DIME MAGAZINE
ハッカーはなぜ大企業より小規模な非営利団体を標的にするのか
CrowdStrike(NASDAQ: CRWD)の日本法人であるクラウドストライク合同会社から、非営利団体がハッカーなどのサイバー犯罪者に狙われる5つの理由について解説したリポートが到着したので、その概要をお伝えする。
中小企業(SMB)は大手企業と比較して頻繁にサイバー犯罪の標的になりがちだが、実は小規模な非営利団体は、それよりさらに致命的な被害につながる攻撃の標的になる確率が高いことがわかっているという。
この場合、小さな組織を狙った攻撃が多いというこの傾向は意外に見えるかもしれない。サイバー犯罪者にとって、小規模な非営利団体よりもっと利益を上げられそうな標的があることは明らかだからだ。さらに大規模な民間企業を狙えば、市民から怒りを買う可能性も低くなる。
こうしたリスクがあり、得られる報酬も低いにもかかわらず、非営利団体が専ら標的となる理由は何か。
本リポートでは、非営利団体が標的にされやすい理由を5つ紹介するとともに、致命的な被害につながりかねない攻撃から組織を守る方法についても触れられている。
1)攻撃者は非営利団体のサイバー防衛が手薄なことを知っている
財政的な制約を受けない企業はないが、非営利団体の場合はコスト削減の圧力が特に高いため、運営費用は「本来の使命達成に振り分けられない費用」と見なされる。
非営利団体は間接費用の確保に消極的であり、多くの支援者もまた直接組織のプログラムに使われない費用を寄付することを渋りがちだ。
National Council of Nonprofits(全米非営利協会)によると、米国の非営利慈善団体130万組織のうち88%が年間予算$50万ドル以下で活動しているとのこと。
予算を慈善活動と人件費に充てなければならないという圧力のため、組織の核となるプログラム以外に使える費用はほとんど残らない状況だ。
残念ながら、サイバーセキュリティ対策費は「間接費用」に分類される。セキュリティ技術を活用するための費用どころか、一般的なITのアップグレードにかかる費用でさえ最優先で確保できない可能性が高い状況なのだ。
その結果、多くの非営利団体、特に小規模な組織には適切なサイバーセキュリティ防御がなく、攻撃に対して脆弱なまま。攻撃者はこのことを知っている。
2)低予算によりPCやOSが旧式、サイバーセキュリティ研修も不足
サイバーセキュリティ上の脅威環境はめまぐるしく変化を続けている。コンピューター、オペレーティングシステム、スマートフォン、タブレットなどのテクノロジーは、頻繁に見つかる脆弱性を避けるために、常に最新のものにアップデートする必要がある。
パッチを適用しないままで使用されている通信機器があると、そこから攻撃者を組織に招き入れかねない。
非営利企業はサイバー攻撃の代償や侵害による損害がどのようなものかを理解しており、セクターによって差があるものの、年間収益の3%から13%をIT 費用として計上している。
非営利団体の規模が小さいほど、全体に占めるIT 費用の割合は大きくなる。ただし、このレベルの費用を捻出できない非営利団体も多いのが実情だ。
予算上の課題の影響は、サイバーセキュリティだけでなく全般的なIT にも及んでいる。
一部の非営利団体では、企業や個人が不要になったため寄付したPC が使用されている。また、予算不足の影響は人材面にもおよび、多くの非営利団体では、多くの役割をボランティアが担っている。
財務上の制約のためにサイバーセキュリティ研修はめったに行われず、行われたとしても表面的な内容にとどまっている。このため、フィッシングのような一般的な戦術による攻撃に対しても高いリスクがある。
3)非営利団体から価値の高いデータを獲得できる
非営利団体は多くの場合、平均的な企業に比べてはるかに小規模であるにもかかわらず、価値ある攻撃対象の座は不動だ。
たとえば、一部の非営利団体はウェブサイトで商品やサービスを販売し、ネットワーク上に購入情報を保管しており、サーバーに侵入すれば、支援者のクレジットカードや銀行取引に関する情報を入手できる可能性がある。
アマゾンのような大手小売業者の規模にははるかに及ばないものの、非営利団体からも顧客データを窃取し、そのデータを使って目的を果たすことができる。
さらには、大規模で成功率が高いハッカーネットワークに自身の価値を証明できる可能性もある。
リスクがあるのは金融取引に関するデータだけではない。多くの支援者は高い地位や資産を持つ個人または組織で、そのために標的になる可能性がある。
支援者のデータにアクセスできることは、非営利団体を攻撃する十分な理由になり得る。
