フィッシング攻撃の影響について考えるとき、何が思い浮かびますか?ほとんどのMSPや中小企業、その他の頻繁にフィッシングの標的になっている組織にとって、最初に思い浮かぶのは、その関連コストです。
FBIのデータによると、ビジネスメール詐欺(BEC)とフィッシング攻撃のコストは、米国だけでそれぞれ年間18億ドルと5400万ドル以上に及んでいます。これらはかなり大きな数値ですが、それだけを拡大して見るとフィッシング攻撃の直接的なコストはそれほど恐るべきものではないかもしれません。 Verizonによると、BECにかかるコストの中央値は約3万ドルです。3万ドルの損失を望む企業などありませんが、事業の終焉を迎えるようなことにもならないかもしれません。
しかし、ヨーロッパの中小企業はそれほど確信を持てません。 欧州ネットワーク情報・セキュリティ機関の調査によると、フィッシングは中小企業に対する最も一般的なサイバー攻撃であり、中小企業の57%は、深刻なサイバーセキュリティの問題によって廃業する可能性があると述べています。
潜在的な金銭的損失は一つの懸念事項ですが、フィッシング攻撃がもたらす結果はそれだけではありません。フィッシング攻撃の結果について、より掘り下げて考察するセキュリティ専門家は、ダウンタイムの費用、機密データの損失、評判の低下、顧客の解約など、その他いくつかの一般的な望ましくない結果をもたらすことがあると考えています。
しかし、このより広い視点でさえ不完全です。実をいえば、フィッシング攻撃がビジネスに影響を与えるあまり認識されていない方法はたくさんあります。フィッシング攻撃が一見したよりも多くの損害を引き起こす可能性があることを示す3つの例を見てみましょう。
1.フィッシング攻撃が将来の攻撃の可能性を高める
サイバー犯罪者がフィッシング攻撃をしかける理由はさまざまですが、そのすべてが個人の銀行口座を狙う一度きりの詐欺であるとは限りません。Verizonが指摘している、ほとんどのデータ侵害(〜80%)が組織犯罪集団によるものであるという事実を考慮してください。たいていの場合、これらの組織は、50ドルのギフトカードやPayPalアカウントの現金よりも大きな獲物を狙っています。また、ハッカーたちがより大きな獲物を狙うのであれば、それに応じて攻撃範囲も広げなければなりません。
広範囲にしかけられるフィッシング攻撃は、将来さらに大きな攻撃をしかけるためのセットアップとして使われることがよくあります。 マルチフェーズ攻撃には、情報や認証情報を収集するフィッシング攻撃が含まれており、それら土台にして、ビジネスリーダーたちから認証情報などの機密性の高いデータをだまし取ることができる、さらに標的型の スピアフィッシング攻撃 をしかけることができます。同様のシナリオが2020年に SECによって調査された無名の会社で実行されました。BEC攻撃の一つの例では、幹部になりすましたハッカーが数週間にわたって総額4500万ドルを超える14回の電信送金を要求しました。
標的や取得した情報によっては、ハッカーが機密性の高いシステムにマルウェアをインストールして、のちに大規模な攻撃の一部としてそれを実行することもあります。または、彼らは組織のセキュリティに関する重要な情報を暴くこともできます。事後にフィッシング攻撃を発見したとしても、ハッカーは、さらに規模の大きな将来の攻撃をより効果的に実行するための重要な情報を保持することもできます。
2.フィッシング攻撃によって法的リスクが増大する
さらに追い打ちをかけるように、フィッシング攻撃の被害者は結果として法的な罰則を受ける可能性があります。
たとえば、フィッシング攻撃によってシステムにランサムウェアがインストールされて身代金を支払うことにした場合、うかつにも 米国財務省外国資産管理局(OFAC)に数百万ドルの罰金を支払う責任を負うことになるかもしれません。
OFACは、北朝鮮などの敵対国と結びついていることの多いサイバー犯罪グループのような国家の安全保障を脅かすものと指定した国や法人、自然人などが掲載されているSpecially Designated Nationals and Blocked Persons(SDN)のリストを保持しています。米国の事業体と個人は、SDNと取引をすることを禁じられています。これには身代金の支払いも含まれます。
しかし、 フィッシングが法的リスクを高めるのはそれだけではありません。たとえば、顧客がフィッシング詐欺の犠牲になった場合、MSPは訴訟の対象になる場合があります。それはまさに、フィッシング詐欺で170万ドルを失ったオハイオ州に本拠を置くBoardman Molded Products社にサービスを提供しているMSPであるInvoltaに起きたことです。Involtaの顧客は、Involtaが「Involtaのエンタープライズクラスの施設でホストされている安全で可用性の高いサービスでBoardmanの最終利益を保護する」ことに失敗したことにより、サービス注文に違反したと 述べて同社を訴えました。
そしてもちろん、顧客の機密情報を扱うあらゆる組織が、データ侵害の犠牲になった場合に訴訟を起こす可能性があります。2021年、医療提供事業者のSan Diego Healthは、データ侵害によって50万人近くの患者の健康情報が公開されていることを発見しました。その結果、San Diego Healthは、医療提供事業者が患者データを保護できず、業界標準のサイバーセキュリティ対策を実施せず、フィッシング攻撃を特定して回避するための従業員のトレーニングを怠っていたと 主張する複数の集団訴訟に直面しました。
3.フィッシング攻撃は顧客やベンダーを危険にさらす
組織がフィッシング攻撃の被害者になった後で法的措置を講じる傾向が高い理由の一つは、自分たちのネットワークの他のメンバーを批判の対象にしているからです。
MSPに対するサイバー攻撃は、ハッカーを潜在的な被害者のネットワークに接続する中央ハブとして機能するため、人気があります。MSPは、サイバー攻撃を実行するのに役立つ顧客に関する機密情報を保持している可能性が高いため、特に魅力的な標的ですが、どんな組織でも、異なるターゲットに将来攻撃をしかけるための足がかりとなる可能性があります。
結局のところ、孤立しているビジネスはありません。すべての組織は、顧客やベンダー、およびその他の利害関係者とつながっています。したがって、フィッシング攻撃が影響を及ぼすのは最終収益だけではありません。貴社のネットワークでのサイバー攻撃が蔓延すれば、貴社がゼロ号患者になる可能性もあります。
状況認識が重要です
MSP、中小企業、およびその他の組織は、これらの悪い結果を回避するために、状況認識を維持する必要があります。状況認識の一環として、脅威の侵入を許した場合に起こるあらゆる結果(この記事で説明した事例のようなもの)を理解することが挙げられます。
ただし、状況認識には、全体的なセキュリティ体制と脅威環境に対する理解も必要です。Vadeはサイバーセキュリティソリューション(特にメールセキュリティソリューション)を提供しているため、独自の立場からフィッシング詐欺に対するサイバーセキュリティ専門家の状況認識をサポートできます。当社のテクノロジーからデータを収集することにより、ハッカーによるなりすましが最も多いブランドとURLを分析し、そのデータをシリーズ 「Phisher’s Favorites」で公開します。
最新版をチェックして、組織が状況認識を最大限に維持し、認識不足やその他の原因によるフィッシング攻撃の成功が及ぼす影響を回避しましょう。
