サイバー脅威の解説：企業を保護する方法

効果的なサイバーセキュリティ慣行では、サイバーセキュリティリスクの軽減を最優先にすることで、組織のデータ、システム、ネットワークの機密性、完全性、可用性を確保します。さまざまな脅威の種類を認識し、それらが侵害につながるのを防御する戦略を実行することで、企業は機密情報、評判、そして利益を保護することができます。サイバー犯罪の被害額は大きく、サイバー犯罪による損失は毎年増加し続け、2029年までに15兆6,300億ドルに達する可能性があると推定されています。¹

組織は、拡大する攻撃面の弱点や脆弱性を悪用し、ますます巧妙化するサイバーセキュリティの脅威に備える必要があります。ここでは、一般的なサイバーセキュリティの脅威の種類をいくつか紹介します。

マルウェア（"malicious software"（悪意のあるソフトウェア））は、システムを損傷または妨害し、機密情報を盗み、ネットワークへの不正アクセスを可能にすることを目的とした、広範な脅威のカテゴリーです。

• ウイルスは最も古い種類のマルウェアの一つで、コンピューターからコンピューターへと広がる悪意のあるコードを実行します。システムの運用を中断し、データ損失を引き起こす可能性があります。

• ワームは自己複製し、ネットワークプロトコルを使用して人間の介入なしに他のデバイスに広がります。マルウェアワームは、ポリモーフィズム、動作模倣、暗号化などの技術を使用して機械学習による検出を回避します。中には、機械学習を使って侵入検知システムを予測し、対抗するものもあります。

• トロイの木馬は、正規のソフトウェア内に潜伏したり、有用なファイル、添付ファイル、アプリケーションに偽装したりします。特に、攻撃者が侵害されたウェブサイトや偽のリンク（ソーシャルエンジニアリングの一種）を利用してトロイの木馬ペイロードを配信するケースが増えています。ダウンロードされたトロイの木馬は、被害者のデバイス、システムやネットワークを制御します。2024年のElasticグローバル脅威レポートによると、トロイの木馬は観測されたマルウェアの82%を占めています。さらに詳しく見てみると、現在この脅威カテゴリの大部分を占めているのは、バンキング型トロイの木馬と「情報窃取」型トロイの木馬です。これらはログイン情報や金融情報などの機密データを収集するように設計されており、検出を回避するために絶えず進化しています。

• クリプトマイニングはクリプトジャッキングとも呼ばれます。暗号通貨マイニングマルウェアは、被害者のコンピューティングリソースを乗っ取って暗号通貨をマイニングします。このマルウェアにより、脅威アクターは長期間にわたって秘密裏に現金を稼ぐことができます。

• ランサムウェア は、被害者の情報を人質に取ったり、身代金を支払って解除するまでシステムの使用を防御したりする高度なマルウェアです。通常、脅威アクターは特定の種類のファイルを暗号化し、被害者に復号鍵を渡す対価を支払わせます。Chainalysisによると、2024年の被害者によるランサムウェア攻撃者への支払額は約8億1,355万ドルに達しています。²最新のランサムウェア攻撃は高速かつ適応性に優れており、サプライチェーンを標的とし、パッチ未適用のシステムを悪用し、AIを活用して攻撃を自動化し、回避能力を向上させています。

• ファイルレスマルウェアはその性質上、検出が非常に困難です。ハードドライブ上にファイルを作成せず、メモリ内に常駐します。この種の攻撃は、既存の正規プログラムを悪用して悪意のある活動を実行し、多くの場合、ユーザーやエンドポイントの防御を回避します。正規のネイティブツールを操作することで、ファイルレスマルウェアはデータの窃取、身代金の要求、暗号通貨のマイニングなど、従来のマルウェアと同様の被害をもたらします。

• マルウェア・アズ・ア・サービス （MaaS）は、今や組織にとって最大の脅威の一つとなっています。MaaSはマルウェアの一種ではなく、脅威アクターがすぐに使用でき、効果的で、俊敏性が高く、検知が困難なマルウェアを容易に入手できるビジネスモデルです。MaaS（およびランサムウェア・アズ・ア・サービス （RaaS））を利用することで、サイバー犯罪者は技術的な専門知識がなくとも、情報窃取型トロイの木馬 などの最先端のマルウェアを購入・展開し、サポートやソフトウェアアップデートを受けることができます。

フィッシングとは、銀行情報、ログイン認証情報、または悪用される可能性のあるその他の個人データなどの機密情報にアクセスしようとする攻撃を指します。フィッシング攻撃者は、信頼できる人や組織を装って、メール、テキストメッセージ、電話、ソーシャルメディアを使って標的に接触し、情報を共有させようと試みます。

