危険にさらされているシステム
危険にさらされているシステム

ユーティリティおよび産業機器

コンピュータシステムは、すべての電気通信会社、国の電力網、上下水道システム、さらには原子力発電所で普遍的に採用されており、インターネットがサイバー犯罪者が移動する主要な潜在的な攻撃ベクトルであるという事実により、これらの機関はすべて常にハッキングされるリスクにさらされています。 ただし、セクション「4.悪意のあるソフトウェア」Stuxnetワームとその後継者は、インターネットに接続されていないデバイスにさえ影響を与えることが示されました。

2014年、国土安全保障省の一部門であるコンピューター緊急準備チームは、米国のさまざまなエネルギー会社での79件のハッキング事件を調査しました。スマートメーターの脆弱性(その多くはローカル無線またはセルラー通信を使用)は、請求詐欺の問題を引き起こす可能性があります。

現在、大多数の業界、政府、人々は常に複雑なコンピューターシステムを使用し、それに大きく依存しており、そのすべてが異なる重大度のサイバー攻撃の影響を受けやすくなっています。

金融システム

商業銀行と投資銀行の両方、金融規制当局、および米国証券取引委員会(SEC)や世界銀行間金融通信協会(SWIFT)などの他のすべての種類の金融機関のコンピューターシステムとデジタルインフラストラクチャは、市場を効果的に操作して違法な利益を上げることに関心のあるサイバー犯罪者の著名なハッキングターゲットです。 クレジットカードの詳細、銀行口座情報、仲介データをデジタルリポジトリに保存するWebサイト、アプリ、および特定のマイクロファイナンシャル構造は、暗号化がどれほど洗練されていても、送金、購入、または闇市場での情報の販売から即座に経済的利益を得る魅力的な可能性があるため、現在最大のハッキングターゲットです。 何よりも重要なことですが、ATMマシンなど、世界中の多数の店内決済システムがハッキングされており、現在、サイバー犯罪者の主要な標的となっています。

航空

航空業界が一連の高度に洗練されたコンピューターシステムに大きく依存していることは自明であり、空気の近接性に関係なく、攻撃される可能性もあります。 標的型航空機攻撃の場合でない場合、特定の空港での単純な停電の影響は、世界規模であっても壊滅的なものになる可能性があります。航空の通信システムの大部分は、簡単に中断される可能性のある無線送信に依存しており、レーダー監視は沖合175〜225マイルしか及ばないため、海上で航空機を制御することは特に危険です。 航空サイバー攻撃の成功の結果は、飛行機の損傷から多数の死傷者まで多岐にわたります。 ヨーロッパでは、(汎ヨーロッパネットワークサービス)とNewPENSを使用して、および米国ではNextGenプログラムを使用して、航空ナビゲーションサービスプロバイダーは独自の専用ネットワークを作成するように動いています。

民生機器

サイバー犯罪者のもう1つの非常に一般的な標的は、パスワードやその他の機密性の高い財務情報を保存するラップトップ、デスクトップコンピューター、電話、タブレットなどの個人および家庭用デバイスです。 スマートウォッチ、アクティビティトラッカー、さらにはコンパス、加速度計、カメラ、マイク、GPS受信機などのセンサーを含むスマートフォンなどのウェアラブルデバイスは、機密性の高い健康関連データを含む個人情報を活用するために悪用される可能性があります。 これらのデバイスのいずれかのWi-Fi、Bluetooth、および携帯電話ネットワークが攻撃ベクトルとして使用される可能性があり、侵害が成功した後にセンサーがリモートでアクティブ化される可能性があります。

大企業

すべての大企業は共通のターゲットです。攻撃は、ほとんどの場合、個人情報の盗難またはデータ侵害のいずれかによる金銭的利益を目的としています。 大企業を狙ったサイバー攻撃の典型的な例は、ホームデポ、ステープルズ、ターゲットコーポレーション、およびEquifaxサイバー攻撃です。

それにもかかわらず、すべての攻撃が金銭的な動機を持っているわけではありません。2011年、ハクティビストグループのアノニマスは、セキュリティ会社が匿名グループに侵入したと主張したという理由だけで、セキュリティ会社「HBGary Federal」のコンピューターネットワーク全体を報復、攻撃、無力化しました。 2014年、ソニーピクチャーズが攻撃され、データが漏洩しましたが、その動機は、今後のプロジェクトを公開し、すべてのワークステーションとサーバーを消去することで会社を不自由にすることだけでした。 オンライン攻撃の一定の割合は、プロパガンダ、妨害、またはターゲットへのスパイを広めることを目的としてサイバー戦争に従事する外国政府によって実行されます。 何よりもまず、医療記録は一般的に、盗難、健康保険詐欺、および娯楽目的または転売目的で処方薬を入手するための患者になりすますことを目的としています。

