サイバー犯罪者は、「トリック・オア・トリート」というフレーズに新たな意味を与えるのが大好きです。
サイバー攻撃、 フィッシング、ランサムウェア、データ侵害など、悪者は企業や消費者に大混乱を引き起こすのが大好きです。しかし、彼らの行為は、ハロウィーンの夜に期待されるいたずらと片付けられるものではありません。その影響は、被害者にとってはるかに高くつき、壊滅的です。
これを踏まえて、身の毛もよだつようなサイバー犯罪の事実 13 点を探ってみましょう。
悪者がやって来たとき、彼らが狙っているのはバターフィンガーやリースのカップではないことは間違いありません。彼らが狙っているのはキャンディーよりもはるかに大きな報酬です。数百、数千、あるいは数百万ドルの話です。Chainalysis のレポートによると、 2023 年に悪者が受け取ったランサムウェアの支払いは11 億ドルを超えています。
比較すると、2023年に彼らが受け取った身代金の総額は、F-22ラプター戦闘機7機以上を購入できたことになる。これらの戦闘機は1機あたり1億4,300万ドルという高額であることに留意してほしい(空軍の2022年8月のデータによる)。
うわあ…ということは、多くの企業がランサムウェアの支払いに大金を支払ったということでしょう。次のサイバー犯罪の事実に基づくと、必ずしもあなたが思っているほど多くはありません…
簡単に言えば、ランサムウェアの要求は企業の生命力を奪い去る可能性がある。Zscalerによると、ある企業は、重要インフラ部門の企業を狙う傾向のある Dark Angels ランサムウェア グループにこの巨額の金額を支払ったという。
ちなみに、この身代金1回あたりの費用は、GoogleがAI Opportunity Fundに拠出した金額と同額だ。
原因がAIベースの脅威かAI駆動型の脅威かに関わらず、 Biocatchが調査した組織の半数以上が2023年に500万〜2500万ドルの損害を被ると予測している。回答者の12%が少なくとも2500万ドルの損害に直面していると答えている。これは小銭の話ではなく、アンジェリーナ・ジョリーのハリウッドの邸宅の推定費用である。
残念なことに、これらの脅威による損失がなかったと回答したのはわずか 3% で、97% が何らかの形で損失を被ったことになります。
米国連邦取引委員会 (FTC) のデータによると、 高齢者が報告した損失は 2023 年に 19 億ドルを超えています。ただし、この数字は報告された損失のみを表しています。同委員会のレポートによると、高齢者が実際に詐欺で被る損害は610 億ドルを超える可能性があります。なぜでしょうか。多くの詐欺が報告されていないためです。
詐欺に遭い、10万ドルの損失を被ったと報告した高齢者の数は、「2020年以降3倍以上」増加した。
FBIは、サイバー犯罪者がサイバー攻撃を実行するために生成AI技術を利用するケースが増えていると警告している。特に、生成AIはさまざまな詐欺行為に利用されている。
たとえば、AI ベースの仮想誘拐詐欺が増加しています。この種のシナリオでは、犯罪者はビデオやオンライン プロファイルから収集したデータを使用して、個人の情報や音声サンプルを合成し、実在の人物になりすまします。生成 AI テクノロジを使用して、リアルに見えるディープフェイクの写真、ビデオ、音声コンテンツを作成し、友人、家族、同僚、その他の愛する人など、知っている人や愛する人が危険にさらされているように見せかけることができます。
その完璧な例は、AI ベースの誘拐詐欺に見ることができます。以下は、セントルイス郡の人々をターゲットにした実際の AI ベースの電話詐欺に関するビデオです。
Biocatch の調査回答者の 72% (前述のレポート) は、従来の詐欺問題に加えて、悪意のある人物が合成 ID を使用して金融取引を実行したり、ローンやクレジットカードを申請したり、新しい銀行口座を開設したりしていることも指摘しています。
合成 ID が何なのかよくわからないですか? 基本的には、実際の個人識別情報 (PII) と偽の個人識別情報を組み合わせて作成される新しい ID です。
善良な人々にとって残念なことに、これらの合成された偽の ID は通常、従来の詐欺検出ツールを欺くため、フラグが立てられず、気付かれない可能性があります。Biocatch の調査によると、組織は「3 か月以内にこれらの合成 ID をほぼ発見できる」ものの、その期間内に多大な損害が発生する可能性があることがわかっています。