また、ローカル環境には、ほぼ間違いなく社会保障番号、住所、電話番号、銀行取引に関するデータなどの個人情報を含む、従業員データが保存されている。
こうしたデータは最終的にダークウェブで販売され、なりすまし行為や経済的損失につながるとともに、被害を受けた従業員の信用スコアにまで影響が及びかねない。
残念ながら、非営利団体がデータを狙ったサイバー犯罪の標的になった例が数多くある。
2019年にはニューヨーク州西部で最大級の規模を持つ非営利団体が侵害を受け、クライアント1000名分の氏名、住所、社会保障番号、金融データ、Government ID、医療情報、医療保険の詳細を含む機密データが漏洩した。
4)非営利団体が掲げる信条によって政治団体やテロリストの標的になる可能性
すべてのサイバー攻撃が利益を目的にしているわけではないが、特に非営利団体を標的にした攻撃には、政治的、社会的な要因が関わるケースもある。
非営利団体は特定の信条を支持することで、いわゆる「ハクティビスト」や、逆の立場の国家支援型のサイバー攻撃の標的になる場合がある。
こうした攻撃の目標は、多くの場合非営利団体の活動を妨害して使命を果たせないようにすることだ。
重要なケースとして挙げられるのが、ロシアによるウクライナの侵攻だ。この戦争が起こる前に、クラウドストライクはウクライナの企業やマスコミを狙ったマルウェア攻撃の急増を観測していた。
ウクライナ難民を支援する人道団体などの非政府団体(NGO)が、サイバー攻撃を受けているという報告もある。
もう一つ重要なケースは、2022年末にアムネスティ・インターナショナルに対するデータ侵害が、同団体が人権を侵害していると批判してきた中国政府とつながっていたというものだ。
5)非営利団体がより大きな標的へのアクセス権を獲得するための踏み台に
非営利団体はソフトウェアサプライチェーンの一部であり、製品やサービスの注文、決済処理、財務業務などを行うために、取引先企業のログイン認証情報や、オンラインアクセス権を持っている可能性が高い。
こうした協力関係にセキュリティ対策の貧弱さが重なることで、非営利団体がより大きな利益を得られる標的にアクセスするための踏み台になる場合がある。
脆弱なネットワークへのアクセス権を獲得した攻撃者は、この協力関係を悪用して、より規模が大きく安全に保護された標的に攻撃を仕掛けるための足場をネットワーク内にひそかに築くのだ。
■非営利団体のサイバーセキュリティ対策強化が必要
非営利団体が持つ使命や慈善的な性質がサイバー攻撃から身を守る盾にはならないことは明らかだ。
むしろ分析結果を見ると、こうした組織は重要な標的であり、驚くべき頻度で攻撃を受けている。
ごく小規模な非営利団体さえ攻撃の標的になりかねない。こうした団体が攻撃を受ければ致命的なダメージを受ける可能性がある。
最新のサイバーセキュリティ保護機能の導入は選択肢ではなく、必須なのだ。多くの非営利団体を含む中小企業で使用されている従来型のアンチウイルスは、残念ながら今日のランサムウェアやサイバー攻撃のめまぐるしい変化や複雑化に対応できていない。
非営利団体には、使いやすいクラウドベースのサイバーセキュリティソリューションの導入が望ましい。アンチウイルスツールよりも高い包括性を持ちながら、複雑な脅威分析プラットフォームに関する専門知識や専用のリソースなしで活用できるからだ。
特に、IT 予算が乏しく、サイバーセキュリティに関する専門知識を持った人材が不足した小規模な非営利団体に最適だ。
幸い、AI を活用したサイバーセキュリティの登場により、スキルレベルを問わず誰でも簡単に、多くの場合アンチウイルスソリューションでは手に負えない最新のサイバー攻撃も防御できる保護機能を導入できるようになった。
導入がすばやく、組織の保護ステータスの検証機能とデータ窃取策の提案機能を持つソリューションを選びたい。
また、非営利団体にはGartner、Forrester、IDC など業界分析を行う独立系の第三者機関の認証を受けたか、SE Labs社などの実地検査ラボによるテストを受けたエンドポイントセキュリティソリューションを探すことをおすすめしたい。
サイバーセキュリティサポートがプロボノ活動として提供されている可能性も考慮すべきだろう。大手サイバーセキュリティ企業の多くが、エンドポイント(ノートパソコン、コンピューター、サーバー、スマートフォン、プリンターなど、組織のネットワークに接続するデバイス)数が少ない非営利団体向けに、無料で保護機能を提供している。
関連情報
https://www.crowdstrike.com/ja-jp/
構成/清水眞希
最新号
