サイバー脅威アクターまたは悪意のあるアクターとも呼ばれる脅威アクターは、デジタル・デバイスまたはシステムに意図的に損害を与える個人またはグループです。脅威アクターは、コンピュータシステム、ネットワーク、ソフトウェアの脆弱性を悪用して、 フィッシング 、 ランサムウェア 、 マルウェア 攻撃などのさまざまなサイバー攻撃 を実行します。
現在、さまざまな種類の脅威アクターが存在しており、その属性、動機、スキル・レベル、戦術はそれぞれ異なります。最も一般的なタイプの脅威アクターには、ハクティビスト、国家アクター、サイバー犯罪者、スリルを求める者、内部関係者の脅威アクター、サイバー・テロリストなどがあります。
サイバー犯罪の頻度と深刻さが増大し続ける中、個人と組織のサイバーセキュリティーを向上させるためには、こうしたさまざまなタイプの脅威アクターを理解することがますます重要になっている。
Thinkニュースレター
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
サブスクリプションは英語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
脅威アクターという用語は広範かつ比較的包括的なものであり、サイバーセキュリティーに脅威をもたらすあらゆる個人またはグループを指します。脅威アクターは、基本的にはその動機に基づき、そして、若干は洗練度のレベルに基づいて、さまざまなタイプに分類されることがよくあります。
これらの個人またはグループは、主に金銭的利益を目的としてサイバー犯罪を犯します。サイバー犯罪者による一般的な犯罪には、ランサムウェア攻撃や、人を騙して金銭の授受をさせたり、クレジットカード情報やログイン認証情報、知的財産、その他の個人情報や機密情報を漏らすフィッシング詐欺などがあります。
国家や政府は、機密データの窃盗、機密情報の収集、または他の政府の重要なインフラストラクチャーの妨害を目的として、脅威アクターに資金を提供することがよくあります。これらの悪意のある活動にはスパイ行為やサイバー戦争が含まれることが多く、多額の資金が投入される傾向があるため、脅威は複雑で検知が困難になります。
これらの脅威アクターは、ハッキング技術を使用して、言論の自由を広めたり、人権侵害を明らかにしたりするなど、政治的または社会的な話題を喚起します。ハクティビストは、自分たちが社会に前向きな変化をもたらしていると信じており、秘密やその他の機密情報を暴露するために個人、組織、政府機関を標的にすることは正当化されていると感じています。ハクティビスト・グループのよく知られた例は、インターネット上の言論の自由を主張する国際的なハッキング集団であるアノニマスです。
スリルを求める人はその名の通り、主に楽しみのためにコンピューターや情報システムを攻撃します。機密情報やデータをどれだけ盗むことができるかを知りたいと思っている人もいます。また、ネットワークやコンピューター・システムの仕組みをよりよく理解するためにハッキングを利用したいと考えている人もいます。スクリプト・キディと呼ばれるスリルを求めるある種の人々は、高度な技術スキルこそないものの、主に娯楽や個人的な満足を目的として、既存のツールやテクニックを使用して脆弱なシステムを攻撃します。スリルを求める人は常に危害を加えようとするわけではありませんが、ネットワークのサイバーセキュリティーを妨害し、将来のサイバー攻撃への扉を開くことで、意図しない損害を引き起こす可能性があります。
他のほとんどの攻撃者タイプとは異なり、内部関係者の脅威アクターは必ずしも悪意を持っているわけではありません。中には、知らないうちにマルウェアをインストールしたり、会社支給のデバイスを紛失してサイバー犯罪者にネットワークへのアクセスに使用されたりするなど、ヒューマン・エラーによって会社に損害を与える企業もあります。しかし、悪意のあるインサイダーは存在します。たとえば、不満を抱いた従業員が、アクセス権を悪用して金銭目的でデータを盗んだり、昇進を取り消された報復としてデータやアプリケーションに損害を与えたりします。
サイバーテロリストは、政治的またはイデオロギー的な動機に基づいてサイバー攻撃を開始し、最終的に脅しや暴力に訴えます。サイバーテロリストの中には国家アクターである者もいれば、単独で、または非政府グループを代表して行動する人もいます。
