2024年版 サイバー攻撃によるコストの展望と対策

• サイバー攻撃による世界の損害額は、2023年には8兆ドル、2024年には9.5兆ドル、2025年には10.5兆ドルに達すると予想されている。
• IBMが発表した最新の「データ侵害のコストに関する調査」レポートによると、データ侵害の件数は過去最高を記録しており、サイバー攻撃による平均損失額は445万ドルに達している。医療業界ではデータ侵害による平均損失額が最も高く、年間1,093万米ドルに上ると報告されている。
• 米国は毎年、世界全体で平均948万米ドルのデータ侵害による損失を出しており、次いで中東は、年間807万米ドルの損失を出している。
• 個人もサイバー脅威を受けており、特にフィッシングやソーシャルエンジニアリング攻撃の影響を受けやすい。 
• サイバー犯罪に対抗するためのデジタル対策には、強力な認証プロトコル、VPNによるデータの暗号化、定期的なソフトウェアの更新、一般的なサイバー攻撃に対する警戒などがある。

サイバー攻撃は頻度と巧妙さを増し、企業、政府、個人に重大な脅威をもたらしています。2023年には、データ侵害から敵対的なアカウントの乗っ取りまで、サイバー攻撃による被害額は全世界で8兆ドルに上ると推定されていました。調査会社Cybersecurity Venturesの報告によると、今年はこの数字が9兆5000億ドルにまで上昇すると予想されています。AI技術の台頭は、このコストをさらに押し上げる可能性が高く、2025年には11％増の10.5兆米ドルになると見込んでいます。

Statistaが業界リーダーを対象に実施した調査によると、サイバー攻撃はビジネスにとって最大の脅威のひとつであり、次いでビジネスの中断、マクロ経済の発展への影響があること明らかになりました。2018年から2023年までの調査によると、回答者の34％がサイバー事件を最大の懸念事項としています。

企業が脅威を感じているのに加え、消費者への影響も同様に憂慮すべきものです。データ侵害、個人情報の盗難、不正取引などのサイバー脅威は個人に直接影響を及ぼし、経済的損失、プライバシーの侵害、長期にわたる影響につながります。

今後、私たちはサイバー攻撃によってどれだけの損害を被る可能性があるのか

デジタル脅威はダイナミックで複雑な性質があるため、今後数年間のサイバー攻撃による経済的損害を正確に予測することは困難です。しかし、Cybersecurity Venturesの洞察は、過去5年間を振り返り、将来予測の枠組みを提供してくれています。

出典：*Cybersecurity Ventures **Statista ***当社予測

これらの数字は、技術の進歩、業界の動向、サイバー犯罪攻撃のコストに影響を与える可能性のある世界的な出来事を考慮したものです。攻撃者も防御者も常に新しいツールやテクニックを開発しており、攻撃と軽減策両方のコストと効果に影響を与えています。同時に、地政学的状況や経済情勢がサイバー攻撃の頻度や性質に影響することもあり、コスト予測をさらに複雑にしています。

しかし、損害賠償は誰が支払うのでしょうか？

IBMの「2023年データ侵害のコスト」レポートによると、それは顧客です。サイバー攻撃を受けた企業は、一般的に、こうした事故によるコストをサービスやサブスクリプション価格の上昇という形で消費者に転嫁しています。 

サイバー脅威が私たちにもたらす可能性のあるコストや影響を減らす方法を理解するためには、さまざまなタイプの攻撃、仕組み、そして最大の被害者は誰なのかを理解する必要があります。

進化するサイバー攻撃の状況

増加するデータ侵害

データ侵害は、企業や個人に影響を与える最も一般的なサイバー攻撃のひとつです。IBMの同報告書では、これらの事件は昨年新たなピークに達しました。世界の平均データ侵害コストは2020年以降15.3％増加し、445万米ドルに達しました。

アメリカでは、状況は特に悲惨です。2023年のデータ侵害の平均コストは米国が最も高く、950万米ドルを記録しました。 

2023年12月は、443件のセキュリティインシデントが公表され、個人顧客情報を含む16億件以上の企業記録が漏えいし、米国の消費者にとって特に深刻な年となりました。主なデータ侵害には、15億件以上の記録が影響を受けたReal Estate Wealth Network、約3600万人に影響を与えたComcast Cable Communications (Xfinity)、700万人の顧客が影響を受けたDelta Dental of California、約470万人の個人情報が流出したIntegris Healthなどが含まれます。

