ガートナージャパンは4月14日、日本国内におけるセキュリティ・インシデントの傾向を発表した。
Gartnerは、直近のセキュリティ・インシデント傾向を10パターンに分類している。
1. サプライチェーン・サイバーリスクの拡大
サプライチェーン・サイバーリスクが急速に拡大しており、Gartnerは、2030年までに、サイバーセキュリティ・インシデントの60%以上がサードパーティ/サプライチェーンに起因するものとなるとみている。
組織は、サードパーティ/サプライチェーンに起因するインシデントがさまざまなパターンのセキュリティ・インシデントに影響を及ぼすことを前提に、セキュリティ対策をデザインする必要がある。
2. AIエージェントのリスクと脅威
企業におけるAIエージェントの取り組みが増えつつある中、リスクや脅威に関するGartnerへの問い合わせが増加傾向にある。
AIエージェントに起因する内部脅威として、データ消失/漏洩や間違った取引のほか、実際にビジネス損失につながるプロセス停止を引き起こしたインシデントも起きている。
外部脅威の側面(例:エージェント・ハイジャック)では、ラボでの実験検証や関連ベンダーによるブログ発信など、現実的な観察事例としても増えつつある。AIブラウザやPCインストール型のAIエージェントも注目を浴び、新たなリスクを生み出している。
3. ランサムウェア攻撃
ランサムウェア攻撃は、2026年に入ってからも頻発している。業務委託先がランサムウェア攻撃を受けたことで、自社(業務委託元)の個人情報が漏洩したケースも見られる。
ランサムウェア攻撃は、攻撃者による既存機器の脆弱性悪用、正規のツールを悪用するLoTL (Living off the Land)攻撃、マルウェア使用など、複数の攻撃手法を組み合わせて目的達成を図る傾向がある。拠点やVPNの脆弱性や認証情報の管理不足といった問題を抱えている企業はいまだに多いと考えられるため、当面は被害が継続する可能性が高い。
4. DDoS攻撃
クラウドサービスやWebメールサービス、レンタルサーバーなどを狙ったDDoS攻撃が散見される。直近で被害の大きなものはないものの、過去に生活インフラに影響する企業が短期集中的にDDoS攻撃を受けた事例もあり、そのような兆候には留意する必要がある。
5. 外部公開アプリケーションへの攻撃
ランサムウェア以外にもECサイトが数カ月にわたって停止する事例が見られる。ECサイトへの攻撃では、過去に使われたクレジットカード情報が不正利用された可能性があると公表されたケースがある一方で、ECサイト・サーバー内にクレジットカード情報は保管していないと明確に公表した事例も存在した。
組織は「情報を保有するリスク」という観点から、システムとセキュリティのデザインを再考することが求められる。
6. ビジネス・メール詐欺/フィッシング詐欺
インターネット証券口座を悪用したフィッシング詐欺の被害が、顧客および企業の双方に多大な影響を及ぼした。ボイス・フィッシング詐欺も頻発している。
ビジネス・メール詐欺(BEC)は、AIで自然なメール文面を生成する、不正アクセスを通じて事前に業務内容を把握し巧みに偽装するなど、手法は進化しており、被害は後を絶たない。
すべてのBECやフィッシング詐欺を技術的に防御することはできないため、多額の送金を1人の従業員で行えないようにワークフローを強化し、それを遵守する対策が必要となる。
7. 内部不正/組織ガバナンスの崩壊
転職先での営業利用を目的とした退職者による顧客情報持ち出しの内部不正は継続的に発生している。
また、業務委託先が発注元に無断で契約した再委託先が不正を行ったケースや、セキュリティ監査に虚偽の報告を行っていたケースに代表される、組織ガバナンスの崩壊とも言える状況が見られる。
8. 作業や設定のミス
臨時作業時のミスに気づかず、インターネット上で個人情報が長期間閲覧可能になっていたケースやメール誤送信など、作業や設定のミスが情報漏洩につながる事例も継続的に発生している。業務委託先社員がミスの発覚を恐れ、アクセス・ログを削除した事例もある。
1つのミスが重大なセキュリティ・インシデントにつながるような業務においては、ミスを防止、検知できるよう複数名が関与する業務フローが必要となる。ミスの発覚時に社員(業務委託先を含む)がどのようなアクションを取るかのセキュリティ・アウェアネスも必要である。
9. プライバシー問題/デジタル倫理
画像/映像のAI分析において発生するプライバシーへの不適切な対応やデータ漏洩などのセキュリティ・インシデント、当事者が意図しないところで情報が利用されるリスク、第三者への提供など、プライバシー問題とデジタル倫理については、しばしば議論が起きている。
10. フェイク・インシデント
実際は起きていないセキュリティ・インシデント情報の拡散や、事実と異なる企業の公表内容が結果的にフェイク・インシデントとなる事例が見られる。
セキュリティ・インシデントの対外的な公表の範囲やタイミングは企業によってさまざまであり、正解はない。方針や判断フローを定めておき、サイバー攻撃やレピュテーション・リスクに過度に敏感にならず、冷静に十分な事実確認を行うことが必要となる。
[i Magazine・IS magazine]