脅威アクターは大規模な組織をターゲットにすることがよくあります。大規模な組織はより多くの資金とより機密データを持っているため、より大きな潜在的な利益をもたらします。
しかし、近年では、セキュリティー・システムが比較的弱いため、中小企業(SMB)も脅威アクターのターゲットとなることが多くなっています。実際、FBIは最近、中小企業を狙ったサイバー犯罪の増加率に対する懸念を表明し、 2021年だけで中小企業がサイバー攻撃によって69億ドルの損失を被ったと発表しました。これは前年比64%の増加です。
同様に、攻撃者は少額の金額で個人や世帯をターゲットにすることが増えています。たとえば、家庭内のネットワークやコンピューター・システムに侵入して、個人識別情報、パスワード、その他の潜在的に貴重な機密データを盗む可能性があります。実際、現在の推定では、コンピューターを所有するアメリカの家庭の 3 軒に 1 軒がマルウェアに感染しているとされています。
脅威アクターはターゲットを選びません。彼らは最もやりがいのある、または意味のあるターゲットを狙う傾向がありますが、サイバーセキュリティーの弱点をどこで見つけたとしてもそれを利用するため、脅威の状況はますます複雑になり、対応コストが増加します。
脅威アクターは、サイバー攻撃を実行する際にいくつかの戦術を組み合わせますが、主な動機、リソース、意図したターゲットに応じて、一部の戦術を他よりも重視することがあります。
マルウェアは、コンピューターに損害を与えたり、無効にしたりする悪意のあるソフトウェアです。マルウェアはEメールの添付ファイル、感染したWebサイト、または侵害されたソフトウェアを通じて拡散することが多く、脅威アクターによるデータの窃盗、コンピューター・システムの乗っ取り、他のコンピューターへの攻撃を支援する可能性があります。マルウェアの種類には、ウイルス、ワーム、正規のプログラムを装ってコンピューターにダウンロードされるトロイの木馬ウイルスなどがあります。
ランサムウェアは、被害者のデータやデバイスをロックし、被害者が攻撃者に身代金を支払わない限り、ロックされたままになる、あるいはさらに悪いことが行われると脅すマルウェアの一種です。現在、ほとんどのランサムウェア攻撃は二重脅迫型攻撃であり、被害者のデータを盗んで販売したり、オンラインに漏洩したりする恐れもあります。IBM X-Force Threat Intelligence Index によると、ランサムウェア攻撃はマルウェア攻撃全体の 20% を占めています。
大物狩り(BGH)攻撃は、大規模かつ組織的なランサムウェア・キャンペーンであり、政府、大企業、重要インフラストラクチャー・プロバイダーなど、運用停止によって失うものが多く、多額の身代金を支払う可能性が高い大組織をターゲットにします。
フィッシング攻撃は、Eメール、テキスト・メッセージ、音声メッセージング、または偽のWebサイトを使用して、ユーザーをだまして機密データの共有、マルウェアのダウンロード、またはサイバー犯罪にさらすように誘導します。フィッシングの種類には以下が含まれます
フィッシングはソーシャル・エンジニアリングの一形態であり、恐怖心や切迫感を悪用して人々を操作し、個人や組織の資産やセキュリティーを侵害する他の間違いを犯させる攻撃や戦術の一種です。ソーシャルエンジニアリングは、マルウェアに感染したUSBドライブを誰かが見つけられる場所に置いておくのと同じくらい簡単です("ねえ、無料のUSBドライブだから!")。あるいは、何ヶ月もかけて被害者と長距離恋愛関係を築き、「ついに会える」ようにするため、その被害者から飛行機の運賃をだまし取るのと同じくらい複雑なものです。
ソーシャル・エンジニアリングは技術的な脆弱性ではなく人間の弱点を利用するため、「ヒューマン・ハッキング」と呼ばれることもあります。
このタイプのサイバー攻撃は、ネットワークまたはサーバーにトラフィックをあふれさせ、ユーザーが利用できなくなるようにすることで影響を及ぼします。分散型サービス妨害(DDoS)攻撃は、コンピューターの分散ネットワークを通じてまとめて悪意のあるトラフィックを送信し、ターゲットをより早く圧倒する可能性のある攻撃を作成し、検知、防止、軽減をより困難にします。
