出典: Cavan Images via Alamy Stock Photo
論評
地政学的緊張の高まりや、Change HealthcareやColonial Pipelineなどの重要インフラに対する大規模なサイバー攻撃が相次ぐ中、世界中の企業はますます巧妙化するサイバー犯罪者の手口に苦慮しています。サイバー犯罪グループは、かつては最先端の国家支援型作戦に限られていた高度な手法を急速に取り入れています。同時に、厳しい制裁下にある国家は、国家支援の脅威アクターを通じてランサムウェアや暗号通貨詐欺を利用し、自国の体制の資金調達を強化しています。
あらゆる業界の企業がこうした進化する脅威の影響を受ける中、自社組織の特有の脅威状況を理解することはこれまで以上に重要です。自社は国家支援によるスパイ活動の高価値ターゲットなのか、それともデータ窃盗や詐欺、ランサムウェア攻撃といった機会的なサイバー犯罪の被害者となる可能性があるのか?両方への備えが必要なのか?この違いを知ることは、サイバー防御計画の中心であり、組織が攻撃に対してレジリエンスを維持できるかどうかの鍵となります。
高度化するサイバー犯罪の台頭
これまで、主なサイバー脅威アクターは、情報収集や地政学的な混乱を目的とする国家支援グループと、純粋に金銭的利益を追求するサイバー犯罪グループの2つに大別されてきました。しかし、この構図は急速に変化しています。
金銭目的のサイバー犯罪者は、かつては国家支援アクターのみが用いていた「Living-off-the-land」技術など、複雑な手法を取り入れています。「Living-off-the-land」バイナリ(LOLBins)とは、攻撃者が既存のシステムツールを悪用し、防御側に検知されずにランサムウェアや他のツールを展開する準備を進める手法です。Medusaランサムウェアグループは、2024年にこれらの手法を用いて300件以上の攻撃を成功させ、攻撃をより効果的かつ検知困難なものにしました。
同時に、これまでスパイ活動や軍事的サイバー作戦で知られてきた北朝鮮やイランなどの国々は、体制の資金調達のためにランサムウェアや暗号通貨詐欺にますます依存しています。最近の北朝鮮による$15億のByBit攻撃のように、国家支援グループが犯罪ハッカーと協力し、軍事目的の資金を調達する事例も出ています。こうした動機と手法の融合は、より複雑で不安定な脅威状況を示しています。
一つだけ明らかなことがあります。それは、規模や業種を問わず、すべての組織がこの融合の影響を受けるということです。純粋な商業企業であれば、知的財産(IP)や長期的な潜入の標的にはならないかもしれませんが、ランサムウェアやデータ窃盗・恐喝といった金銭目的の攻撃リスクは依然として高いのです。一方、機密IPや重要インフラを扱う組織は、巧妙な犯罪型・国家支援型の両方の攻撃に直面する必要があります。つまり、防御側が注目すべき重要な違いは、使われる手法の種類ではなく、攻撃者の主な目的なのです。
サイバーリスク緩和の再考
国家支援型攻撃のリスクが高い分野の組織は、巧妙な侵入に対抗するために包括的な多層防御戦略を採用すべきです。これには、強力な内部統制、国土安全保障省(DHS)やサイバーセキュリティ・インフラセキュリティ庁(CISA)による非機密インフラ向け支援プログラムの活用、サイバーセキュリティ成熟度モデル認証やNSAの機密政府情報保護要件などのフレームワーク遵守が含まれます。これらのステップは、国家支援型脅威に対抗するために求められる高い基準を満たす上で不可欠です。
サイバー犯罪アクターと対峙する組織は、災害復旧と事業継続、脅威検知、ソーシャルエンジニアリング耐性(フィッシング訓練など)、定期的な更新とパッチ適用、強固なインシデント対応計画に投資を集中すべきです。ここでのもう一つの重要な戦略は、自社の防御が同業他社よりも強固であることを確保することです。機会主義的な脅威アクターは常に「最も手薄な標的」や「最も早く金銭化できるルート」を探しています。自社が業界内の他社よりも抵抗力を示せば、こうしたサイバー犯罪者はより容易な標的へと移る可能性が高いのです。
とはいえ、侵入しにくくするだけでは十分ではありません。現代のサイバー防御戦略で最も重要な要素の一つは、「攻撃を受けても業務を継続できる能力」です。事業中断や恐喝の脅威に対する最も効果的な緩和策は、堅牢で検証済み、かつ徹底的にテストされた災害復旧・事業継続計画を持つことです。画一的なサイバー衛生や従来型のセキュリティ対策よりも一段深い対策を講じることが、被害者になるか、迅速かつ効果的に回復できるかの分かれ道となります。
すべてのセキュリティリーダーは、サイバーリスク定量化(CRQ)も活用し、自社にとって最大のリスクを把握し、それに応じた対策を講じるべきです。CRQは、セキュリティリーダーが技術的リスクをビジネスの観点に翻訳する視点を提供します。「もっとセキュリティが必要だ」と単に主張するのではなく、CRQは「最も懸念すべき脅威は何か?」「それが発生した場合、ビジネスにどれほどの損害が出るか?」「どの投資がリスク加重コストを最も効率的に削減できるか?」といった重要な問いに答えるのに役立ちます。さまざまなリスクシナリオや緩和策に金銭的価値を割り当てることで、CRQはCISOが支出の優先順位付けや正当化、経営陣との連携、限られたリソースの集中投下先の決定をより自信を持って行えるようにします。このアプローチにより、しばしば理解されにくいサイバーセキュリティ投資を、十分に根拠があり戦略的に整合した事業リスク緩和投資として再定義できます。
まとめ
機密データを扱う組織の防御基準は高くなるかもしれませんが、サイバー犯罪の急速な進化により、国家による標的にならないと考える組織であっても、もはや安閑とはしていられません。サイバー犯罪者は、国家アクターから日々学び、被害者から最大限の金銭を引き出そうとしています。やがて、こうした高度なツールや手法は、誰にでも、どの組織にも使われるようになるでしょう。
そのため、積極的かつ脅威に基づいたサイバーレジリエンスのアプローチを取ることで、セキュリティの意思決定が独断的にならずに済みます。強奪型の攻撃や高度に持続的な国家支援型の敵対者、あるいはその両方に対抗する場合でも、攻撃者の動機を理解し、競合他社より一歩先んじて備える企業こそが、事業運営・ブランド価値・収益を最も効果的に守ることができるのです。
著者について
セキュリティ&リスクサービス部門ディレクター、Resilience
David Meeseは、サイバーリスク管理企業Resilienceのセキュリティ&リスクサービス部門ディレクターであり、25年以上にわたり進化する脅威に対抗するセキュリティプログラムの構築と最適化に従事してきたサイバーセキュリティ運用のリーダーです。クラウドセキュリティ運用、インシデント対応、SOC開発を専門とし、組織のレジリエンスを高める戦略的イニシアチブを推進しています。
脅威インテリジェンス部門ディレクター、Resilience
Andrew Bayersは、サイバーリスク管理企業Resilienceの脅威インテリジェンス部門ディレクターであり、15年以上にわたり攻撃・防御両面のサイバー作戦を通じて国家防衛を支援してきたサイバーセキュリティおよびインテリジェンスのリーダーです。Resilience入社前は国防総省や米海兵隊に勤務。脅威インテリジェンス、サイバー戦、重要インフラ保護を専門としています。