サイバー犯罪はますます金銭的利益を超えて拡大

サイバー犯罪について語るとき、その話はしばしば数字で語られます。2025年までに、世界全体で1兆5000億ドルの損失が見込まれています。もしサイバー犯罪が一つの国だとすれば、その経済規模はアメリカと中国に次いで世界第3位となります。フィッシングから偽サイトに至るまでのオンライン詐欺による被害額は、約1兆300億ドルに達しています。ランサムウェアや大規模組織への金融攻撃の増加により、サイバー犯罪は金銭目的だけだと思われがちです。

しかし、それは事実からかけ離れています。これらの犯罪の動機は経済的要素を超えており、もちろん経済的な重みは大きいものの、それだけではありません。いくつかの調査では、政府への攻撃のうち主に金銭目的で行われたものが全セキュリティ侵害の95%を占めるとされていますが、他の調査では55%のグループが収益を求めて行動していると述べています。動機が金銭的でないからといって、その影響が同様に深刻でないというわけではありません。評判の損失、戦略的損害、重要インフラへの被害などが挙げられます。Incibe-CERTのマネージャー、パトリシア・アロンソ・ガルシアは、「最大限のメディアインパクトを狙う他の動機がますます一般的になっている」と指摘します。彼女はまずイデオロギー的または政治的理由を挙げ、「機関、政府、企業を不安定化させることを目的としている」と述べています。現在の国際情勢の中で、その影響は顕著です。世界経済フォーラムの最新のサイバーセキュリティ報告書によると、約60%の組織が地政学的緊張が自社の戦略に影響を与えたと答えており、3人に1人のCEOが機密情報の喪失やサイバースパイ活動を最大の懸念事項として挙げています。

Incibe。画像はパトリシア・アロンソ・ガルシア。

「サイバー犯罪について話すとき、私たちは経済的動機と結びつけて語りがちですが、それだけが理由ではありません」とPanda Securityのグローバル消費者オペレーションマネージャー、エルベ・ランバートは言います。ランバートはまた、政治的・軍事的なサイバースパイ活動、「さまざまな政府に関係する国家やアクター」が戦略的情報を得るために侵入を試みることにも言及します。また、サイバー戦争も含まれ、「損害を与えたり、重要なシステムを無効化したり、役立たなくするための攻撃です。金銭的な目的はなく、戦争を有利に進めたり、妨害工作を促進することが目的です。」

Stuxnetワームが2010年にイランの核インフラを攻撃して以来、戦略的または政治的理由によるサイバー攻撃は、不安定化のためのツールとして頻繁に使われてきました。最近では、ロシアによるウクライナ侵攻開始以降、ロシアのエージェントによるウクライナ標的へのサイバー攻撃がその証拠です。欧州ENISAの最新の脅威レポートによると、国家に関連するアクターは一般的に十分な資金とリソースを持ち、他国の権力機関だけでなく、他の組織を標的にして機密情報を引き出したり、自国の資金調達を行うこともあります。これには偽情報キャンペーンも含まれ、UNIE大学サイバーセキュリティ修士課程ディレクターのフアン・ホセ・ノンベラによれば、「国民や軍隊の士気をくじくことややる気を失わせること」に焦点を当てているとのことです。

Panda。画像はエルベ・ランバート（Panda Securityグローバル消費者オペレーションマネージャー）。

イデオロギー的動機と関連するのがハクティビズムです。「経済的な目的ではなく、何らかの大義のために行動するサイバー犯罪者」とノンベラは説明します。この種のアクターは、政治的、社会的、倫理的理由で企業、組織、政府を攻撃することがあります。

1970年代初頭、既存のネットワーク（当時のARPANET）上のコンピュータに自動的にメッセージをコピーして広がる実験的なプログラムが開発されました。このプログラムCreeperは、最初のコンピュータワームであり、開発者のボブ・トーマスとレイ・トムリンソンには悪意はなく、当時黎明期だったコンピュータサイエンスの分野で単なる実験をしていただけでした。サイバー犯罪産業全体はこの発想から生まれ、今日でもこの伝統を受け継ぐタイプのハッカーが存在します。彼らは経済的な目的やイデオロギー、害を与えることを目的としていません。ランバートが「個人的な挑戦に関する心理的動機」と呼び、ノンベラが「コミュニティ内でポイントや名声を得ようとする若者やサイバーセキュリティの世界に入ったばかりの人」と説明するタイプです。ノンベラは「一般的にこれらは中小企業（SME）を標的にします。なぜなら最も脆弱であり、彼らにとって学習の場となるからです」と付け加えます。

アロンソ・ガルシアは、こうした個人的な達成の認知による名声や注目を求める動機と、「不満を持つ従業員や顧客による個人的な復讐として生じる動機」とを区別しています。ノンベラは、内部または外部のインシデントの例として、CISOの地位を脅かす、サプライヤーを変更する、不忠実な従業員や解雇されたばかりの人による企業への復讐などを挙げています。彼が働く教育分野では、学生による情報の盗難やシステムのハッキングもあり、直接的な経済的損害はなくても深刻な評判問題を引き起こす可能性があります。また、復讐や個人的な害の範疇では、ランバートはサイバーブリング型の感情的・個人的な関係に起因する個別のケースにも言及しています。

「これら非常に異なる動機は互いに排他的ではなく、異なる目的を追求しています」とアロンソ・ガルシアは付け加えます。「単独の動機として現れることもあれば、互いに補完し合い、サイバー攻撃をより巧妙かつ分析困難なものにしています。」つまり、個人やグループが政治的な利害を持ちながら、行動を隠すためや資金調達のために身代金を要求したり、国同士の混乱の中で利益を得ようと攻撃を仕掛けたりすることもあるのです。

サイバー防御への影響

ビジネスの観点では、サイバー攻撃につながる主な動機を知ることは、より良い防御やインシデント対応戦略を立てる上で有益です。あるいは、アロンソ・ガルシアの言葉を借りれば「リスクを予測し、インシデントに積極的に対応する」ためです。

UNIE。画像はフアン・ホセ・ノンベラ（UNIE大学サイバーセキュリティ修士課程ディレクター）。

「サイバースペースでは、被害は銀行口座だけにとどまりません。解決策はこれらすべてを考慮する必要があります」とランバートは付け加えます。「これはすべてのパラダイム、そして対応・予防システム全体を根本から変えるものです。」彼は例を挙げます。もし戦略が技術的な部分だけに焦点を当てていれば、サイバーブリングやハクティビズムに関連するすべてが見落とされてしまう可能性があります。ノンベラも、動機を知ることで防御方法が異なる場合があることに同意します。「私の見解では、非常に違います。リスク分析の問題に戻りますが、自分の組織にとってのリスクは何か？金銭的攻撃の可能性は常にありますが、一般的にはランサムウェア経由で来るのでユーザーの意識向上が必要です。しかし、他にも不忠実なスタッフの可能性など、より一般的なリスクもあります。」

しかし、たとえば地政学的観点から重要な分野で働いている場合、戦略は再検討または強化する必要があります。その場合、偽情報の問題も考慮しなければなりません。また、競争の激しい環境であれば、企業サボタージュの可能性も考慮する必要があります。ここでは脅威インテリジェンスツールや情報漏洩防止システムを重視する必要があるかもしれません。要するに、「周囲で何が起きているかをもとに予測し、先手を打つこと。受動的ではなく能動的に対応することが大切です」とノンベラはまとめます。