カスペルスキー、2023年に大企業や政府組織が備えるべきサイバー脅威を予測
- 2023/02/01 10:00
- SecurityInsight
カスペルスキーは1月31日、今年、大企業や政府組織が備えるべきサイバー脅威の予測を発表した。その概要は以下のとおり。
1.サイバー攻撃者が、窃取したデータを公開すると脅しカウントダウン
かつてランサムウェアの攻撃者は被害者に直接連絡し、身代金をひそかに要求していたが、現在はすぐに自分たちのブログにセキュリティ侵害について投稿し、窃取したデータを公表すると脅してカウントダウンを行なうようになった。この手法は、被害者が身代金を支払うかどうかにかかわらずサイバー犯罪者に有利になる。多くの場合、窃取したデータはオークションにかけられ、落札価格は要求した身代金の金額を超えることもある。このような理由から、2023年もこの悪質な方法が続くとみている。
2.サイバー犯罪者が、自らの評判を上げるために虚偽のデータ漏洩を投稿
2023年は、無名の犯罪者が注目を集めるために、企業や組織に不正侵入したと主張する可能性がある。本当に行なわれたかどうかに関係なく、データ漏洩が話題になればビジネスに悪影響を与えかねない。安全を確保するには、このようなメッセージをすばやく特定し、情報セキュリティインシデントと同様の対応プロセスを開始することが重要。
3.個人データの漏洩が増加し、企業のメールがリスクに
2023年も個人データの漏洩傾向が続くと予測。直接影響を受けるのは個人のプライバシーだが、企業のサイバーセキュリティもリスクにさらされる。業務用のメールアドレスを外部サイトの登録に利用することがあるが、そのサイトでデータ侵害が発生し、メールアドレスなどの情報が公開された場合、ほかのサイバー犯罪者が関心を持ち、ダークネットでその企業への攻撃が企図される可能性がある。さらに、そのデータがフィッシングやソーシャルエンジニアリングに利用されることもある。
4.Malware-as-a-Service、クラウド経由の攻撃、ダークウェブでの窃取したデータの取引
ランサムウェアを使用した攻撃は、Malware-as-a-Service(MaaS)の出現によって今年も増加すると予測。攻撃がますます複雑になり、自動化されたシステムで完全なセキュリティを確保することは難しくなるだろう。さらに、デジタル化に伴いセイバーセキュリティリスクが高まり、クラウドテクノロジーが攻撃経路として広く利用されるようになるだろう。また、2023年には、サイバー犯罪者がダークネットで過去にネットワークを侵害された企業への初期アクセスを購入することも増えると予測している。