2020年は、フィッシング攻撃が2倍になり、新型コロナウィルス関連の詐欺が猛威を振るい、ランサムウェアが大混乱を引き起こしました。FBIの2020年インターネット犯罪報告書(IC3)によると、フィッシングは、不払いや不着、恐喝、個人情報の漏洩、個人情報の窃盗などによって最も多くの被害者を出し、2020年のサイバー犯罪トップ5の首位に立ちました。以下は、今年最も注目を集めたサイバー犯罪の統計データです。
ビジネスメール詐欺が最も損害額の大きなサイバー犯罪のトップに立つ
FBIは、2020年に米国で19,369件のビジネスメール詐欺(BEC)の報告を受けました。被害者数は前年より減少しましたが、損害額は増加しました。BECまたはスピアフィッシングの損害額は、2019年の17億ドルから2020年には18億ドルを超える金額に増大しました。
BECは、あらゆる産業のあらゆる規模の企業を襲います。FBIが指摘しているように、攻撃はここ数年間でさらに洗練され、ソーシャルエンジニアリングの戦術が大幅に進歩しました。サイバー犯罪者は、ベンダーへの送金依頼や弁護士のなりすまし、不動産業界を狙った詐欺、ギフトカード詐欺、個人メールの侵害など、標準的なCEO詐欺からさまざまな方向に進化しています。
FBIは、手の除菌用ジェルを専門とする企業が100万ドル近くをハッカーに送金したシカゴのBEC事件を強調しています。被害にあった企業は、酸素吸入器に投資しているものと信じていました。この企業は、2020年に新型コロナウィルス関連の詐欺の被害に遭った数万に及ぶ企業や市民の一例に過ぎません。
フィッシング攻撃が倍増
サイバー攻撃で最も古い術策が、2020年に大きな復活を遂げました。2020年にフィッシング攻撃は倍増しました。IC3によると、2019年にFBIにフィッシングを報告した被害者数は11万4702人であったのに対して、2020年は24万1342人から被害報告がありました。BECと異なるのは、フィッシングの被害額がわずかに減少したことです。フィッシングによる損失額を見ると、2019年は5,700万ドルであったのに対し、2020年は5,400万ドルまで減少しました。
その一方、BECと同じく、ソーシャルエンジニアリングがほとんどのフィッシング攻撃の中心的な手法となり、フィッシング攻撃がさらに高度化しました。先述のBECの例のように、サイバー犯罪者は多数の攻撃で新型コロナウィルスのパンデミックを悪用しました。新型コロナウィルスフィッシング詐欺のほとんどは、パンデミックとそれが企業や市民に与える経済的影響に関連のあるいくつかのテーマを中心に展開しました。
- CARES法景気刺激策資金
- 失業保険
- 給与保護プログラム(PPP)基金
- 中小企業経済産業災害ローン
さらに、FBIによると、政府機関は新型コロナウィルスフィッシング詐欺で最もなりすましの多い組織の1つでした。サイバー犯罪者は、国民の恐怖心と不安を利用して予防接種の早期接種を約束し、銀行口座の残金をすべて奪い、機密性の高いアカウントの認証情報を盗み出しました。
ランサムウェアは中小企業を標的に
恐喝や高額な支払を要求するランサムウェアは、以前は莫大な予算のある大企業のみを標的にしていましたが、2020年にランサムウェアは中小企業セクターに大きな打撃を与えました。Dattoによると、2020年の中小企業に対するランサムウェアの支払い要求額は5,600ドルでしたが、事業停止による損失額はそれをはるかに上回る247,000ドルに達し、2019年から94%増加しました。
2020年には、北米のMSPの77%とヨーロッパのMSPの85%からクライアントがランサムウェア攻撃を受けたという報告があり、MSPの95%から自社のビジネスが攻撃を受けたという報告がありました。
MSPによると、フィッシングメールがランサムウェア攻撃の最大の原因であり、ユーザーによる予防対策の不慣行とサイバーセキュリティトレーニングの不足がそれに次ぐ原因となっています。さらに、MSPの59%が、ランサムウェアがウイルス対策やマルウェア対策ソリューションをすり抜けたと述べており、42%が、ランサムウェアが従来のシグネチャーベースのウイルス対策ソリューションをすり抜けたと報告しています。
IC3によると、米国のランサムウェアによる総損失額は2020年に3倍になり、2019年のわずか890万ドルに対し、2910万ドルを損失しました。IC3は、その年に2,047件のランサムウェアに関する苦情を受けました。 ただし、FBIは、総損失額と被害者数の両方が報告されている数値を上回る可能性が高いと述べています。事業停止期間・賃金・ファイル・機器・サードパーティの修復にかかった費用は、FBIによって報告された補正済みのランサムウェアの損失額には含まれていません。
FBIは、これらの損失を考慮に入れていないため、この金額は「人為的に低く抑えられたランサムウェアの総損失額」であると述べています。 さらに、この数字はFBIに報告された攻撃のみを反映したものです。また、公的な監視を避けるために、多くの企業がランサムウェア攻撃を自力で管理しようすることは周知の事実です。最終的に、この数字には、FBIの現地事務所や捜査官に報告されたランサムウェア攻撃は含まれていません。
商売道具
IC3は、サイバー攻撃で使用される最も一般的な媒体とツールに関連したサイバー犯罪の統計データも明らかにしました。2020年のすべての被害者レポートを考慮に入れると、ソーシャルメディアと仮想通貨がサイバー犯罪を促進する媒体とツールとして一般的に使われました。ソーシャルメディアが関連した損害額は1億5532万3073ドルでしたが、仮想通貨が主な原因なった損害額は2億4621万2432ドルでした。
ソーシャルメディアのプラットフォームは、近年、ハッカーにとって非常に便利なツールになっています。数十億人のユーザーを抱え、それらのユーザー各人が自分のアカウントを複数のサードパーティアプリで使用しているソーシャルメディアのプラットフォームは、ハッカーに餌と道具の両方を提供します。Vadeは、2018年以降ソーシャルメディアフィッシングが大幅に増加していることを指摘しています。2020年にはソーシャルメディアが固有のフィッシングURL全体の13%を占め、Facebookがなりすまし最多ブランドとなりました。一方、暗号通貨は、恐喝とランサムウェアの主な支払方法になっており、これを利用することで、サイバー犯罪者は支払を受けると同時に匿名性を保つことが可能になります。
2021年に注意すべきサイバー犯罪統計データ
新型コロナウィルスは、意外にもまだ終わっていません。新型コロナウィルス関連のフィッシング詐欺は、世界中の労働者が自宅に留まり、地元の予防接種サイトで列に並ぶのを待っている間は、今後も続くと予想されます。
今もなお出回っているその他の新型コロナウィルス詐欺は、税金関連のものです。つい先月、Vadeは、税金滞納者を標的に、新型コロナウィルス景気刺激策の給付金関連の詐欺をしかける400万件のフィッシングメールを検出しました。
最近のMicrosoft Exchangeのハッキングを踏まえると、最初の侵害を受けた企業から、スピアフィッシング、BEC、およびランサムウェアの被害報告が増えることが予想されます。それらの侵害された企業のベンダーや顧客も標的になる可能性があります。
メールセキュリティでは、アーキテクチャが重要です。インフォグラフィックをダウンロードして、Microsoft 365のメールセキュリティソリューションを評価する方法を学びましょう。
