カジノサイト
非営利団体に対するランサムウェア攻撃: 珍しいことですか、それとも定期的に隠蔽されていますか?
2023 年 3 月、ソフトウェア会社 Blackbaud は、米国証券取引委員会 (SEC) より。委員会が同社に罰則を科したのは、横領やマネーロンダリングが理由ではなく、2020年のランサムウェア攻撃の規模について完全に率直に述べていなかったことが理由だ。
Blackbaud は、非営利団体、財団、民間部門の組織にクラウド ソフトウェアを提供しています。ランサムウェア攻撃により、攻撃者は銀行およびクレジット カードの口座情報に加えて、非営利寄付者の社会保障番号を取得しました。によると、同社は、13,000人以上の個人データを削除するという攻撃者との約束と引き換えに、ビットコインで支払われた身代金の金額を明らかにしなかった。.
非営利団体とそのデータに対するマルウェアやサイバー攻撃は近年増加しています。
2020 年に—ペンシルベニア州フィラデルフィアに拠点を置く飢餓救済団体—が詐欺に遭ったサイバー攻撃者が、新しいコミュニティ キッチン プロジェクト施設に関する建設会社からの正当な電子メールを差し止めることができたとき。代わりに、攻撃者は偽の請求書を電子メールで送信し、フィラバンダンスが支払いました。
2022 年 1 月、赤十字国際委員会 (ICRC) は、515,000 人以上の個人データを保管するサーバーに対する攻撃を特定しました。そのデータの多くには、家族が避難または離散し、その家族がその家族との再接続を試みているケースが含まれていました。この攻撃では、ハッカーはパッチが適用されていない重大な脆弱性を悪用しました。、名前、場所、連絡先情報を含む情報にアクセスしました。
しかし、マルウェア インシデントの一部として、飢餓救済、医療、教育、宗教、政治など、さまざまな業界で活動する非営利団体に対するランサムウェア攻撃は、公共サービスや重要インフラ組織に対する攻撃ほど定期的にニュースの見出しに登場することはありません。
セキュリティ技術研究所 (IST) の最高戦略責任者、ミーガン スティフェル氏によると、その理由の 1 つは、サイバー攻撃者がランサムウェアを利用したり、サービスとしてのランサムウェア (RaaS) を提供したりすることが意図的に非営利団体を標的にしていない可能性があるためです。
支払いを目的とした攻撃者は、おそらくネットワークが非営利団体に属していることを知らずにマルウェア経由でネットワークにアクセスし、そのアクセスを別の攻撃者に販売する可能性があります。次に、2 番目の攻撃者は、その購入したアクセスを使用して、従業員の記録、知的財産、財務データなどの価値の高いファイルを見つけることができます。
攻撃者がネットワークとその潜在的な価値を分析するとき、「1 つの要因は、攻撃者がターゲットにしているシステムがどれほど弱いかです」とスティフェル氏は言います。 「しかし、彼らは報酬を受け取りたいので、システムが脆弱であっても、それが必ずしも高い目標であることを意味するものではなくなりました。」その代わり、攻撃者は被害者のネットワークにアクセスするまで、ターゲットの身元や価値を知りません。
サイバーおよびネットワーク セキュリティに関して言えば、ほとんどの非営利団体は、限られた予算で運営されている超ローカルな組織であるか、数万人のスタッフ、支援者、寄付者、ボランティアを擁する世界規模の組織であるかに関係なく、セキュリティへの取り組みに資金を提供する際にいくつかの要因によって独自の制約を受けています。非営利団体によって、または非営利団体のために生み出された収益は、通常、新しいフードバンクや病院の建設、医薬品の購入、地域から地雷を除去するための旅費の支払い、またはその他多くの崇高な目標であっても、組織の全体的な使命を推進する取り組みに割り当てられます。
これらの資金は通常、ファイアウォールのメンテナンスや IT セキュリティ専門家の給与には充当されず、多くの場合システムが脆弱になり、情報や資金が脆弱なままになる可能性があります。
システムが弱いからといって、それが必ずしも高い目標であるとは限りません。
つまり、国民国家の主体や、政治、過激主義、憎悪に触発された人々など、金銭的インセンティブを超えて動機づけられた主体にとって、これにより非営利ターゲットは厳しい状況に置かれることになる、とスイスに拠点を置き、NGOにサイバーセキュリティ支援を提供する非営利団体サイバーピース研究所の最高運営責任者であるエイドリアン・オジェ氏は指摘する。
「(非営利団体は)自分たちの活動や、移民、政治活動家、反体制派など、保護されている弱い立場にあるコミュニティに関する多くの機密データを収集、処理、転送、保管し、資金を集めています」とオジェ氏は言います。
そしてその資金は決して重要なものではありません。によると、2022 年に米国は 4,993 億 3,000 万ドルの慈善基金を生み出し、最大の寄付源 (64 パーセント、つまり 3,190 億 4 千万ドル) は個人からの寄付でした。データベース。
「その一方で、非営利団体が自らを守る能力は、あらゆる業界の中で最も低いものです」とオジェ氏は言います。
