非営利団体はなぜサイバー攻撃者にとって「おいしい」ターゲットなのか：セキュリティニュースアラート

「非営利団体はサイバー攻撃の標的として非常に魅力的」だという意外な指摘が公表された。なぜ大企業ではなく非営利団体が狙われるのだろうか。

[後藤大地，有限会社オングス]

　クラウドストライクは2024年1月11日、非営利団体がサイバー攻撃者に狙われる5つの理由を発表した。

　同社は「利益が得やすい大企業が狙われるように思われがちだが、実際には中小企業や規模の小さい非営利団体がサイバー犯罪の標的になりやすく、小規模な非営利団体の場合は致命的な被害につながるケースがある」と指摘している。

クラウドストライクは非営利団体がサイバー攻撃者に狙われる5つの理由を発表した（出典：クラウドストライクのWebサイト）

非営利団体がサイバー攻撃に狙われる5つの理由

　非営利団体がサイバー攻撃で狙われる主な理由は以下の通りだ。

• サイバー攻撃者は財政的な制約の下で運営されている非営利団体のサイバー防衛対策が手薄な可能性が高いことを知っている。サイバーセキュリティは本来の目的に関係しない費用と判断される可能性があるため投資が実施されないケースが多い。セキュリティどころか一般的なITのアップグレードにかける費用すら確保できない可能性もある。この結果サイバー攻撃に対して脆弱（ぜいじゃく）な状態になっており、サイバー攻撃者はこの事実を知っている
• サイバー攻撃者は、非営利団体で使われているPCやOSが古くサイバーセキュリティに関する研修も不十分であることを知っている。非営利団体は規模が小さくなるほどにITの費用の捻出も難しくなる。企業や個人で不要になった寄付されたPCが使われることもあり、サイバーセキュリティの研究もめったに実施されない
• 非営利団体はWebサイトで商品やサービスを販売し、ネットワーク上に購入情報を管理している。サーバに侵入すれば支援者のクレジットカード情報や銀行取引、個人情報に関する情報を窃取できる可能性がある。支援者には地位の高い人物や高い資産を持つ個人または組織が参加している可能性がありサイバー攻撃者にとって価値がある
• 非営利団体はハクティビストや国家支援型のサイバー攻撃の標的となる場合がある。クラウドストライクはロシアのウクライナ侵攻に関連してウクライナ難民を支援する人道団体や非政府組織（NGO）がサイバー攻撃を受けているという報告を確認している
• 非営利団体もサプライチェーンの一部であるため、非営利団体を通じてサプライチェーンを経由した他の組織へのアクセス権を得られる可能性がある

　クラウドストライクはサイバーセキュリティ保護機能の導入は選択肢ではなく必須であるとし、特に十分なIT予算を確保することが難しくサイバーセキュリティに関する専門知識を持った人材が不足した小規模な非営利団体にはクラウドベースのサイバーセキュリティソリューションの導入を推奨している。