世界的なサイバー脅威は横ばい、一方でランサムウェア攻撃と生成AI関連のリスクが高水準に──CPR調査

　チェック・ポイント・ソフトウェア・テクノロジーズの脅威インテリジェンス部門であるチェック・ポイント・リサーチ（CPR）は、9月のグローバル脅威インテリジェンスレポート（Global Threat Intelligence Report）を発表した。

　9月、世界的なサイバー脅威環境は、全体的な攻撃件数において一時的に落ち着きを見せたものの、水面下ではランサムウェア攻撃と生成AIに関連するデータリスクが高水準に急増しているという。世界的に見ると、組織あたり週平均1,900件のサイバー攻撃に直面しており、これは8月と比較して4％減少したものの、前年同期比では1％増加。全体的な攻撃件数は横ばいに見えるものの、攻撃手法の進化、標的となっている業界の変化、生成AI関連のリスクの急速な拡大は脅威環境がますます複雑化し、変化し続けているとした。

最も大きな打撃を受けている業界

　9月に最も標的となったのは「教育・研究分野」で、1組織当たり週平均4,175件の攻撃を受けたという。前年比では3％減少したが、ほかのどの分野よりはるかに高い水準だとしている。

　2位は「通信業界」で、前年比6％増の週平均2,703件の攻撃を受けたという。僅差で続くのが「政府機関」で、週平均攻撃数は前年比6％減の2,512件。

　これらの傾向は、データを豊富に保有し、継続的なサービスの提供が極めて重要な業界が、サイバー犯罪者の注目を最も集めていることを改めて示しているという。特にハイブリッドワーク、クラウド統合、レガシーシステムが共存する環境において、デジタルインフラに対する依存と機密データの流れを突く攻撃が続いていると同社は述べている。

地域別の比較

• 地域別では、アフリカが引き続き最も高い平均攻撃件数を記録。ただし、件数は前年同期比10％減少し、組織あたり週平均2,902件
• ラテンアメリカがこれに僅差で続き、週平均2,826件（前年比7％増）、アジア太平洋地域（APAC）は同2,668件（前年比10％減）
• ヨーロッパは週平均1,577件（前年比1％減）、北米は1,468件（前年比17％増）となり、全地域の中で最も大きな増加率

　このデータは、地域による二極化が進んでいることを示すという。一部の地域では一時的な減少が見られる一方で、特に北米を中心に、高度なランサムウェア攻撃やデータ恐喝の再燃に直面しているとのことだ。

生成AIに対する露出：データリスクが拡大中

　企業ワークフローに生成AIが組み込まれることが多くなったことで、データ漏えいに関連して新しい攻撃ベクトルが登場したという。

　9月、企業ネットワークからの生成AIプロンプトの54件に1件が、機密データ漏えいの高いリスクをもたらし、生成AIツールを日常的に使用する組織の91％に影響を及ぼしたとしている。加えて、プロンプト全体のうち15％が、顧客データ、社内コミュニケーション、自社コードの断片など、機密性の高い可能性のある情報を含んでいたとのことだ。

　これは、生成AIの採用に関するガバナンスとセキュリティ管理が早急に必要とされていることを浮き彫りにしていると同社は述べる。十分な保護対策がない場合、生産性の向上の代償として、データセキュリティに関するリスクが大幅に上昇する可能性があるとしている。

ランサムウェア攻撃の深刻化

　9月には、ランサムウェアの活動が再び急拡大し、合計で前年同月比46％増となる562件のランサムウェア攻撃が報告されたという。

• 北米が最も影響を受けた地域であり、報告された全インシデントの54％を占め、ヨーロッパ（19％）がこれに続くとした
• 米国だけで全件の52％を占め、その後に韓国（5％）、英国（4％）、ドイツ（4％）と続くとしている

業界別のランサムウェア被害状況

• 最も被害件数が多いのは「建設・エンジニアリング」で、被害の11.4％を占めているという
• ビジネスサービスが11％と僅差で続き、製造業は報告された攻撃の10.1％を占めるとした
• 金融サービス（9.4％）、ヘルスケア（8.4％）、消費財（5.5％）などの他の主要分野も引き続き大きな標的となっており、ランサムウェアにおいて多様化が続いていることを反映しているとのことだ

注目すべきランサムウェアグループ

　脅威アクターのリークサイトから明らかになった現在の主要なランサムウェアグループは、次のとおり。

1. Qilin（14.1％）：RaaS（Ransomware-as-a-Service）グループの最大手のひとつであり、2022年以来、常時リークサイトに被害者を掲載しているという。RansomHubの活動停止後、QilinはRustベースの暗号化ツールと関連組織用の高度なRaaSパネルを活用して関連組織のネットワークを広げているとのことだ
2. Play（9.3％）：PlayCryptとしても知られるこのグループは、北米、南米、ヨーロッパの組織を標的とし、（特にFortinetのSSL VPNにおける）パッチ未適用の脆弱性を攻撃して、LOLBin（Living Off the Land Binary）で検出を逃れて活動しているという
3. Akira（7.3％）：2023年初めから活動しているAkiraのRustベースのバリアントは、今ではWindows、Linux、ESXiの各システムを標的にしているとのことだ。引き続きビジネスサービスと製造業を集中的に狙っており、検出と解析を遅らせるためランタイムコントロールと選択的暗号化を用いているとした

　これらのアクターは、ランサムウェアのエコシステムにおいて、プロフェッショナル化したRaaSモデルとツールの高速開発によって、短期間でオペレーションを拡大できるようになったことを示したとしている。

【関連記事】
・千葉県野田市、「kintone」ガバナンス強化基盤を構築──トヨクモクラウドコネクト製品導入
・Ｓ＆ＪとサイリーグHD、医療機関向けのサイバーレジリエンスサービスを提供へ　攻撃や障害後の体制支援も
・クラウドストライク、Pangeaの買収を発表　プラットフォームが拡張し包括的なAI検知と保護を提供