• 33.3%のユーザーがサイバー脅威に直面しているサウジアラビアは地域第3位となっている

レイナ・タクラ

リヤド：サウジアラビアのコンピュータユーザーの3分の1が2022年にサイバー犯罪者に狙われたことを調査で明らかにした大手デジタルセキュリティ企業カスペルスキー社のCEOによると、サウジアラビアおよび世界の企業は、最新のサイバー防衛策を備えていることを証明する必要があるという。

従業員4,000人を擁するITセキュリティ企業カスペルスキーの共同創設者兼CEOユージン・カスペルスキー氏は、アラブニュースの独占インタビューで、各国の政府は火災の危険の規制と同様にサイバーセキュリティシステムに関する規制を導入し、企業に関連ガイドラインを遵守するよう義務付けるべきだと述べた。

同氏の会社の調査によると、今年1月以降、中東、トルコ、アフリカ地域のユーザーの3分の1がオンラインとオフラインの脅威の被害を受けていることが判明したため、このようなコメントを発表した。

オンラインの脅威はWebを利用するマルウェアや不正行為であるのに対し、オフラインの脅威はUSBなどオフラインの手段でローカルネットワークに拡散するマルウェアだ。

サウジアラビアは33.3%のユーザーがこのような問題に直面しており、カタールの39.8%、バーレーンの36.5%に続き地域内で第3位となっている。

オフラインの脅威に関しては、サウジアラビアが最も低く、32%のユーザーが被害に遭っている。一方、エジプト、カタール、ヨルダンはそれぞれ42.4％、33.9％、33.2％と最も高い数値を記録した。

製造業、石油・鉱業、化学などの重要インフラ産業は、ますます標的型攻撃に直面していると指摘されており、カスペルスキー社のデータによると、中東・北アフリカ（MENA）地域では今年の第1～3四半期に産業用コンピューターの43%が標的となったことが判明している。

この調査結果を受け、カスペルスキー氏は上場・非上場企業の重要業績評価指標にサイバーセキュリティを追加するよう呼びかけた。

同氏は次のように述べた。「25年前、コンピューターはキーボード入力の機械でしたが、その後、業務手順の一部となり、今ではインフラ管理の一部となりつつあり、コンピューター・ネットワークは私たちの持つあらゆるものにますます組み込まれています」

「サイバー技術への依存度がますます高まっています」

「政府は、火災警報器、建設、都市施設など他のシステムで実施されている規制と同様に、コンピューター・ネットワークのシステムに対しても企業が基準に従うことが求められ、従わない場合は罰則が適用される規制を導入する責任を負うべきでしょう」

湾岸協力会議（GCC）地域における脅威の状況を世界的なレベルと比較すると、ほぼ同じであるとカスペルスキー氏は語った。「個人や中小企業のような小さな獲物を狙う小型サイバー犯罪も、銀行や大企業のような大漁を狙うプロの犯罪も、どこに行っても同じです」

また、決算が報告されないためサイバー攻撃による国や世界の経済への被害の定量化は不可能だが、経済の1％の部分程度と推定され、これは既に膨大な数字であると付け加えた。

企業がサイバーセキュリティに割くべき推奨予算について質問したところ、カスペルスキー氏は、予算は企業が事業を展開する分野によって異なるが、平均して企業の営業予算の1％未満が適切であると述べた。

「サイバー攻撃に備えて企業が直面するリスクを把握するためには、セキュリティ・シナリオが必要です。企業は自社の事業で最も重要な部分と攻撃が成功した場合にかかるコストを特定し、それを中心にセキュリティシステムを構築する必要があります」とカスペルスキー氏は述べた。

鎖の中で最弱のリンク部分

また、別の調査結果では、セキュリティシステムに関しては、人間が最弱の存在である場合が多いことが明らかになった。なぜなら、大部分のウイルスのシステムやネットワークへの侵入は、人間による不正なリンクのクリックや、不適切な添付ファイルのダウンロードだけで済むからである。

サイバーセキュリティ教育による意識向上は重要だが、カスペルスキー氏は、それでもなお、これらの攻撃を防ぐことができる技術の開発が必要だと考えている。

同社は、セキュリティ侵害を事実上不可能にし、潜在的な脆弱性を最小限に抑えるソリューションを実現する手段である「サイバーイミューン」というアプローチに基づいた製品群を発売している。

「サイバーセキュリティ教育は、たとえ学校であっても至る所で行われなければなりませんが、私はまだ人的要因のリスクを軽減する技術を信じています。将来的には、よりハイテクな技術で、失敗のないようアドバイスができるようになると思います」とカスペルスキー氏は語った。

「サウジアラビアに感銘を受けました」

カスペルスキー社は、中東、トルコ、アフリカ地域で15年以上にわたって事業を展開している。同社は、サウジアラビア・サイバーセキュリティ・プログラミング・ドローン連盟（SAFCSP）と協力し、サイバーセキュリティの意識向上と国家能力の構築に取り組んできた。

1997年に設立されたサイバーセキュリティとデジタルプライバシーのグローバル企業で、世界中の企業、重要インフラ、政府、消費者を保護するためのセキュリティソリューションとサービスを提供している。

同社のセキュリティ・ポートフォリオには、エンドポイントプロテクションのほか、高度に進化するデジタル脅威と戦うための専門的なセキュリティソリューションやサービスが数多く含まれている。

最近では、自動車の中枢部に搭載し自動車のハッキングを防ぐゲートウェイや、ゲートウェイ本体と自動車の電子部品の両方を無線で安全にアップデートする機能、自動車内部のネットワークからセキュリティ監視センターへのログ送信機能などを開発中だ。

今年初め、カスペルスキー社は世界と当地でのネットワーク拡大を目指してサウジアラビアに新オフィスを開設した。

「サウジアラビアの変革の速さ、そしてサイバー・トランスフォーメーションへの注目度の高さには、非常に感銘を受けました。そのため私は今年3回サウジアラビアに行きましたが、同じ国に3回行くのは異例のことです」とカスペルスキー氏は語った。

今後は何が起こるのか？

カスペルスキー社の専門家たちは、標的の種類や攻撃シナリオに関して、大きな変化が起きると考えている。来年は、大胆な攻撃者がドローンを使って近接ハッキングを試み、物理的な侵入とサイバー攻撃を混合で行う可能性さえあるのだ。

攻撃シナリオとしては、Wi-Fiパスワードのオフライン・クラッキングに使われるWPAのハンドシェイクを収集できるようなツールをドローンに搭載したり、不正なUSBキーを立ち入り禁止区域に落として、通行人がそれを拾ってマシンに接続することを狙ったりすることも考えられるという。

現在の世界的な政治情勢を踏まえ、カスペルスキー社の研究者たちは、政府部門と基幹産業の両方に被害を及ぼす破壊的なサイバー攻撃が増加すると予測している。その一部は、サイバー攻撃によるものとは容易に追跡できず、偶然の事故のように見えると考えられる。

残りは、偽のランサムウェア攻撃やハクティビスト活動という形で、サイバー攻撃の本当の張本人に一見もっともらしい反証を与えることになるだろう。また、エネルギー供給網や公共放送などの民生インフラに対するサイバー攻撃も注目されており、防衛が困難な海底ケーブルや光ファイバー配線ハブも標的になる可能性がある。