サイバー攻撃関連

今週のセキュリティニュース - 2024年5月10日

投稿日:2024年5月10日
執筆者:ISRセキュリティニュース編集局

今週のセキュリティニュースへようこそ!
ここでは、国内・国外で過去数日間に起こったサイバーセキュリティ関連のニュースやレポートなど、知っておくべきことをお伝えします。
ぜひご覧ください。

国内

ランサムウェアによる身代金の平均支払額が前年調査の5倍に - ソフォス

ソフォス株式会社は、年次調査レポート「ランサムウェアの現状 2024年版」を公開しました。
調査によると、ランサムウェア攻撃を受けた組織は、調査対象の59%となり、これは過去2年の調査からわずかに減少した結果となりました。その一方で、要求された身代金の平均額は432万1880ドルに上りました。さらに、身代金を支払ったと回答した組織が支払った金額の平均値は396万917ドルとなり、前年調査の約5倍になったといいます。
同社は、この2年間で全体的な攻撃率は低下したが、攻撃による被害と影響は増大しており、組織は自社のサイバー攻撃対策を攻撃の進化に適応していかなければならないとしています。

ランサムウェアによる身代金の平均支払額が前年調査の5倍に - ソフォス | ISRセキュリティニュース編集局
参照:ソフォス「ランサムウェアの現状2024年版

業務外利用・不正持出に関連するインシデントが急増 - デジタルアーツ

デジタルアーツ株式会社は、2021年から2023年の国内組織におけるセキュリティインシデントを、対象組織による公開報告書およびマスメディアによる報道資料をもとに集計したセキュリティレポートを公開しました。
レポートによると、2023年の国内セキュリティインシデント総数は916件で、「不正アクセス」が最多の222件となりました。また、2023年における「業務外利用・不正持出」によるインシデントは92件で、前年の2倍以上に増加しており、2023年で最も伸び率が高い項目となっています。
さらに、学校・教育機関関連の組織で発生したインシデントの集計では、2023年の総数は147件となり増加傾向がみられます。いずれの年でも「紛失・盗難」が最多でしたが、2023年は「不正アクセス」が前年の2倍以上になり、最も伸び率が高くなっています。

業務外利用・不正持出に関連するインシデントが急増 - デジタルアーツ | ISRセキュリティニュース編集局
参照:デジタルアーツ「[2024年4月公開]過去3年分の国内セキュリティインシデント集計

国外

AI を利用したフィッシング攻撃が60%増加していることが判明 - Zscaler調査

Zscaler ThreatLabz は、2023年に世界のフィッシング攻撃が前年比 58.2% 増加したことを観測しました。 音声フィッシング (ビッシング) やディープ フェイクフィッシングなどの生成型 AI 主導スキームの蔓延がその一因となっています。
国別に見ると、米国 (55.9%)、英国 (5.6%)、インド (3.9%) がフィッシング詐欺の標的となった上位の国として浮上しました。 金融および保険業界が最も多くのフィッシング攻撃を受けており、攻撃件数は前年比 393% 増加しました。 製造業でも、2022 年から 2023 年にかけてフィッシング攻撃が大幅に増加 (31%) し、業界の脆弱性に対する認識の高まりが浮き彫りになりました。

AI を利用したフィッシング攻撃が60%増加していることが判明 - Zscaler調査 | ISRセキュリティニュース編集局
参照:Zscaler「Zscaler Research Finds 60% Increase in AI-Driven Phishing Attacks

米ハイテク大手、ソフトウェア製品にセキュリティを組み込むことに合意

バイデン政権の国家サイバーセキュリティ戦略にとって注目に値する前進として、多くのテクノロジー企業が、開発の初期段階から自社のソフトウェアに強力なセキュリティを組み込む協定に署名します。
今週開催されたRSAカンファレンスで発表される米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)によって草案されたこの誓約書に署名する65社の中には、Microsoft、Google、AWS、International Business Machines、Palo Alto Networks、Ciscoが入っています。
この誓約に基づき、企業は7つのサイバーセキュリティのベストプラクティスを製品の開発サイクルに組み込むことを約束します。これには、

  • ソフトウェアの脆弱性に関する情報開示プログラムの構築と管理
  • 顧客によるパッチのインストールの容易化
  • ハッカーによる侵入の追跡
  • ソフトウェア設計における共通部分の欠陥の軽減
  • デフォルトのパスワードの使用削減
  • 製品全体で多要素認証の標準有効化

などが含まれます。

米ハイテク大手、ソフトウェア製品にセキュリティを組み込むことに合意 | ISRセキュリティニュース編集局
参照:WSJ Pro Cyber security「Cyber Hygiene Helps Organizations Mitigate Ransomware-Related Tech Giants Agree to Build Security Into Software Products
ページの先頭へ