世界全体では、中東が2022年から8.2％増の平均807万米ドルとなり、影響を受けた2位の地域でした。一方、カナダとドイツは平均コストが減少し、カナダは9％減の513万ドル、ドイツは3.7％減の467万ドルでした。日本もわずかに減少しました。この減少は、サイバー攻撃をよりよく抑制するために各国政府が新たな法律や規制を課したためと考えられます。

データ侵害はサイバー脅威の重要な側面ですが、サイバー攻撃の範囲はそれだけにとどまりません。今日のサイバー犯罪者やハッカーは、AIや機械学習のような高度なテクノロジーの力を活用し、より巧妙でとらえどころのない攻撃を実行しています。

エスカレートするランサムウェア

ランサムウェアは、金銭が支払われるまでコンピュータシステムへのアクセスを遮断するように設計された悪意のあるソフトウェアの一種です。30年の歴史の中で大きく進化し、その数は増え続けています。2023年には、ランサムウェアのケースが前年から55％増加し、4,368件が報告されました。 

しかし、このランサムウェア攻撃の驚くべき増加の原因は何にあるのでしょうか？詳しくは後述します。 

心を支配するソーシャル・エンジニアリングの技術 

フィッシングのようなソーシャルエンジニアリング攻撃は、システムの脆弱性よりもむしろ人間の心理を悪用するものであり、引き続き流行しています。こうした攻撃は通常、個人を欺いて機密情報を漏らさせたり、制限されたシステムへのアクセスを許可させたりします。人間の要素は、多くの場合サイバーセキュリティの最も脆弱な部分なのです。

リモートワークやフレキシブルワークへの移行は、こうしたリスクをさらに高めています。サイバー犯罪者は、自宅のネットワークやセキュリティが不十分な会社のリモートアクセスシステムの脆弱性を狙います。個人所有のデバイスを業務に使用することも、セキュリティ侵害のリスクを高める行為です。例えば、個人所有のデバイスに単純なフィッシングメールが送信されただけで、企業ネットワーク全体への不正アクセスにつながる可能性があります。

スマートデバイスとモノのインターネット (IoT) は、戦いの場をさらに広げています。これらのデバイスは便利な反面、強固なセキュリティが欠如していることが多く、個人のプライバシーと企業のセキュリティの両方を脅かす攻撃を受けやすくなっています。例えば、侵害を受けたスマートホームデバイスは、攻撃者が機密性の高い個人情報や仕事関連の情報にアクセスするための入り口となる可能性があります。

サプライチェーン攻撃によるビジネスセキュリティの崩壊

2024年、サイバーセキュリティ対策は、高度化・大規模化するサプライチェーン攻撃の脅威の影響を大いに受けています。サプライチェーン攻撃者は通常、サプライチェーンの最も脆弱なポイントを狙います。 

セキュリティ対策がそれほど厳しくないサードパーティベンダーやサプライヤーが狙われることが多く、いったん弱点が侵害されると、攻撃者はそれを足がかりに、より安全な大規模システムにアクセスします。これには、ソフトウェアのアップデートに悪意のあるコードを注入したり、盗んだ認証情報を使用して安全なネットワークにアクセスすることなどが含まれます。安全なデータ転送に使用されるマネージドファイル転送ソフトウェアであるMOVEitは、2023年にサプライチェーン攻撃の犠牲になりました。このソフトウェアは、医療、金融、テクノロジー、政府などの業界で、1,700社のソフトウェア会社と350万人の開発者によって使用されています。 

ディープフェイクとAIサイバーセキュリティの脅威の出現

米国では2024年は重要な選挙の年であり、AIが生成する脅威、特にディープフェイクの台頭が安全保障上の大きな懸念として浮上しています。2023年9月にスロバキアで行われた総選挙は、ディープフェイク技術が選挙にどのような害を及ぼしうるかを示す顕著な例となりました。 

極右政党スロバキア国民党は、この大激戦の議会選挙を前に、進歩スロバキアのリーダー、ミハエル・シメチカ氏に関する偽情報を広めるために、ディープフェイクの音声メモやビデオを利用しました。ディープフェイクでシメチカ氏の声を変え、不正選挙やビールの値上げ計画について話しているように偽装しました。これらのディープフェイクが最終的な選挙結果に与えた正確な影響はまだ不明ですが、この事件はこのテクノロジーの強力な破壊力を浮き彫りにしました。