高度で継続的な脅威(APT)は、数時間や数日ではなく、数か月または数年に及ぶ高度なサイバー攻撃です。APTを使用すると、攻撃者は被害者のネットワーク内で検出されずに活動し、コンピューター・システムへの侵入、スパイ活動と偵察の実施、権限と許可の昇格(水平移動と呼ばれます)、機密データの窃取が可能になります。APTは検出が非常に難しく、実行コストも比較的高いため、通常は国家アクターやその他の潤沢な資金を持つ脅威アクターによって実施されます。
バックドア攻撃は、組織のサイバーセキュリティー対策によって保護されていないオペレーティング・システム、アプリケーション、またはコンピューター・システムの隙を突きます。バックドアは、アップグレードやバグ修正、(皮肉なことに)セキュリティー・パッチを有効にするために、ソフトウェア開発者やハードウェア・メーカーによって作られることもあれば、マルウェアを使ったりシステムをハッキングしたりして、脅威アクターが自らバックドアを作ることもあります。バックドアを使用すると、攻撃者は検出されずにコンピューター・システムに出入りできます。
脅威アクター、ハッカー、サイバー犯罪者という用語は、特にハリウッドや大衆文化において同じ意味で使用されることがよくあります。しかし、それぞれの意味や互いの関係には微妙な違いがあります。
すべての脅威アクターやサイバー犯罪者がハッカーであるわけではありません。定義上、ハッカーとは、ネットワークまたはコンピューター・システムを侵害する技術的スキルを持つ人のことです。しかし、一部の脅威アクターやサイバー犯罪者は、誰かが見つけて使用できるように感染したUSBドライブを放置したり、マルウェアが添付されたEメールを送信したりして、それ以上の技術的なことはしません。
すべてのハッカーが脅威アクターやサイバー犯罪者であるわけではありません。たとえば、倫理ハッカーと呼ばれる一部のハッカーは、基本的にサイバー犯罪者になりすまして、組織や政府機関がコンピューター・システムのサイバー脅威に対する脆弱性をテストするのを支援します。
特定の種類の脅威アクターは、定義上も、その意図としてもサイバー犯罪者ではありませんが、実質的にはサイバー犯罪者です。たとえば、「楽しい」スリルを求める者は、数分間にわたって街の配電網を停止する可能性があります。同様に、高貴な目的の名の下に官公庁・自治体機密情報を流出させ、公開するハクティビストは、その意図や信念に関係なく、サイバー犯罪を犯している可能性があります。
テクノロジーがより洗練されるにつれて、サイバー脅威の状況も進化します。脅威アクターに先手を取るため、組織はサイバーセキュリティー対策を継続的に進化させ、脅威インテリジェンスについてさらに賢くなっています。脅威アクターの影響を軽減したり、完全に阻止したりするために組織が講じる手順には、次のようなものがあります。
セキュリティー意識向上トレーニング。攻撃者はヒューマン・エラーを探すことが多いため、従業員のトレーニングは重要な防御線です。セキュリティー意識向上トレーニングでは、会社が認可したデバイスの個人利用の禁止から、パスワードの適切な保管、フィッシング・メールの認識と対処方法まで、あらゆる内容をカバーします。
多要素認証と適応型認証。多要素認証を実装するには、ユーザー名とパスワードに加えて、1つ以上の認証情報の入力が求められます。同様に、適応型認証では、異なるデバイスや場所からログインする際に追加の認証情報が求められるため、たとえハッカーがユーザーのパスワードを盗んだとしても、メールアカウントへのアクセスを阻止できます。
エンタープライズ・セキュリティー・ソフトウェア。これらのソリューションは、セキュリティー・チームや セキュリティー・オペレーション・センター(SOC) が、エンドポイント、Eメール、アプリケーション、ネットワーク、クラウド・ワークロードなど、すべてのITインフラストラクチャー・ドメインにわたって、異常な活動や悪意のある活動を検知し、阻止するのに役立ちます。これには、 セキュリティー・オーケストレーション、自動化および対応(SOAR) 、 セキュリティー・インシデントおよびイベント管理(SIEM) 、拡張された検知と対応(XDR) が含まれます(ただし、これらに限定されません)。
組織は定期的なセキュリティー評価を実行して、システムの脆弱性を特定することもできます。通常、社内のITスタッフがこれらの監査を実施できますが、専門家や外部のサービス・プロバイダーに監査を委託している企業もあります。定期的にソフトウェア更新を実行することは、企業や個人がコンピューターや情報システムの潜在的な脆弱性を見つけて補強するのにも役立ちます。