Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ランサム被害は拡大中

米国のITビジネス意思決定者300人へのThycoticCentrifyの最新調査レポートによると、ランサム被害は拡大している様です。

www.infosecurity-magazine.com

300人の米国のITビジネスの意思決定者の調査に基づいたこの調査では、企業の3分の2近く(64%)が過去12か月間にランサムウェア攻撃の犠牲者であったこともわかりました。

最新の調査 では、COVID-19のパンデミックが始まって以来、ランサムウェアの症例 と恐喝の 支払いが増加していることが示され ています。多くの被害者組織は、データが暗号化された後、需要を支払う以外に選択肢がないと感じていたため、これらの調査結果は特に心配であり、この戦術がいかに効果的であるかを示しています。

この調査では、ランサムウェア攻撃によって組織にもたらされた重大な被害がさらに明らかになりました。回答者の半数(50%)は、攻撃による収益の損失と評判の低下を経験したと述べ、42%は、攻撃によって顧客を失ったことを認めました。さらに、約3分の1が、ランサムウェア攻撃が従業員の一時解雇の原因であると考えています。

 

元ソース(thycotic)

2021 State of Ransomware Survey & Report

 

 

キタきつねの所感

ランサム被害が全世界の中で特に大きな米国の数字ではありますが、今年の前半辺りに出ていた調査レポートなどを考えると「悪化している」様に思えます。

過去1年間に調査企業の約2/3がランサム被害を受けているというのは、その被害がどの程度であったかは分かりませんが、ランサムの脅威がこの1年大きく増している事は間違いないかと思います。

Key Stats from the 2021 Ransomware Survey Report

※thycotic-HPより引用

 

懸念されるのは、「回答者の半数」”攻撃による収益の損失と評判の低下を経験したとあり、300社中150社がランサム攻撃によって大きな被害を受けた様に読み取れる記載となっています。

続きを読む

IT部門のwithコロナに向けた方向転換

日本HPの調査レポートの記事を読むと、コロナ禍の例外措置から次は何をしなければいけないのかが見えてくるかも知れません。

japan.zdnet.com

今回の分析から同社は、IT部門と従業員の間に、セキュリティ対策をめぐる“確執”があると指摘する。リモートワーク下でのセキュリティに関する主な調査結果は次の通り。

従業員

・18~24歳の従業員の39%が自社のデータセキュリティポリシーをあまり理解していない
・18~24歳の従業員の54%がデータ漏えいよりも業務の期限を心配する
・従業員の36%が研修で自宅ネットワークの保護方法を学ぶ
・18~24歳の従業員の48%はセキュリティポリシーが業務の妨げになると考えている
・従業員の37%はセキュリティのポリシーや技術が厳し過ぎると感じている
・従業員の48%はセキュリティ対策で多くの時間を浪費していると感じている
・18~24歳の従業員の31%がセキュリティ対策を避けようとした

 

 

キタきつねの所感

私自身も現在進行形で過ごしている「コロナ禍」ですが、今後もIT部門や従業員の意識が同じのままであるとすれば、今後、多くの会社・組織において、インシデントが発生する未来しか想像できません。

ZDNetの記事では日本HPの調査レポートのエッセンスとして、リモートワーク下でのセキュリティに関する状況をまとめていますが、この調査データに概ね沿っていると考えると、(多くの)従業員は現状IT部門(≒会社)から提供されているリモートワークの為の資産・サービスに潜在的な不満が強く、そうした中でも従来通りに”成果を上げる”という至上命令を、場合によってはセキュリティを無視しても達成しようとしているのが”現状”なのかと思われます。

 

セキュリティの観点でも見ると、私は以下の3点にまとまるのではないかと思います。

・ポリシーはwithコロナの「現状に合っていない」更新されていない

・自宅ネットワークに関するセキュリティは「何も言われていない」

・セキュリティ対策が成果を挙げるという目標を「邪魔している」

 

一方でIT部門は、また別な課題を抱えている様です。

続きを読む

フェイクボイス詐欺がやってくる

ビジネスメール詐欺(BEC)の次は"音声”と言われていましたが、ディープフェイク技術の向上により既にAI音声詐欺が海外で発生していた様です。

www.forbes.com

2020年の初めに、アラブ首長国連邦の銀行のマネージャーは、彼が以前に話をした会社の取締役である彼の声を認識した男性から電話を受けました。取締役は朗報でした。彼の会社は買収を行おうとしていたので、銀行が3,500万ドルの資金を送金することを承認する必要がありました。手続きを調整するためにMartinZelnerという名前の弁護士が雇われ、銀行のマネージャーは、ディレクターとZelnerからの受信トレイの電子メールを見て、どこに移動するのに必要なお金を確認することができました。銀行のマネージャーは、すべてが合法であるように見えると信じて、送金を始めました。

 

キタきつねの所感

ビジネスメール詐欺(Business Email Compromise)から考えると、ビジネス音声詐欺(Business Voice Compromise=BVC?)とでも言うべきなのでしょうが、注意喚起のフェイズを超えて、UAEの銀行(センテニアル銀行)がディープフェイク(AI音声)に騙されて約40万ドル(約4,500万円)が詐欺口座に送金されてしまった様です。

 

別な海外記事に書かれている経緯を見ると、ビジネスメール詐欺の”後押し”として、企業買収のために送金が必要な会社の取締役のクローン(AI)音声が使われたと書かれており、音声だけで銀行が詐欺に騙された訳ではない様ですが、(海外)銀行における高額送金の認証手続きの脆弱性が突かれたのは間違いない様です。

詐欺師は電子メールを含む手の込んだ攻撃を仕掛けたようですが、最終的に銀行員に転送を行うように説得したのは音声ディープフェイクであり、243,000ドルが支払われた後、2番目に知られているそのような攻撃につながりました。2019年3月に英国で詐欺されました。

BIOMETRIC UPDATE.COM記事より引用)※機械翻訳

 

続きを読む