この脅威を裏付けるように、Google Cloudの2024年サイバーセキュリティ予測によると、ジェネレーティブAIはフィッシングメールの検知を複雑にし、犯罪行為の規模と効率を高める可能性があるといいます。AI技術へのアクセスのしやすさと継続的な進歩によって、AIは攻撃者の手ごいツールになっています。

一般的な6種類のサイバー攻撃  

サイバー攻撃に対抗するためには、サイバー攻撃が様々な業界や個人に与える影響を理解することが重要です。ここでは、最も一般的なサイバー攻撃の手口、その実行方法、企業や個人への影響について掘り下げます。

これらの攻撃はそれぞれ、実行方法と影響力が独特であり、意図したターゲットに対して特に効果的です。

フィッシング

フィッシングとは、サイバー犯罪者がメール、テキストメッセージ、その他の通信チャネルを通じて合法的な組織になりすまし、機密情報を盗む手段です。このような攻撃は、ユーザーを欺き、悪意のあるリンクをクリックさせたり、危険な添付ファイルをダウンロードさせたりすることが多く、個人情報の盗難、金銭詐欺、セキュリティで保護されたシステムへのアクセスなどにつながります。フィッシングは最も一般的なメールを使った脅威であり、全メール攻撃の39.6％を占めています。フィッシングは、システムの脆弱性よりもむしろ人為的ミスを狙うため、特に危険です。 

ランサムウェア

ランサムウェアは、被害者のファイルを暗号化し、身代金を支払うまでアクセス不能にする悪意のあるソフトウェアです。この種のマルウェアは世界的に急増しており、2023年には72.7％の組織が感染すると見られています。ランサムウェア攻撃の平均コストは約454万ドルで、復旧コストは平均185万ドルです。 

サイバー犯罪者は継続的に手口を強化し、より洗練された暗号化技術を使用することで、被害者が身代金を支払わずにデータを復元することをますます困難にしています。さらに、暗号通貨の台頭は匿名取引を容易にし、攻撃者が追跡されることなく支払いを受けることを容易にしています。

ランサムウェア攻撃は、個々のシステムを標的とするものから、重要なインフラや大企業を含むネットワーク全体を麻痺させるものへと変化しており、財務および業務に多大な混乱をもたらしています。このような攻撃の影響は、直接的な金銭的損失にとどまらず、長期的な風評被害や、被害を受けた組織に対する顧客の信頼の喪失につながることも少なくありません。

DDoS攻撃（分散型サービス拒否攻撃）

DDoS攻撃は、ウェブサイト、サーバー、ネットワークなどの単一のサービスを標的にコンピューターシステムを使用するサイバー攻撃の一種です。目的は、複数のソースからのトラフィックでオンラインサービスを圧倒し、利用できなくすることです。例えるなら、多くの車で渋滞し、通常のトラフィックが目的の目的地にたどり着けなくなるようなものです。

サイバーセキュリティ企業のCloudflareによると、2023年にはDDoS攻撃の頻度と強度が大幅に増加しました。第4四半期は、ホリデーシーズン中に小売、出荷、広報のウェブサイトを標的としたネットワーク層のDDoS攻撃と全体的なDDoS活動が前年同期比で117%増加しました。 

マルウェア

マルウェアとは悪意のあるソフトウェアの略で、ウイルス、ワーム、トロイの木馬など、さまざまな形態の有害なソフトウェアを指します。これらのプログラムは、コンピュータ、システム、ネットワークに侵入し、損傷を与えたり無効にしたりして、サイバー犯罪者が攻撃対象者の行動を盗み見ることを可能にします。

マルウェア攻撃の一般的な例として、ローダー攻撃があります。ローダー攻撃とは、「ローダー」と呼ばれる小型の、多くの場合合法的に見えるプログラム（PDFリーダーなど）を活用し、被害者のコンピュータ上でマルウェアを密かに展開、実行する、ステルス的で多段階のサイバー攻撃です。このプログラムの役割は、正規のツールやソフトウェアのように見せかけながらバックグラウンドでマルウェアをダウンロードすることであるため、「ローダー」と呼ばれます。

ユニークなマルウェアプログラムの種類の総数は10億を超え、トロイの木馬は全マルウェアの58%を占めています。マルウェアは、不正なデータアクセス、システム損傷、スパイ行為などに繋がる可能性があります。

