1年間で71%も悪用が急増した、サイバー攻撃者が一番"好む"手法とは?
サイバーセキュリティには流行がある。1年前の状況を理解していたとしても、今年は話が変わっている。
信用格付機関Moody’s Ratingsは「2025年にはサイバー犯罪者がAIを活用して組織の防御を回避し、高額な身代金を支払える大企業をますます標的にするだろう。これにより信用リスクが上昇すると考えられる」と述べた。
1年間で71%も悪用が急増した、攻撃者が一番好む手法
なぜこのような予測が成り立つのだろうか。
Moody’s Ratingsは報告書の中で「被害者1人当たりの収益が減少している。サイバー攻撃者はより高額な身代金を要求することで、攻撃によって得られる利益を最大化しようとしている。攻撃者は高額な身代金を支払う余裕がある大企業を標的にすることで利益の最大化を実現している。これにより当社が評価する債務発行者のサイバーリスクが増加すると予想している」と記した。
さらに「同時に2025年にはサイバー犯罪者に対する組織の抵抗力が弱まる恐れがある。トランプ政権がサイバー防衛の規制を緩和する可能性が高いためだ」とも述べた。
FBIは状況をどう見ているか
「FBIのインターネット犯罪苦情センターは2023年に、過去最高となる88万418件の報告を受けた。これは2022年と比較して約10%の増加し、推定損失額は125億ドルを超える。一方、報告されているのは、このような犯罪の一部のみだ」(FBI)
FBIによると、米国民から報告されたランサムウェア攻撃の件数は2023年に18%増加し、2825件だったという。これに伴って、損失額は74%急増した(注1)。
FBIは報告書の中で「サイバー犯罪者は戦術を継続的に調整している。FBIは新規のランサムウェアのトレンドを観察している。同じ被害者に対してランサムウェアの複数の変種を展開したり、データ破壊戦術を用いて被害者に対する交渉の圧力を増大させたりする手法がある」と述べた。
Moody’s Ratingsによると、サイバー犯罪者はランサムウェアや詐欺に生成AIツールをより積極的に活用するようになっている。
「フィッシング攻撃はユーザーに悪質なリンクをクリックさせることを目的としており、生成AIの悪用により被害が拡大するだろう。生成AIツールは、信頼できる組織による正規のコミュニケーションを攻撃者が模倣するために、パーソナライズされた説得力のあるテキストやオーディオ、ビデオコンテンツの作成を可能にする」(Moody’s Ratings)
報告書によると、サイバー犯罪者はサードパーティーのソフトウェア供給業者の防御を侵害することで、大企業の防御を突破しているという。一つの供給業者への攻撃に成功すれば、その供給業者の顧客に対して、ランサムウェアを展開したりする機会が増すからだ。
従業員の認証情報の盗難は、サイバー犯罪者が最も好む手法だという。同社はIBMのデータを引用して、「2023年における盗まれた認証情報の使用は2022年と比較して71%急増し、企業のシステムへの不正アクセスを得るために最も一般的に使用される手法として位置付けられるようになった」とも述べた。
トランプ政権の動きは
Moody’s Ratingsは「トランプ政権は、攻撃者に対する一部の規制を緩和する可能性が高い。政権はサイバーセキュリティの義務を緩和し、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の活動を制限する可能性がある。これにより、発行体がサイバーアタックのリスクにさらされる可能性が高まる」とも述べた。
同社でサイバークレジットリスクを専門とするレロイ・テレロング氏(バイスプレジデント)によると、企業はAIを活用してサイバー脅威を軽減できるという。
2024年12月9日、テレロング氏は「最高情報セキュリティ責任者(CISO)は、AIツールを使用してサイバーセキュリティリスクを財務リスクに変換し、企業の取締役会による評価が可能な状態を構築できる」と述べた。
「サイバーセキュリティの専門家は、生成AIを活用して怪しい活動を迅速に調査し、攻撃の種類や攻撃の起源に関する情報などの重要な詳細を素早く特定できるようになる。また、攻撃の標的に関する洞察を得て、脅威をより迅速に評価できるようになる」(同氏)
「今日、これらの分析には、複数のツールを使いこなす熟練した専門家が必要だ。作業の際に一つのツールの用語から別のツールの用語への翻訳がしばしば求められる。サイバーセキュリティスタッフは生成AIを活用してカスタマイズされたセキュリティトレーニングプログラムや電子メールキャンペーン、その他のリソースを構築し、従業員にリスクについて情報提供できるようになる」(同氏)
出典:Credit risk rising as cyber attackers strike larger companies: Moody’s(CFO Dive)
注1:Federal Bureau of Investigation Internet Crime Report 2023(American Hospital Association)
関連記事
2025年に起こる4つのサイバーセキュリティトレンド
2025年にはサイバーセキュリティにおいて何が起こるのだろうか。個別のインシデントを予測することはできないが、4つのトレンドがあるという。
2025年のセキュリティ Gartnerが挙げる6つのトレンドとは
2026年のサイバーセキュリティのトレンドはどうなっているのだろうか。生成AIや人材の課題などについてGartnerが予測した。
ランサム攻撃を発見する陰の実力者 EDRよりも優れていたのは【読者調査】
ランサムウェア攻撃は激化を続け、対策を打たなければ自社が危険にさらされる段階に入った。攻撃の結果、どのような被害を受けたのだろうか。誰が攻撃を検知したのだろうか。
© Industry Dive. All rights reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。
- 「Microsoft 365」最新アップデート徹底解説 TeamsとCopilotなどに15の新機能
- 日本通運はなぜアクセンチュアを訴えたのか? IT部門が「124億円の訴訟」から学ぶべきこと
- Oracle Cloudから600万件のデータ漏えい Oracleは否定、研究者は事実だと指摘
- Microsoft 365 CopilotのAIエージェントが登場 何がすごいのか?
- Google WorkspaceのGeminiカスタマイズ機能「Gem」で業務効率化を促進するコツとは
- SD-WAN導入徹底ガイド 導入のメリット、移行の注意点
- 博報堂のデジタル新会社で3000人の従業員がNotionを利用したら起きたこと
- 「VMwareからKVMへ」NTTデータが考える、仮想化環境問題への新提案とは?
- 文系記者がAI資格「G検定」に合格できたワケ ChatGPTを使った試験勉強レポ
- Microsoftが語る セキュリティ運用を軽くする2つの方策とは
ITmediaはアイティメディア株式会社の登録商標です。