こんにちは。S2W NOTE編集です。
今回の記事では、グローバルニュースを元に重要なハッキングニュースを抜粋してお届けします。

ここ数年間、絶え間なく続く大量解雇の事態によって、IT業界内で危機感が広まっており、サイバーセキュリティ業界もこれの影響を受けています。
業務量に比べ収入が少ないことから、セキュリティ技術を逆に利用してサイバー犯罪に加担し収入を得ている事実を確認しました。

以下、2024年3月11日の『保安ニュース』記事を翻訳・編集した内容になります。

■経済難がセキュリティ業界にも直撃

2024年3月11日付の『保安ニュース』によると、既に数年前からセキュリティ専門家たちのバーンアウトが憂慮され、彼らが去る前にケアをしなければならないという主張がある一方で、去る人が既に出て来ています。

しかし、彼らが向かうところは何とダークウェブなのです。

経済難が続く中、セキュリティ業界内での競争が激化し、セキュリティ専門家の中でも収入に困っている人が増加しています。残念なのは、彼らの中で多くの人が困難を克服するためにダークウェブのドアを叩いているということです。
セキュリティ専門家たちは最新の攻撃タイプを知り防護するためにダークウェブを観察するという合法的な理由があります。
しかし、そのように積み上げた知識が防御以外にも活用され、それが問題になっています。

ここ数年間、絶え間なく続く大量解雇の事態によって、IT業界内で危機感が広まっています。サイバーセキュリティもこれに影響を受けざるを得ません。
業務量はますます増えていますが、リストラが続く業界の雰囲気の中で月給は据え置きになるのが常です。物価の上昇まで考慮すれば、収入減少につながります。
そこで、自然に追加の収入源を探すことになりますが、最近「Chartered Institute of Information Security」が調査したところによると、何と収入源としてダークウェブが現在としては最も好まれているとのことです。
彼らは自分たちのセキュリティ技術を逆に利用してサイバー犯罪に加担し、副収入を得ているのです。

同報告によると、セキュリティ専門家たちが合流した後、ダークウェブにはさらに多くのサービスが豊富に現れていると言います。
例えば、Pythonを専門とする開発者はダークウェブ上で【30ドルでチャットボットを開発する】と宣伝しており、 【フィッシングページや暗号化drainerを代わりに開発する】という話もあります。AI関連のプロジェクトの場合、1時間当たり300ドルを要求することもあります。

■サイバー犯罪者になりつつあるサイバー専門家たち

セキュリティ企業「Menlo Security」のCISOであるデビン・アーテル(Devin Ertel)氏は「非常に懸念される流れであり、サイバーセキュリティという分野全体が新しい時代に入ったようだ」と話します。
「セキュリティ業界で経験豊富な実力者たちがサイバー犯罪市場で収入を得ているという事実に少なからず驚きました。 ショックです。 現在、セキュリティ業界の雇用・被雇用のバランスに深刻な亀裂が生じていることを如実に表しています。 個々人の倫理観だけに後ろ指を差してはいけない問題だと思います」と話します。

同氏は「経済状況に比べサイバーセキュリティとハッキング技術を身につけた人材が過度に多いのが市場の状態のようです」とも話しました。 これは巷間でよく言われる「人が足りない」ということとは正反対の分析です。 「今の状況を人材が多いとか赤字だとか、単純な物差しで評価することはできません。 セキュリティ業界内で技術を担当する人々が不足しているに違いありません。 しかし、セキュリティ業界全体が人手不足かどうかというと、そうではありません。 いつからかセキュリティ業界は技術ではなくマーケティングと営業、顧客相談のような非技術分野により多くの投資をして来ました。技術を備えた人は満たされず、行き場がますますなくなる悪循環が起きていると思います。 そのためこの技術がそのままダークウェブに行ってしまうのです。」

■サイバーセキュリティチームの士気低下につながる

彼の分析が正しければ、ここにはもっと大きな問題が隠れています。現在、技術を担当する人々の肩にますます多くの負担がかかっているということです。「数が少ないのに、そこから更に離脱が発生します。そのため、残りの人々の業務負担はさらに重くなります。 どうなるのでしょうか？ ストレスがひどくなり、残った人々も耐えられません。」 「セキュリティが難しすぎて、あまりにも劣悪でできない」という噂が業界内に出回り始め、それと共に学生たちにセキュリティという職業を勧められなくなる状況にまでつながります。 セキュリティ専門家の卵は減っているのに、攻撃者の資源は豊かになるという奇妙な現象が発生するのです」 セキュリティ専門家のハル·ポメランズ（Hal Pomeranz）氏の説明です。

ポメランズ氏は「現在、セキュリティ業界は外部攻撃だけを気にしていますが、内部で膿んでしまっているこのような人材と構造問題を至急何とかしなければなりません。これは長期的な問題でもありますが、短期的にはセキュリティの専門家が悪性のインサイダーになり得るという意味です。そのようなことはセキュリティ業界全体の士気が下がれば、いくらでも起こりうることです」と危機感を露わにしています。

セキュリティ企業「Ontinue」のCISOであるギャラス・リンダル＝ワイズ(Gareth Lindahl-Wise)氏は「正確にどんなタイプのセキュリティ専門家が必要なのか企業が熟知している必要」について指摘します。雇用段階から必要な人材を明確に規定して見つけ出すことで、無駄な解雇手続きが必要なくなり、そうすることでチームの士気を高められます。

セキュリティ企業Keeper Securityの副会長パトリック·ティケット(Patrick Tiquet)氏は「専門家育成過程を再び検討する必要がある」という考えです。「サイバーセキュリティの専門家を育てる際、『全人的な育成』に焦点を合わせなければなりません。 技術だけに集中していたのが、これまで一般的な教育課程でした。 この技術で組織を保護すれば、大きな対価を得られることになるということを教えました。 間違ったことは言ってませんね。しかし、そこにだけ集中していれば、教育で学んだ技術をダークウェブで対価を得ることにもなるのです。 今のセキュリティ専門家たちにも会社レベルで多様な教育の機会を提供しなければなりません」というのが同氏の見解です。

セキュリティ企業「ColorTokens」の副会長スニル・ムラリドハ(Sunil Muralidhar)氏は「勤務中のセキュリティ担当者のメンタルケアも重要」と指摘します。「どんな職務を遂行しても、どんな組織や地域で勤務しても、セキュリティ担当の人々と対話をしてみると、ある共通点を発見することになります。 ものすごいストレスにさらされているということです。 このストレスが彼らをダークウェブに導く要因にならないとは限らないでしょう。 組織レベルでスタッフの管理にもっと力を入れなければなりません」

（ソース：韓国のオンラインメディア『保安ニュース』2024年3月11日の記事を翻訳・編集した内容）