ENISA Threat Landscape 2022 が公開:欧州のサイバー脅威を俯瞰する

The 10th edition of the ENISA Threat Landscape (ETL) report is out!

2022/11/04 SecurityAffairs — ENISA (European Union Agency for Cybersecurity) は、サイバー・セキュリティにおける脅威の状況を示す、年次レポート ENISA Threat Landscape 2022 (ETL) を発表した。この、年次レポートの第10版は、2021年7月〜2022年7月に発生した事象を分析している。同レポートでは、地政学的状況が脅威の状況に与える影響が強調されている。ENISA の専門家たちは、上記の期間中に、サイバー戦争やハクティビズムに関連する悪意の活動の増加を確認している。

地政学的な状況、特に現在進行中のロシアのウクライナ侵攻により、サイバー攻撃/破壊工作/誤報拡散などを目的とした、国家に主導される攻撃の数が大幅に増加した。また、このレポートから浮かび上がった憂慮すべき傾向として、脅威の数の増加がある。専門家たちは、ゼロデイ・エクスプロイトや、AI を利用した偽情報、ディープ・フェイクの拡散を観察している。


ランサムウェアについて言うと、世界中の組織にとって最も危険な脅威の1つであり続け、毎月 10 TB 以上のデータが窃取される状況にある。同レポートによると、このようなランサムウェア攻撃の、最も一般的なイニシャル・ベクターとして、フィッシング・キャンペーンは未だに認識されていないようだ。

以下は、ETL 2022 の対象期間中に、上位にランクされた脅威のリストである。

  • ランサムウェア:被害を受けた組織の 60%が、身代金を支払った可能性がある。
    • マルウェア:マルウェアに関連する多数のインシデントが観測された。
    • ソーシャル・エンジニアリング:フィッシングは依然として人気のある手法だが、スピアフィッシング/ホワイリング/スミッシング/ビッシングなど、新しい形態のフィッシングが発生している。
    • データに対する脅威:データ量に比例して脅威が増加している。
    • 可用性に対する脅威:2022年7月に欧州で過去最大のDDoS 攻撃が発生した。
    • インターネット:BGP (Border Gateway Protocol) ハイジャックなどが観測された。
    • 誤報 (ディスインフォメーション) :AI を悪用した偽情報/ディープ・フェイク/Disinformation-as-a-Service がエスカレートした。
    • サプライチェーン標的:第三者によるインシデントが、侵入の 17%を占めた。

EU Agency for Cybersecurity の Executive Director である Juhan Lepassaar は、「現在のグローバルにおける状況が、サイバー・セキュリティの脅威の状況に対して、大きな変化をもたらすことは必至だ。新しいパラダイムは、脅威アクターの範囲の拡大により形成されている。私たちは、すべての重要なセクター/産業界のパートナー/すべての EU 市民を守るために、適切な緩和戦略を必要とする段階に入った」と述べている。

同レポートでは、特定された脅威ごとに、攻撃手法や注目すべきインシデント、トレンドなどが提案されており、緩和策も盛り込まれている。

以下は、レポートで分析された脅威のアクターのカテゴリーである:

  • 国家による支援
  • サイバー犯罪者
  • ハッカー・フォー・ハイヤー (雇われハッカー)
  • ハクティビスト

ENISA Threat Landscape 2022 には、サイバー脅威の影響評価も含まれており、5種類の影響が明らかにされている。

  • 風評被害
  • デジタル
  • 経済的
  • 物理的
  • 社会的なもの

同レポートには、「ETL レポートは、サイバー脅威の状況をマッピングし、市民/組織/サイバースペースを守るための戦略を、意思決定者/政策立案者/セキュリティ専門家たちが定義し易くするものだ。また、ENISA レポートは、年次プログラムの一部であり、関係者に戦略的な情報を提供するものだ。このレポートの内容は、メディア記事/専門家の意見/情報報告/インシデント分析/セキュリティ研究報告などのオープンソースから構成されている。また、 ENISA Cyber Threat Landscapes ワーキング・グループの、メンバーに対するインタビューも構成要素となっている」と記されている。

ENISA の Threat Landscape 2022 (ETL) ですが、ダウンロードしてみたら、150ページもある大作でした。ちょっと文書が多くて、あまり読む気にはなれませんが、チャートを用いて分析結果を分かりやすく見せてくれるところもあります。興味深かったのは、CISA の KEV に登録された脆弱性の種類などを、チャートを用いて参照できる部分です。この米国の試みは、ヨーロッパでも支持されているのでしょうか。