非営利をターゲットとする攻撃者にとってもう 1 つの魅力的な側面は、一部の組織、特に特定の地域で活動している組織や、特定の疎外されたコミュニティを支援している組織が、当局や法執行機関からの支援を求めたり受けたりする可能性が低い可能性があることだと、オジェ氏は述べています。たとえば、難民や LGBTQ+ コミュニティを支援する非営利団体は、それらの人々に不親切な政策をとっている国の政府機関から支援を受ける可能性は低いです。
非営利団体の主要な支持層や使命は、被害者の運営を妨害しようとする憎しみに満ちた個人の攻撃者によって標的にされる可能性もあります。正統派ユダヤ教の宗教支援団体とその施設であるハバド・ルバビッチの最高警備責任者、リーベル・ガレリック氏は、「理由はどうあれ、あるいはそうでなくても、その哲学に同意しない憎しみに満ちた人々がたくさんいる」と指摘する。 「私たちには、あらゆるさまざまな立場からの脅威が存在します。何らかの理由で私たちを嫌っている人がたくさんいます。…これは一種の 360 度の状況なので、私たちはその状況に応じて対処する必要があります。」
オジェ氏は、多額の資金が投入される可能性があるものの、セキュリティや非営利団体内のサポートが不十分であるという組み合わせに攻撃者が気づくのではないかと懸念しています。 「残念なことに、犯罪者にとって(非営利団体は)ますます興味深い獲物となっています。なぜなら、犯罪者は自分自身を守る能力が非常に限られているためです。つまり、攻撃が成功する可能性が高くなるのです」とオジェ氏は付け加えた。
この組み合わせは、組織が身代金を支払う可能性にも影響を及ぼします。これは、ランサムウェアの被害者をターゲットにして交渉する際の重要な決定要因であると、Stifel 氏は述べています。 「銀行にどれだけのお金があるのか、そしてその組織が提供するサービスがどれだけ重要なのかが重要なのです」とシュティフェル氏は言い、病院システムや同様の団体は人々に重要なサービスを提供しており、魅力的なターゲットになっていると付け加えた。
ランサムウェア攻撃の動機を超えて、ほとんどのインシデントは似ています。ネットワークが攻撃者によって暗号化されていることを組織に知らせる恐ろしいメッセージをユーザーが発見し、組織が身代金の支払いを手配できるようにするため、あるいはデータの紛失または公開の危険にさらすために電話番号が提供されたのです。
非営利団体が自らを守る能力は、あらゆる業界の中で最も低いものです。
CyberPeace Institute の非営利クライアント (オジェは直接特定しなかったが、この世界的なグループが孤児を支援していることは認めた) は最近ランサムウェア攻撃に直面し、攻撃者は子供の写真、医療ファイル、その他の情報を含むファイルの復号と引き換えに多額の金銭を要求しました。
攻撃者との交渉により、攻撃者が標的が非営利団体であることを認識していなかったことがすぐに明らかになり、CEOは攻撃者が要求した金額は実質的に組織を閉鎖するものであると説明した。すると犯人たちは「心配しないでください。非営利団体には割引制度があります」と言った、とオジェは振り返る。
この動作は、ランサムウェア グループが被害者への支払い段階にまで及ぶ組織レベルでますます専門化していることを示しています。 「彼らは会社のように運営しており、非営利団体を正当なターゲットと見なしています。それは私にとって大きな懸念事項です」とオジェ氏は言います。
組織は従来、社内のサイバーセキュリティ専門家やチームを創設したり維持したりすることに制約があるかもしれないが、適切な防御には「高いコストが必要というわけではない」と、
「オンラインで利用できるリソースは数多くあります…大小を問わず組織がセキュリティを向上させるために利用できるのです」と Stifel 氏は言います。彼女が推奨する無料リソースの 1 つは、Global Cyber Alliance からのものです。ミッションベースの組織向け。もう 1 つは IST の行動計画です。、中小企業向けのランサムウェア攻撃前、攻撃中、攻撃後のガイダンスを提供します。
オジェ氏によれば、これらの攻撃を隠蔽しようとするのではなく、これらの攻撃に対して責任を負うことは、非営利団体がこれらの攻撃を中心とするより大きな文化を転換し始めるもう一つの方法です。
歴史的に、非営利団体はスタッフ、寄付者、ボランティア、その他のパートナーからの支援を失うことを恐れているため、サイバー攻撃の被害者にとって説明責任が問題となってきました。これに加えて、組織が十分に防御されていなかったり、事件を率直に報告していないと政府機関が判断した場合、組織は多額の罰金を支払わなければならない可能性があるという経済的な懸念もあります。
オジェ氏は、代わりに声をあげて事件について説明責任を果たすことで、非営利団体とその支援者の間で、これらの攻撃は起こるかどうかではなく、いつ起こるかの問題であるという認識を非営利団体とその支援者の間で醸成し、注目が非営利団体のセキュリティに対する理解と継続的な支援を促進することを望んでいます。
サラ・モスケダはの副編集長ですセキュリティ管理。LinkedIn または Twitter で彼女とつながりましょう。
