単なる注意喚起だけでは、このようなサイバー攻撃を止めることはできないことに多くのセキュリティ担当者が気付き始めている。セキュリティカルチャーの構築を通して、行動変容を根付かせ、人的防御を抜本的に強化することへ先進企業は動き出すのではないだろうか。 - ソーシャルメディア詐欺の増加に伴う新たなソーシャルエンジニアリングの戦場が生まれる
ソーシャルメディア詐欺が開花し、その被害の範囲は拡大し、友人、家族、組織、同僚を危険にさらすことになる。ソーシャルメディア上の商取引やマーケットプレイスがますます拡大する一方で、アカウントのコネクション(つながり)数やアクティブな期間といった情報を信頼の指標として依存する傾向がさらに強まる。詐欺師にとって「信頼させる」ことは、詐欺行為の最初の1歩である。サイバー攻撃者は、「人」が持つ生来のこの弱点を巧みに突いてくる。これに呼応して、ソーシャルメディアアカウントの偽装によるソーシャルメディア詐欺が増加し、個人や組織を騙す詐欺の被害がさらに増加する。また、この動きの背景には、様々な闇サイトで認証情報が少額で販売されるようになったことで、詐欺師たちが簡単にアカウント偽装を行うことが出来るようになったことがある。このような認証情報の流通によって、様々な形態のソーシャルメディア詐欺が生まれ、新たなソーシャルエンジニアリングの戦場なるであろう。
-
重要インフラへの壊滅的な攻撃が増加する
また、特にロシアとのウクライナ戦争が進行していることから、重要インフラの侵害による大規模な停電が発生することが予測される。これは、多くの人々に社会的、経済的影響を与える可能性がある。また、世界的な不況と生活費の高騰が引き金となって、市民的不服従が発生する恐れがありえる。これは、デジタルな手段を使って、抗議の意を込めて、自国や他国の政府サイトや国家インフラを攻撃するという形態として起こることも考えられる。また同時に、サイバー攻撃者にとっては、このような世情の不安定さから生まれる「人」の生活への不安は恰好な攻撃チャンスである。ここから、新たなサイバー攻撃が生まれることも考えられる。 -
危険なディープフェイク攻撃は、より説得力を増し、レピュテーションにダメージを与える
ディープフェイクは、偽装による信頼関係の構築に悪用できる危険なツールである。ディープフェイクは、無防備な人々に誰かの言動を額面通りに受け入れるよう説得する手段として極めて有効である。ディープフェイクは、これまで、多くの詐欺師にとっては、コストのかかる高嶺の花であった。しかしながら、テクノロジーの進化はこの状況を変えるかもしない。そして、ディープフェイクを使ったサイバー攻撃が増える可能性がある。多くの企業や組織は、この危険なディープフェイクが企業や組織に与える信頼への影響や危険性について十分に理解していないのが現状である。また、従業員に対して十分なトレーニングを行っていない。これは、サイバー攻撃者にとっては絶好なチャンスとなるかもしれない。 -
メタバースによる攻撃対象の拡大が新たな脅威をもたらす
攻撃手段は巧妙化と多様化の一途をたどっている。その結果、攻撃対象が拡大し、世界中の組織を適切に保護することがますます困難になっている。新たに生まれる火種として、メタバースの進化と普及がある。メタバースへの関心と利用が高まっているということは、サイバー脅威の状況もそれに合わせて拡大していることを意味する。メタバースインフラに特化したセキュリティ対策を用意する時期が来ている。
KnowBe4のCEOであるストゥ・シャワーマンは、2023年のサイバーセキュリティ動向予測について次のようにコメントしています。
「KnowBe4は、サイバーセキュリティ分野で数十年の経験を持つセキュリティエキスパートを世界の各地域に配置しています。このサイバーセキュリティ動向予測は、このグローバルなエキスパートチームから収集された動向予測をまとめたものです。この専門家チームは、今、業界で起きていることを、最前線に立ち、常に動向を追いかけ、最新の脅威、ツール、テクニックを探究しています。KnowBe4のセキュリティエキスパートの大半は、セキュリティ意識向上トレーニングを超えて、測定可能な行動変容によって導き出される強固なセキュリティカルチャー醸成へと、根本的なフォーカスシフトが発生してきていると指摘しています。また、ソーシャルエンジニアリングは、今後も、サイバー犯罪者が攻撃を実行する上で成功をもたらす最も使用される方法として、間違いなく、利用され続けると、断言しています。」
KnowBe4のサイバーセキュリティ・エキスパートチームについてさらに知りたい方は、https://www.knowbe4.com/security-awareness-training-advocates (英文)をアクセスしてください。
<KnowBe4について>
KnowBe4は、人的防御層(ヒューマンデフェンス・レイヤー)の形成・構成に重点を置く、セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダーです。KnowBe4は、IT/データセキュリティ・エキスパートであるStu Sjouwerman(ストゥ・シャワーマン)によって2010 年8 ⽉に米国フロリダ州タンパベイで設立され、セキュリティの「人的要素:ヒューマンエラーの克服」にフォーカスして、ランサムウェア、CEO攻撃/詐欺、ビジネスメール詐欺(BEC)を始めとする巧妙化するソーシャルエンジニアリング手口などの社員ひとり一人のセキュリティに対する認識を高めることで、「人」を狙うセキュリティ脅威から個人、組織、団体を防御することを支援しています。世界で最も著名なサイバーセキュリティ・スペシャリストであるKevin Mitnick(ケビン・ミトニック)がCHO(Chief Hacking Officer)を務めています。同氏のハッカーの視点に立った知見をベースにKnowBe4のトレーニングプログラムは組み立てられています。2022年10月現在、5万4千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築しています。KnowBe4についてさらに知りたい方は、www.knowbe4.jp をアクセスしてください。
