SecurityScorecard、CISO向けにサイバー脅威の傾向を解説した「2024 S&P 500 サイバー脅威レポート」を発表-S&P 500企業の21％が2023年に情報漏えいの被害に-

主な調査結果

S&P 500企業の21％が2023年に情報漏洩を報告：攻撃者は金銭を狙っています。ランサムウェアを使った攻撃者は、株式時価総額に基づき、S&P 500企業に対して高額の身代金を要求できると算段し、特に価値があるターゲットとみなしています。攻撃者は、より株式時価総額が高い企業が高額な身代金を支払えることを知っています。
上記侵害の25%は、金融サービスおよび保険会社が被害に：金融機関は巨額の資金と資産を保有しているため、最も強固なセキュリティプログラムを実施しています。この調査は、金融業界が相互に関連しているという特徴から、一機関や普及している製品が侵害されることで、業界全体に広範な影響が及ぶ可能性があることを示しています。
52％の企業が個人情報を流出：攻撃者はソーシャルエンジニアリング攻撃を活用して、従業員情報へのアクセスに成功しています。熟練した攻撃者は、さまざまな情報源を組み合わせることにより、ソーシャルエンジニアリング攻撃をカスタマイズし、最大限の損害を与えたり、従業員になりすましたりします。
S&P 500企業のソーシャルエンジニアリングリスクの平均は "F"評価：健全なリスクプロファイルと強固なセキュリティ体制を持つ企業であっても、ソーシャルエンジニアリングは、重大なリスクをもたらします。攻撃者が、ユーザーを操り、セキュリティソリューションを回避するために、ソーシャルエンジニアリングを攻撃手法の一つとして使用しています。
ランサムウェアによる攻撃では数百万ドルを要求：S&P 500企業の被害者に対するランサムウェアの要求額は、現在では8桁台（ドルベース、日本円で数千万円程度）に上ることが多くなっています。ランサムウェアを使った攻撃では、従業員数や金銭的価値（株式時価総額や年間売上高など）といった企業規模に基づいて身代金要求が行なわれています。
サプライチェーン攻撃は重大な影響を及ぼす：攻撃者は、ターゲット企業に直接アクセスできない場合、その企業のベンダーやパートナー経由で狙ってきます。SEC要件で引用されているように ( https://securityscorecard.com/company/press/securityscorecard-research-shows-98-of-organizations-globally-have-relationships-with-at-least-one-breached-third-party/
)、SecurityScorecardの調査によると、98%の企業が侵害経験のあるサードパーティとの関係を有しています。よって、公開企業、非公開企業にかかわらず、サードパーティ企業も、新たな規制について十分理解する必要があります。