トレンドマイクロの2024年上半期サイバーセキュリティレポート：注目すべき脅威とは？

サイバーセキュリティの重要性が高まる中、トレンドマイクロが発表した2024年上半期サイバーセキュリティレポートが注目を集めています。

このレポートでは、最近のサイバー攻撃の傾向やリスクを明らかにし、企業や組織が直面する脅威を浮き彫りにしています。

以下に、特に重要なポイントを紹介します。

トレンドマイクロ2024年上半期サイバーセキュリティレポートの要点

過去からチェックしている方にとっては、特別な変化は無いと感じるでしょう。

感想としては、”いつもの”━━ですね。

Stable Diffusionの登場とChatGPTが大衆化してから、AIの悪用が目立つようにはなっているものの、セキュリティリスクは全世界でほぼ共通しています。

ランサムウェア攻撃の増加

ランサムウェア攻撃は、直近だとニコニコ含む角川グループの事件が有名。

こういう大企業が餌食になると、ニュースで大々的に報道されて明るみに出ますけど、実際は中小企業のほうでもかなりやられています。

2024年上半期だけで、国内法人組織が公表した被害は38件も。これは最大数だった2023年の上半期と同数であり、2021年以来、平均としては増え続けています。

ランサムウェアの感染経路も多岐に渡ります。

大半はウイルスが含まれたファイルを知らずに開けるとか、VPN経由だからと油断しているなど、セキュリティのリテラシー不足が原因であることが多いです。

クラウドリスクの高まり

クラウドにデータを保存して、チーム間でやり取りするのはもう当然の姿に。

ほとんどの企業は外部サービスに頼っていると思います。

クラウド内のセキュリティとデータは、運用企業が保証をしていますが、問題となるのはクラウドサービスへアクセスしているネット回線。

いくらVPN接続でも、現在主流なのは専用線を使わない仮想VPN。ルータの脆弱性を利用するハッキングによって、外部クラウドサービスの社内データにアクセスされるケースがあります。

GMOグローバルサインカレッジ

不正アクセス事例から学ぶ、VPN接続のセキュリティ強化 数年前から進む働き方改革や、新型コロナウイルス感染症の流行による新しい生活様式により、在宅でテレワークを行う際に社外から社内ネットワークにアクセスするためのVPN...

簡単な対策としては、IDとPASSだけの認証はやめること。

端末ID認証なり生体認証なり、唯一無二の証明書を加えた二段階認証にするのが効果的です。……まぁ手間になるから、怠って侵入されることに繋がる可能性もあるんですけどね。

AIの悪用

米国は大統領選挙が控えており、AIによるディープフェイクが以前から問題視されています。

日本国内では、岸田総理のフェイク動画が話題にもなりました。

NHKニュース

岸田首相の偽画像などがSNSで相次ぎ拡散 注意を呼びかけ | NHK 【NHK】岸田総理大臣の偽画像などがSNSで相次いで広がっています。写真が合成されたものや、実際の映像を切り貼りして異なる文脈で使…

変な話、この手のフェイクは自己判断できない人しか引っかからないんですよ。引っかかった人をリストアップすると、あやしい◯◯水がバカ売れするかもしれません。

とはいえ、AIの進化は驚異的なもので、クオリティも毎日向上していると感じます。

主な発信源はSNSですが、現在はSNSから情報を取るニュース番組も多いため、ユーザーと報道も情報リテラシーがより重要視されていますね。

サプライチェーンリスク

サプライチェーンリスクは主に、クラウドサービスの情報漏洩が挙げられます。

他には企業の顧客データ流出など、端末やネットワークから個人情報が盗まれるリスクが増えているというわけです。

IPA 独立行政法人 情報処理推進機...

クラウドサービスのサプライチェーンリスクマネジメント調査 | 情報セキュリティ | IPA 独立行政法人 情報... 情報処理推進機構（IPA）の「クラウドサービスのサプライチェーンリスクマネジメント調査」に関する情報です。

最も懸念されているのは、データセンターに直接攻撃をするパターン。

サーバー上のデータは、世界のどこかにあるデータセンターに存在しているわけで、そこで漏洩が発覚すると、影響は国内だけでなく世界に飛び火します。

損害額もパないことになるので、クラウドサービス側はガチガチに固めているのですが、全く悪意のない何も知らない人が、クラウド上でウイルスを起動させるリスクもあります。

なので、インターネットを利用するすべての人が、セキュリティの基礎知識（リテラシー）は必須で学ぶべきじゃないか？━━みたいな論も出ているくらい、近年は懸念されていますね。

Check Point Software

データセンターの脅威と脆弱性 - チェック・ポイント ソフトウェア 現代のデータセンターが直面している重大な脅威と脆弱性、および効果的なセキュリティ戦略を実装することの重要性について説明します。

情報漏洩の原因1位は「人為的ミス」

こちらのセキュリティ投資レポートもなかなか面白い━━。

ざっくり要点をまとめると、アンケート対象企業の中で、情報漏洩対策をしているのは半数以下という結果で、半分以上はノーガード戦法という結果の内容です。

プレスリリース・ニュースリリース...

【企業の情報セキュリティ投資】約10社に1社の割合で情報漏洩が起こり得る！？最も多い原因は「人為的ミス... NSSスマートコンサルティング株式会社のプレスリリース（2024年9月20日 11時00分）【企業の情報セキュリティ投資】約10社に1社の割合で情報漏洩が起こり得る！？最も多い原...

資料はグラフがあって非常に見やすいです。

反対に『情報漏洩の対策をしていない』と回答した方に「対策を行っていない理由はなんですか？（複数回答可）」と質問したところ、『小規模な企業だからリスクは低いと思うから（46.1％）』という回答が最も多く、次いで『いままで情報漏洩していないから（30.5％）』『金額が高そうだから（30.3％）』となりました。

名のしれた大企業は、取引相手や顧客の情報が数多く保管されているし、むしろ従業員への個別メール攻撃も有効だから、狙われやすい傾向はあります。

でもアクセス段階での対策はしっかりしているため、逆に対策が遅れている中小のほうが、セキュリティもちょろいし、特にランサムウェアの対象にしやすいリスクがあります。

わりと「セキュリティソフトがあるから大丈夫！」と思っている人も少なくない。

でも最新のウイルスを検知するためには、誰かが最初に使わなきゃいけないわけです。

まとめ：リスキリングは情報セキュリティを優先がいいのでは？

日本は先進国でもITリテラシーが遅れているので、国をあげてリスキリング対象にするべきじゃないかとは思う。

IPAには「情報セキュリティマネジメント試験」の資格があります。

IPA 独立行政法人 情報処理推進機...

情報セキュリティマネジメント試験とは | 試験情報 | IPA 独立行政法人 情報処理推進機構 情報処理推進機構（IPA）の「情報セキュリティマネジメント試験とは」に関する情報です。

IT系資格では、ITパスポートと並んで簡単なほうですし、基礎知識がまるっと入るので、テキストを読み込むだけでもおすすめ！