フィッシングは、ソーシャルエンジニアリング（ヒューマンハッキングとも）であり、個人情報を漏洩させたり、組織のセキュリティを危険に晒す行動を取らせるために人を操作する手法です。

通常、フィッシングとは、できるだけ多くのユーザーに詐欺的なメール、メッセージ、その他の通信を送信することを意味しますが、標的を絞ることもあります。例えば、「スピアフィッシング」では特定の被害者を狙ってメッセージをパーソナライズし、「ホエーリング」では経営幹部などの重要人物をターゲットにします。

フィッシング攻撃のもう一つのバリエーションは、ビジネスメール詐欺（BEC）です。BEC攻撃では、攻撃者は経営幹部、ベンダーや信頼できる同僚を装い、被害者を騙して送金させたり、機密データを共有させたりします。FBIによると、BECは2023年に米国経済に29億ドル以上の損害をもたらしました。³ 

マルウェアと同様に、フィッシングの脅威も進化しています。今日、サイバー犯罪者は生成AIを用いて、高度にパーソナライズされ、説得力のあるフィッシングキャンペーンを展開できます。AIを用いた攻撃では、正規の通信を模倣した文書が生成されるため、被害者は詐欺的なコンテンツを見分けることが難しくなり、攻撃成功の可能性が高まります。

その手軽さから、多くのサイバー攻撃はフィッシングメールから始まり、サイバー犯罪者の間で非常に人気となっています。Anti-Phishing Working Groupによると、2024年7月から9月の間に約93万3000件のフィッシング攻撃が発生しており、2024年4月から6月の間に発生した87万7536件から増加しています⁴そして、誰もが被害者になる可能性があります。10組織中8組織で、少なくとも1人の個人がCISA評価チームによるフィッシング攻撃の被害に遭っています。⁵ 

DoS攻撃は、大量のトラフィックでWebサイトやネットワークリソースを過負荷にすることで、利用不能にします。分散型サービス拒否（DDoS）攻撃では、複数のソースから被害者のサーバーにトラフィックが送信されます。

脅威アクターは、サーバーを過負荷にすることで、正当なユーザーに対するサービスの中断やシステムクラッシュを引き起こします。

DDoS攻撃はDoS攻撃よりも深刻であると考えられており、通常は被害者のシステムまたはネットワークのクラッシュにつながります。また、マルウェアに感染した数千台のマシンが、時には何時間も繰り返し攻撃する可能性があるため、封じ込めも困難です。

脅威アクターは、政治的またはイデオロギー的な理由、抗議活動、競合他社の妨害など、さまざまな理由でDDoS攻撃を実行します。DDoS攻撃には多くの場合恐喝が伴い、サイバー犯罪者はサーバーをクラッシュさせてマルウェアをインストールし、被害を回復するために被害者に身代金を支払わせます。

マルウェアやフィッシングと同様に、DDoS攻撃も時間とともに進化しています。例えば、最新の攻撃ではHTTP/2プロトコルの脆弱性を悪用し、攻撃者がハイパーボリュームDDoS攻撃を仕掛けられるようになっています。また、その数も増加の一途を辿っています。

持続的標的型攻撃は、組織的で持続性があり、ステルス性に優れたサイバー攻撃であり、多くの場合、国家支援の下で活動する国家または犯罪グループによって実行されます。特定の組織または個人から機密データを盗むことを目的としています。

伝統的に、APTは世界や地域の地政学的な紛争を反映することが多く、その多くはロシア、イラン、北朝鮮、中国などの国家支援スポンサーと関連しています。支援対象のサイバー犯罪グループは熟練しており、資金も豊富で、最新の高度なツールを使用しています。通常、政府、重要なインフラ、金融機関、防衛産業が標的となります。

APTは、脅威アクターがまず脆弱性を悪用して被害者のシステムにアクセスするという点でマルウェアに似ています。次に、バックドアを設置して長期にわたってアクセスを保守し、カスタムマルウェアを使用して検出手段を回避します。次第に、脅威アクターはネットワーク上を移動して、より多くのデータを盗んだり、システム全体を混乱させたりします。これらは数か月または数年間検出されないままになることがあります。

新たな脅威、すなわちサイバー犯罪者がセキュリティシステムを悪用、妨害、侵害するために用いる新しい戦術、技術、手順は継続的に進化しています。進化するにつれて、検出と軽減が難しくなります。脅威アクターは、機械学習、生成AI、IoTデバイスなど、サイバーセキュリティ防御者と同じ技術の進歩を利用することがよくあります。今日の新たなサイバー脅威のいくつかをご紹介します。

