ニュース
非営利団体はなぜサイバー攻撃者にとって「おいしい」ターゲットなのか:セキュリティニュースアラート
「非営利団体はサイバー攻撃の標的として非常に魅力的」だという意外な指摘が公表された。なぜ大企業ではなく非営利団体が狙われるのだろうか。
クラウドストライクは2024年1月11日、非営利団体がサイバー攻撃者に狙われる5つの理由を発表した。
同社は「利益が得やすい大企業が狙われるように思われがちだが、実際には中小企業や規模の小さい非営利団体がサイバー犯罪の標的になりやすく、小規模な非営利団体の場合は致命的な被害につながるケースがある」と指摘している。
非営利団体がサイバー攻撃に狙われる5つの理由
非営利団体がサイバー攻撃で狙われる主な理由は以下の通りだ。
- サイバー攻撃者は財政的な制約の下で運営されている非営利団体のサイバー防衛対策が手薄な可能性が高いことを知っている。サイバーセキュリティは本来の目的に関係しない費用と判断される可能性があるため投資が実施されないケースが多い。セキュリティどころか一般的なITのアップグレードにかける費用すら確保できない可能性もある。この結果サイバー攻撃に対して脆弱(ぜいじゃく)な状態になっており、サイバー攻撃者はこの事実を知っている
- サイバー攻撃者は、非営利団体で使われているPCやOSが古くサイバーセキュリティに関する研修も不十分であることを知っている。非営利団体は規模が小さくなるほどにITの費用の捻出も難しくなる。企業や個人で不要になった寄付されたPCが使われることもあり、サイバーセキュリティの研究もめったに実施されない
- 非営利団体はWebサイトで商品やサービスを販売し、ネットワーク上に購入情報を管理している。サーバに侵入すれば支援者のクレジットカード情報や銀行取引、個人情報に関する情報を窃取できる可能性がある。支援者には地位の高い人物や高い資産を持つ個人または組織が参加している可能性がありサイバー攻撃者にとって価値がある
- 非営利団体はハクティビストや国家支援型のサイバー攻撃の標的となる場合がある。クラウドストライクはロシアのウクライナ侵攻に関連してウクライナ難民を支援する人道団体や非政府組織(NGO)がサイバー攻撃を受けているという報告を確認している
- 非営利団体もサプライチェーンの一部であるため、非営利団体を通じてサプライチェーンを経由した他の組織へのアクセス権を得られる可能性がある
クラウドストライクはサイバーセキュリティ保護機能の導入は選択肢ではなく必須であるとし、特に十分なIT予算を確保することが難しくサイバーセキュリティに関する専門知識を持った人材が不足した小規模な非営利団体にはクラウドベースのサイバーセキュリティソリューションの導入を推奨している。
関連記事
- 中小企業が2024年にやるべき5つのセキュリティ対策 クラウドストライクが提言
クラウドストライクは中小企業が取るべき5つのセキュリティ対策を伝えた。中小企業は時代遅れのソフトウェア、弱いパスワードポリシー、暗号化の非活用、従業員のセキュリティ意識の低さにより攻撃者の標的になりやすい。 - 三菱UFJ銀行がクラウドストライクのレッドチーム演習を採用した3つの理由
三菱UFJ銀行は自社のペネトレーションテストにクラウドストライクのレッドチーム演習を採用した。複数の提案を検討した結果、クラウドストライクの演習について3つのポイントを評価したとされている。 - 月額980円でEDR運用を支援 大塚商会が「らくらくEDRプレミア」を発表
大塚商会はCrowdStrike Falconプラットフォームを活用したEDRの運用支援サービス「らくらくEDRプレミア」を発表した。24時間365日の脅威ハンティングを提供する。 - 「SIEMは消滅する」 クラウドストライク、2024年のセキュリティ予測を発表
クラウドストライクは2024年のサイバーセキュリティ業界予測を発表した。生成AIが組織にもたらすリスクや従来のSIEMが限界を迎えていることが指摘されている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.