24 時間以内にこれらのシンセ ID を識別できると回答したのはわずか 16% でした。
合成 ID は企業、特に金融機関を悩ませています。トランスユニオンの 2024 年オムニチャネル詐欺の現状レポートのデータによると、さまざまな種類のクレジットカードやローンを提供する米国の貸し手は、2023 年末に過去最高の口座数を開設しました。
2023年末の推定エクスポージャーは31億ドルで、2022年末の28億ドル、2020年末の21億ドルから増加しています。
高度なフィッシング攻撃は、特に生成 AI や洗練されたディープフェイク技術と組み合わせると、サイバー犯罪者にとって非常に効果的な手法となります。これらのインテリジェンス ツールは、ソーシャル エンジニアリング攻撃に新たな命を吹き込み、攻撃をよりターゲットを絞った、より本物らしく効果的なものにします。
Token と Datos Insights の調査に関するThe Hacker News のパートナー記事は、この高まる懸念をうまくまとめています。
「フィッシングやランサムウェア攻撃はかつては熟練したサイバー犯罪者だけの領域でしたが、生成AIや新たなサイバー犯罪ツールの登場により、ダークウェブにアクセスできる人なら誰でも、つまりコンピューティングデバイスとインターネット接続を持つ人なら誰でも、こうした攻撃を仕掛けられるようになりました。」
米国土安全保障省の情報分析局は、 2025年国土脅威評価において、今後1年間におけるこれらの技術の国家安全保障への影響を強調している。
「2025年には、悪意のあるサイバー攻撃者が生成AIの進歩を利用して、マルウェア、脆弱性スキャン、エクスプロイトツールの開発能力を段階的に高め、ソーシャルエンジニアリングの戦術と作戦を改善し続けると予想されます。テクノロジーによって技術的なハードルが下がり、攻撃者がターゲットオーディエンス向けに効果的にパーソナライズしてより信頼性の高いメッセージを配信する能力が向上するため、敵対国は悪意のある影響力キャンペーンにAIを使用し続けるでしょう。」
Perception Point の「2024 年年次レポート: サイバーセキュリティのトレンドと洞察」レポートのデータによると、ビジネス メール詐欺 (BEC) 攻撃の数は、2022 年の 1% から 2023 年には全攻撃のほぼ 19% に増加しています。
同社によれば、なりすまし、フィッシング、ソーシャルエンジニアリングの手法を駆使した BEC 攻撃は、生成 AI によって「強化」されているという。さらに、 同社が以前にスポンサーとなった調査(Osterman Research が実施) では、報告によると組織の 91.1% が GenAI 強化メールに起因するサイバー攻撃を経験したことが明らかになった。
サイバー犯罪者は、スピードの必要性を感じるためにフライトスーツの衣装とパイロット用メガネを身につける必要はありません。データ流出に関しては、パロアルトの Unit 42 インシデント対応チームは、それがかつてないほど速く発生していると報告しています。
「今年、私たちが経験したケースのほぼ 45% で、攻撃者は侵入後 1 日以内にデータを盗み出しました。つまり、ほぼ半数のケースで、組織は攻撃を阻止するために数時間以内に対応する必要があるということです。」
つまり、多くの場合、組織が対応チームを編成して計画を立てる前に、攻撃者が情報の流出を実行または完了していることになります。
RockYou2024 の漏洩を覚えていますか? ObamaCare という名前で知られる脅威アクターによって共有されたそのファイルには、なんと 100 億個のパスワードが含まれていました。
では、パスワードは積極的に変更すべきなのでしょうか?米国国立標準技術研究所 (NIST) の最新版のデジタル ID ガイドラインによると、必ずしもそうではありません。
パスワードが漏洩または侵害されたかどうかわからない場合は、CyberNews のパスワード漏洩チェッカー ツールをチェックしてください。以下は、パスワード NoWayJose の結果の例です。