IoTデバイスには、家電製品、防犯カメラ、産業用センサー、プリンターなど、インターネット接続された機器が含まれます。これらのデバイスには適切なセキュリティ保護が施されていないことが多く、悪用されやすいという問題があります。一般的な脆弱性としては、ファームウェアの脆弱性、オンパス攻撃やハードウェア攻撃、脆弱な認証情報などが挙げられます。

IoT攻撃の中でも特によく知られているのは、セキュリティ保護されていないIoTデバイスを利用してDDoS攻撃のネットワークトラフィックを生成するというものです。各IoTデバイスには独自のIPアドレスが割り当てられているため、このような攻撃をブロックすることは困難です。

IoTと同様に、クラウドコンピューティングはネットワークとサービスを使用してデータをオンラインで管理し、インターネット接続があればどこからでもデータにアクセスできるようにします。ユーザーにとってのこうした利便性は、サイバー犯罪者にとっても便利なターゲットになります。

クラウドセキュリティの脅威の多くは、IDとアクセス管理の問題に起因しています。インサイダーの脅威は、例えばクラウドのリモートアクセスによって悪化します。意図的であれ偶発的であれ、内部の関係者（請負業者、ビジネスパートナー、従業員）が組織をセキュリティリスクにさらす可能性があります。リモートアクセスでは、内部の関係者はどこからでもアクセス権を悪用できるため、こうした脅威の検出と防御は非常に困難になります。

クラウドの拡張性と柔軟性により、企業は事業を拡大し、変化する市場条件に適応できますが、潜在的な攻撃対象領域も拡大します。

セキュリティチームのワークフローを改善する高度なテクノロジーは、サイバー犯罪者の効率も向上させます。AIは既存のTTP（戦術、技術、手順）を強化し、マルウェア、ソーシャルエンジニアリング、フィッシング攻撃をより効率的かつ効果的にし、検知を困難にします。全体として、AIにより、近い将来の攻撃の量と影響の両方を増大すると予想されています。

AIの悪用例としては、被害者を欺くためにほぼ同等のなりすましを可能にするディープフェイクの作成と使用が挙げられます。さらに、脅威アクターは、マルウェアのコードを生成し、より説得力のあるパーソナライズされたフィッシングメールを作成するために大規模言語モデル（LLM）を使用し始めています。また、LLMやAIエージェントに指示して機密データを見つけて盗み出させたり、その他の悪意のあるアクションを実行させたりすることもできます。

エンドユーザー、セキュリティアナリスト、システム管理者を問わず、個人はサイバー脅威に対する防御の第一線となります。サイバーセキュリティの脅威にさらされるリスクを組織レベルで減らすには、強固なサイバーセキュリティリスク管理計画を立て、サイバー防御を積極的に更新、テスト、改善する必要があります。

サイバー脅威を軽減するための主な戦略をご紹介します。

サイバーセキュリティの脅威が問題になる前に防御するための重要な戦略の一つは、発生したインシデントに事後対応するのではなく、事前対応的なアプローチを取ることです。組織はリスクを軽減するために、脅威を積極的に発見し、検出する必要があります。

脅威ハンティングにより、セキュリティチームはあらゆる異常を積極的に調査し、大規模な侵害につながる可能性のある悪意のある活動がないことを確認できます。脅威ハンティングは、ネットワーク環境に何か月も潜伏しながら機密情報を収集する可能性があるAPT攻撃への対策に特に有効です。

脅威ハンティングについての詳細はこちらをご覧ください。

ファイアウォール、VPN、多要素認証、自動ソフトウェア更新、ネットワークアクセス制御といったサイバーセキュリティの基本は、組織に大いに役立ちます。これらのベストプラクティスに加えて、セキュリティ意識の文化を育み、サイバー脅威の特定と回避方法について従業員を教育し、組織の資産とデータを保護するための対策を講じる必要があります。

また、組織は自動脅威防御機能を活用し、マルウェアやランサムウェアといった一般的なサイバーセキュリティの脅威を、被害発生前にリアルタイムで特定・ブロックする必要があります。

自動脅威防御についての詳細はこちらをご覧ください。

インシデントレスポンスと復旧プログラムなしには、セキュリティシステムは完成しません。

サイバー攻撃が発生した場合、企業は可能な限り迅速に調査を行い、対応することが不可欠です。攻撃の影響を最小限に抑えるためには迅速な対応が不可欠です。

サイバー調査と対応についての詳細はこちらをご覧ください。

Elastic Securityは脅威に対する無制限の可視性を提供し、調査時間を短縮し、絶えず進化する脅威環境から企業を保護します。Elastic SecurityはSearch AI Platformを搭載しており、セキュリティチームは攻撃対象領域全体を可視化し、隠れた脅威を明らかにし、かつてないスケールで攻撃を阻止できます。

Elastic Securityでサイバー脅威の一歩先を行きましょう。