二重脅迫型ランサムウェア

二重脅迫型ランサムウェアとは、サイバー犯罪者が機密データを盗み出し、身代金を払わなければデータを公開しないと脅す手段です。この手口は、2023年のサイバー攻撃の27%に上りました。データへのアクセスを阻止するランサムウェアとは異なり、データ恐喝は実際にデータが盗まれ、盗まれたデータの公開や売却される脅威をもたらします。

二重脅迫型攻撃は通常、データ侵害または流出によって行われます。最初のステップは、攻撃者がシステムにアクセスし、データを盗むことです。データが盗まれると、攻撃者のサーバーに転送され、被害者の手の届かないところにコピーが作成されます。その後、攻撃者はターゲットに連絡し、彼らがデータを持っていることを明らかにし、要求を伝えます。情報を公開すると脅したり、最高入札者に売ったり、なりすましや詐欺など他の悪意のある目的に利用する可能性があります。 

残念ながら、二重脅迫とランサムウェア攻撃の両方に対して身代金を支払っても、データを取り戻せる保証はなく、犯人がサーバーからデータを削除してくれる保証もなありません。 

中間者攻撃

中間者攻撃は、ハッカーが、互いに直接通信している2つの当事者間の通信を密かに傍受し、場合によっては改ざんすることです。これらの攻撃は、ブラウジング、メール、あるいは安全な取引など、あらゆる形態のオンライン通信で発生する可能性があります。中間者攻撃は、個人情報、ログイン認証情報、財務情報の盗難につながる可能性があり、個人と企業の両方に重大なリスクをもたらします。 

中間者攻撃は、2023年のWi-Fi悪用活動の35％を占め、特に安全性が低いことが多い公共Wi-Fi環境において蔓延しています。 

サイバー攻撃に対して最も脆弱なのは？ 

サイバー攻撃はあらゆる個人や企業を標的にする可能性がありますが、業務の性質や扱うデータの機密性から、より影響を受けやすい分野もあります。医療、金融、小売など、人々の日常生活に欠かせない産業は特に脆弱です。 

 医療と金融

これらの業界は、重要なデータを保有しています。医療記録には、社会保障番号や病歴などの機密個人情報が含まれているため、なりすましや保険金詐欺、恐喝の格好の標的となります。クレジットカード情報のような決済情報は収益化可能であり、不正取引や犯罪組織での転売のために狙われています。

2023年、医療分野は13年連続でデータ侵害の平均コストが最も高く、そのコストは1,093万ドルに達しました。これは、潜在的な金銭的損失だけでなく、重要なサービスの中断という点でも、このセクターの脆弱性を強調しています。クラウドと従来型のテクノロジープラットフォームの両方への依存は、侵害のリスクとコストを増大させています。

製造業

製造業もまた、特にランサムウェア攻撃の主要な標的であり、2023年にはインシデント全体の30％を占めました。この業界が影響を受けやすいのは、操業停止時間に対する許容度が低いことに起因しており、企業は迅速に生産を再開するために身代金を支払う可能性が高くなっています。

IT産業

IT部門は、必要不可欠なサービスを維持する上で中心的な役割を担っており、デジタルインフラのバックボーンであるという事実からも、重要な標的となっています。大きな影響を与える可能性があるため、サイバー犯罪者にとって有利な標的です。

注目度の高い個人

産業界にとどまらず、政治家、富裕層、影響力のある人物も、特にディープフェイクやデータ搾取攻撃の危険にさらされています。前述のスロバキアの選挙事件は、この種の攻撃が世論操作や個人の信用失墜にいかに利用されうるかを示すものです。

様々な業界に対するこうした脅威の高まりは、個人も影響を受けることを考慮した強固な対策の必要性を浮き彫りにしています。

サイバー攻撃への対策

増大するサイバー脅威に対応するため、サイバーセキュリティへの投資が顕著に増加しています。例えば、DigitalOceanは、米国の企業の37％がサイバーセキュリティへの支出を増やす予定であると報告しています。この急増の背景には、先進的なセキュリティソフトウェアの採用、レガシーシステムの近代化、そしてジェネレーティブAIによる新たな脅威の出現があります。

しかし、サイバー脅威と闘う責任は企業だけに課せられたものではありません。政府の規則や政策も、包括的な国家サイバーセキュリティ戦略を形成しています。これには、強力なサイバー防御の開発、官民の情報共有パートナーシップの育成、サイバーセキュリティインフラへの投資などが含まれます。