2024 年は多くの点で記録的な年となりましたが、これまでに報告されたデータ侵害の件数もその 1 つです。Identity Theft Resource Center (ITRC) の報告によると、データ侵害の被害者数は 2023 年第 2 四半期から 2024 年第 2 四半期にかけて前年比で 1,170% も増加しました。いいえ、これはタイプミスではありません。正しく読みました。
ITRC は、2024 年上半期のデータ侵害およびその他の侵害は合計 1,571 件に上り、10 億 700 万人以上の被害者に影響を与えたと報告しています。ただし、推定 10 億人以上の被害者には、大規模な Change Healthcare 関連のサプライ チェーン攻撃の被害者は含まれていないとすぐに指摘されます。この攻撃は「相当数の米国住民に影響を与える」可能性があります。
しかし、自分の情報が漏洩したかどうかはどうすればわかるのでしょうか? 確認する方法の 1 つは、 haveibeenpwned.comなどのオンライン データベースを確認することです。このツールを使用すると、次のようになります。
管理されていないネットワーク デバイスが組織に重大なセキュリティ リスクをもたらすことは周知の事実です。ただし、 Microsoft の 2024 年デジタル防御レポートによると、ランサムウェア攻撃が身代金要求段階に進んだ場合、管理されていないデバイスが初期アクセス ベクトルとして、または資産をリモートで暗号化する手段として使用されるケースが圧倒的に多いことが示されています。
「成功したケースの 70% でリモート暗号化が確認され、そのうち 92% はネットワーク内の管理されていないデバイスから発生しており、組織がデバイスを管理下に登録するか、管理されていないデバイスをネットワークから除外する必要があることが強調されています。」
そのため、企業がネットワーク デバイスを認証して管理することは非常に重要です。それが不可能な場合は、デバイスをネットワークから削除して、悪用される可能性を回避する必要があります。
世界中のサイバーセキュリティの専門家、議員、組織が、これらの悪質なサイバー犯罪行為に対抗しています。サイバーセキュリティ防御を強化するために、AI を活用したソリューションにますます注目が集まっています。Darktrace の報告によると、同社が調査した 1,800 人のセキュリティ リーダーと実務者のうち 95% が、AI を活用したセキュリティ ツールによって、サイバー脅威と戦う組織のスピードと効率が向上すると回答しています。
ここでは、業界リーダーがサイバー犯罪活動を抑制するために率先して取り組んでいる他の方法をいくつか紹介します。
相互 TLS (mTLS または双方向認証とも呼ばれます) は、デジタル証明書を使用して、ある人物が本人であることを証明します。これは、ネットワーク、アプリ、その他のシステムにリモートでアクセスしている個人やデバイスを認証する場合に特に便利です。
Google によると、証明書ベースのアクセスでは相互 TLS を使用して、「クラウド リソースへのアクセスを承認する前に、ユーザーの資格情報がデバイス証明書にバインドされていることを確認します」。基本的には、誰かが Google のクラウド サービスにアクセスしようとしたときに、デジタル証明書をデバイス識別子および検証子として使用することです。ブログ投稿によると:
「たとえ攻撃者がユーザーの認証情報を侵害したとしても、対応する証明書を持っていないため、アカウントへのアクセスはブロックされたままになります。これにより、盗まれた認証情報は役に立たなくなります。」
「2024年サイバー犯罪におけるマネーロンダリング対策法案」 (S.4830)と題された新たな米国上院法案は、米国シークレットサービス機関に以下の調査権限を与えることを目的としています。
「デジタル資産取引に関連するさまざまな犯罪、無認可の送金事業、構造化取引、金融機関に対する詐欺などの国際的なサイバー犯罪活動に対抗するため、およびその他の目的のため。」
この法案は7月末に提出された。可決されれば、新法は合衆国法典第18編に基づくシークレットサービスの捜査権限を拡大することになる。また、政府監査院(GAO)に、2020年マネーロンダリング防止法第6102条の調査と、法執行機関がマネーロンダリング関連のサイバー犯罪をどの程度特定し、阻止しているかの評価を報告するよう義務付けている。