ヴィシャール・""V8""・ハリプラサド氏は、サイバーリスクソリューション大手Resilience(レジリエンス)のCEO兼共同創業者である。
昨年は、サイバーリスクにとって著しく静かな年だったように見えた。昨春に英国の小売業者を標的とした一連の攻撃を除けば、過去のサイクルを特徴づけた派手で見出しを飾るような侵害事件は、同じ規模では見られなかった。8桁の身代金支払いや広範囲にわたる業務停止のニュースで埋め尽くされた過去数年と比較すると、この相対的な静けさはリスクが安定化しつつあることを示唆しているかもしれない。
しかし、昨年の上半期の保険金請求データを分析した後に私が指摘したように、この種の静けさは欺瞞的である可能性がある。2025年前半の重大な保険金請求件数は減少したかもしれないが、ランサムウェア事件1件あたりの平均コストは17%上昇しており、攻撃者がより効率的に、より正確に標的を定めるようになっている証拠である。通年のデータが手元にある今、この進化がさらに一歩進んだことは明らかだ。
サイバーにおける損失傾向に関する当社の最新レポートは、サイバー犯罪者が複数の方法で業務をプロ化していることを示している。
サイバー犯罪における3つの変化
3つの重要な変化が際立っている。データ窃取主導型恐喝の台頭、ID攻撃の増加、そしてほとんどのサイバー事件に続くロングテールの財務的影響である。その結果、派手な事件は減少するものの、攻撃直後をはるかに超えて財務的影響が長期化する、より集中的な深刻度を特徴とする新たな経済的現実が生まれる可能性が高い。
恐喝は進化している
この変化の最も明確な兆候の1つは、恐喝そのものがどのように進化しているかである。当社の保険金請求データによると、データ窃取のみの恐喝は、年前半の恐喝請求の49%から後半には65%に上昇した。これは何を意味するのか。セキュリティ専門家がバックアップと復旧能力を強化したため、暗号化だけではレバレッジとして効果が薄れてきた。これに対応して、攻撃者はデータ暴露に軸足を移し、業務停止よりも評判と規制上の損害の脅威を優先している。同時に、AIの進歩により、脅威アクターが盗んだデータを分析・悪用することが容易になり、被害者への圧力を高めるために使用できる機密情報や高価値情報を迅速に特定できるようになっている。
不変バックアップは依然として重要だが、もはや万能ではない。バックアップはシステムを復元できるが、信頼を復元することはできない。復旧能力への過度の依存は、暴露が現在の主要な圧力ポイントとなっている世界において、誤った安心感を生み出す可能性がある。
InterlockやAkiraのようなグループは、この新しいモデルを例示している。これらのランサムウェア・アズ・ア・サービス組織は、スピード、機敏性、攻撃前の調査で知られている。Akiraの執拗な標的化により、当社のポートフォリオでは事件から保険金請求への転換率が40%となり、平均深刻度は80万ドルに達した。一方、Interlockは、医療、金融、政府を含む各セクターにわたって、洗練された二重恐喝戦術とソーシャルエンジニアリングを展開している。
これらのグループは、標的を慎重に調査し、侵害された環境でサイバー保険証券を検索し、支払い確率を最大化するために身代金要求を調整することができる。かつて「ビッグゲームハンティング」と呼ばれていたものは、犯罪のROIを最適化するように設計された、選択的でデータ駆動型の標的化へと進化した。
インフォスティーラーがID攻撃を助長している
保険金請求データから浮かび上がるもう1つのトレンドは、下流攻撃を可能にするインフォスティーラー・マルウェアの役割の増大である。これらのツールは、侵害されたエンドポイントから認証情報を収集し、犯罪市場で販売することで、ランサムウェアグループに企業環境への既製のアクセスを提供する。当社のポートフォリオにおけるランサムウェアケースの大半で、被害者は主要な攻撃の前に環境内でインフォスティーラーの証拠を発見しており、認証情報の侵害が重要な早期警告信号となっている。
サイバー犯罪のプロ化は、恐喝と認証情報窃取を超えて広がっている。ベンダー関連の事件は、当社のポートフォリオにおける損失の2番目に大きな原因となっている。重要なベンダーが侵害されると、損失は下流の顧客に波及する。ハッカーは、遍在するベンダーへの単一の的を絞った攻撃で、数百、あるいは数千の企業を一度に悪用できることを知っている。
サイバー損失は侵害で終わらない
同様に重要なのは、最初の侵入後に何が起こるかである。現代の脅威アクターは、暗号化して退出するだけでなく、各攻撃の有効期間を延長している。彼らはデータを盗み、公開すると脅し、販売または再販売し、その後複数の恐喝要求を重ねる。身代金が支払われた場合でも、盗まれたデータが削除または抑制される保証はない。
私はまた、規制当局の調査、集団訴訟、不正なデータ収集訴訟、評判の損害に起因する顧客離れ、ベンダー主導の事業中断を通じて損失がどのように蓄積されるかを見てきた。単一の攻撃による財務的苦痛は、現在では事実の数か月後、時には数年後まで日常的に及ぶ。ブランドの信頼、顧客の信頼、投資家の認識といった無形の影響は、さらに長く残る可能性がある。
新たな状況をどう乗り切るか
セキュリティ専門家が防御戦略を強化するにつれて、脅威アクターは戦術を変え続けるだろう。それは毎回新しいステップを要求する進化するダンスである。
最高情報セキュリティ責任者にとって、それはシステムの復元だけでなく、データ流出の防止を優先することを意味する。インフォスティーラーの活動を、来るべき攻撃の早期警告サインとして扱う。そして、フィッシング耐性のあるMFA、継続的な認証情報監視、より強力なID封じ込め制御を展開する。
最高財務責任者にとっては、セキュリティと復旧インフラとともに、予防とデータ保護への投資をシフトすることが賢明である。財務計画は、複数年にわたる法的および規制上のエクスポージャーも考慮しなければならない。サイバー保険の限度額とサブリミットも、今日の深刻度パターンを反映する必要がある。
最高収益責任者に関しては、サイバーはサプライチェーン、規制、業務リスクとともに、企業リスクフレームワークの中心に位置する。ベンダーの依存関係は、カスケード障害シナリオに対してストレステストを実施し、リスクモデルは深刻度の集中とテールエクスポージャーも考慮しなければならない。
全体として、ビジネスリーダーがメディアの見出しを超えて、サイバーリスクの状況で何が起こっているかを最新の状態に保つことが重要である。サイバー犯罪は、規律あるレバレッジ主導型のビジネスへと成熟した。サイバーを孤立した技術的問題としてではなく、重大で長期的な企業リスクとして扱い、同等の規律をもって対応できる組織が、現代の脅威状況を定義する経済的余震に耐える最良の位置にあるだろう。