さらに、行政は、熟練したサイバーセキュリティ人材を育成するための教育・訓練プログラムを支援し、厳格なサイバーセキュリティ基準を施行する法律を導入することができます。国際協力の顕著な例として、オーストラリア、ドイツ、カナダ、オランダ、ニュージーランド、英国、米国による共同イニシアチブがあり、ソフトウェア開発企業やエンジニアがより安全な技術製品を開発できるよう導いています。サイバー脅威はしばしば国境を越えるため、効果的な抑止と対応にはグローバルな連携が必要であり、このようなパートナーシップは不可欠です。

サイバー攻撃から身を守るためにできること

サイバーセキュリティの責任は、企業や国のリーダーだけにあるのではなく、個人にもあります。サイバー攻撃を防ぐためには、技術的対策、意識向上、強固なセキュリティポリシーの遵守を含む包括的なアプローチが必要であり、誰もがその役割を担っています。個人として、私たちはいくつかの重要な行動を通じて、自らのサイバー防御を大幅に強化する力を持っているのです。 

1. 強力な認証プロトコルを採用する

強力なパスワードは、サイバー攻撃に対する防御の第一線です。ほとんどのセキュリティ専門家は、仕事でも個人アカウントでも、複雑で長いパスワードを安全に生成し、保存するためにパスワードマネージャーを使用することを推奨しています。

二要素認証 (2FA) や多要素認証 (MFA) のような強力な認証手段を強制することは、あらゆるアカウントに追加のセキュリティレイヤーを追加する素晴らしい方法です。これにより、ログイン認証情報が漏洩した場合でも、不正アクセスを確実に防ぐことができます。

2. VPNの利用を検討する

VPNをダウンロードしたからといって、フィッシングのような一般的な攻撃から逃れられるわけではありませんが、いくつかの点でデジタルセキュリティが大幅に強化されます。VPNは暗号化と安全な接続を提供し、カフェやホテル、空港の公共Wi-Fiのような信頼性が低いネットワークでは特に有効です。これにより、中間者攻撃やDDoS攻撃から接続を保護できます。

ポスト量子暗号化アルゴリズムは、「保存しておいて後で復号化する」ような抑制的な脅威からデータを保護するのに特に効果的です。これにより、オンラインデータの即時保護と将来的な保護の両方が実現します。私たちは、ExpressVPNのような包括的なソリューションを選ぶことをお勧めします。包括的なソフトウェアには、パスワードマネージャーのようなツールが含まれていることが多く、強固な認証基準を満たし、パスワードをより安全に管理するのに役立ちます。

3. すべてのソフトウェアを定期的にアップデートする

ソフトウェアのアップデートとパッチは、オペレーティングシステム、アプリケーション、その他のソフトウェアコンポーネントの既知の脆弱性に対処するために設計されています。サイバー犯罪者はしばしば、古いソフトウェアの脆弱性を悪用して不正アクセスを行ったり、悪意のあるコードを展開したりします。組織は、ソフトウェアのアップデートを常に最新の状態に保つことで、このような悪用のリスクを大幅に減らすことができます。

4. 用心することが身を守ることに繋がる

被害に遭わないためには、警戒を怠らず、最新の詐欺の手口について情報を得ておくことが重要です。詐欺の多くは、フィッシングメールやマルウェアを通じて、氏名、住所、社会保障番号などの個人情報を入手することを目的に行われています。そのため、詐欺の餌食にならないよう身を守るためには、こうした詐欺の兆候を熟知しておくことが重要です。 

詐欺のターゲットになっているサインとしては、見知らぬ人からのテキストメッセージやメールに、知らないリンクが含まれていたり、タイプミスや文法の間違いがあったりすることが挙げられます。 

企業もまた、ソーシャルエンジニアリングやフィッシングのテクニックを理解するよう、従業員に訓練を施す必要もあります。

5. 疑わしいオンライン活動を報告する

不審な行動を報告することは些細なことに思えるかもしれませんが、その影響は甚大です。IBMの報告書によると、企業がデータ侵害を特定するのには平均204日かかり、その後、データ侵害を封じ込めるのにさらに73日かかります。不審な行動を早期に警告することで、企業は侵害をより迅速に検知し、対応することができます。これにより、侵害を受ける期間が短縮されるだけでなく、損害の範囲も限定的になる可能性があります。