さらに、医療機器は攻撃に成功しているか、院内診断機器とペースメーカーやインスリンポンプなどの埋め込み型デバイスの両方を含む、潜在的に致命的な脆弱性が実証されています。ランサムウェア攻撃、Windows XPエクスプロイト、ウイルス、病院サーバーに保存されている機密データのデータ侵害など、病院や病院組織がハッキングされたという多くの報告があります。2016年12月28日、米国食品医薬品局は、医療機器メーカーがインターネットに接続されたデバイスのセキュリティを維持する方法に関する推奨事項を発表しましたが、施行のための構造はありません。 サイバー脅威は増加し続けていますが、2015年には全組織の62%がビジネスのセキュリティトレーニングを増やしていませんでした。

自動車

多くのモデルでは、エンジンタイミング、クルーズコントロール、アンチロックブレーキ、シートベルトテンショナー、ドアロック、エアバッグ、先進運転支援システムなど、車両のコンピューター化が進んでいます。さらに、コネクテッドカーはWi-FiとBluetoothを使用して、車載消費者向けデバイスや携帯電話ネットワークと通信する場合があります。自動運転車はさらに複雑になると予想されています。 これらのシステムはすべてセキュリティ上のリスクを伴い、そのような問題は広く注目を集めています。リスクの簡単な例としては、悪意のあるコンパクトディスクが攻撃ベクトルとして使用されていることや、車の車載マイクが盗聴に使用されていることなどがあります。ただし、車の内部コントローラーエリアネットワークにアクセスできる場合、危険性ははるかに大きくなり、広く公表された2015年のテストでは、ハッカーが10マイル離れた場所から車両をリモートでカージャックし、溝に運転しました。 メーカーはさまざまな方法で反応しており、2016年にテスラはいくつかのセキュリティ修正を「無線」で車のコンピューターシステムにプッシュしました。 自動運転車の分野では、2016年9月に米国運輸省がいくつかの初期安全基準を発表し、州に統一された政策を策定するよう求めました。

政府

政府や軍のコンピュータシステムは、活動家や外国勢力によって一般的に攻撃されています。信号機制御、警察および諜報機関の通信、人事記録、学生記録、財務システムなどの地方自治体のインフラストラクチャも、現在すべて大部分がコンピューター化されているため、潜在的なターゲットです。RFIDを使用する施設へのアクセスを制御するパスポートや政府IDカードは、クローン作成に対して脆弱である可能性があります。

モノのインターネットと物理的な脆弱性

モノのインターネット(IoT)は、デバイス、車両、建物などの物理的なオブジェクトのネットワークであり、電子機器、ソフトウェア、センサー、ネットワーク接続が組み込まれており、データの収集と交換が可能であり、関連するセキュリティの課題を適切に考慮せずに開発されているという懸念が提起されています。 IoTは、物理的な世界をコンピューターベースのシステムにより直接統合する機会を生み出しますが、誤用の機会も提供します。特に、モノのインターネットが広く普及するにつれて、サイバー攻撃は(単なる仮想ではなく)ますます物理的な脅威になる可能性があります。玄関のロックがインターネットに接続されていて、電話からロック/ロック解除できる場合、犯罪者は盗まれた電話やハッキングされた電話からボタンを押すだけで家に入ることができます。人々は、IoT対応デバイスによって制御される世界では、クレジットカード番号よりもはるかに多くを失う可能性があります。泥棒はまた、インターネットに接続されていないホテルのドアロックを回避するために電子的手段を使用しています。

エネルギー分野

分散型発電システムでは、サイバー攻撃のリスクは現実のものです。攻撃は、広範囲で長期間にわたって電力を失う可能性があり、そのような攻撃は自然災害と同じくらい深刻な結果をもたらす可能性があります。コロンビア特別区は、顧客が自分のエネルギー使用についてより多くの洞察を持ち、地元の電力会社であるPEPCOにエネルギー需要をより適切に見積もる機会を与えることを目標に、市内に分散型エネルギー資源(DER)局の設立を検討しています。しかし、ワシントンD.C.の提案は、「サードパーティベンダーが多数のエネルギー分配ポイントを作成できるようにし、サイバー攻撃者が電力網を脅かす機会を増やす可能性があります。