例年、年末・年始にはセキュリティベンダー各社から、昨今の脅威動向および予測に関するレポートが公開されます。今回は、これらのレポート内容を振り返り、共通する事柄はどのようなものであるかを分析し、2022年に予測されるサイバー脅威について、その理解を深めていきたいと思います。
なお、脅威予測レポートは、今回掲載した以外のベンダーからも提供されています。各社の立場の違いにより、その予測されている内容はまちまちではあるものの、共通する点としては、現状を踏まえて記載しているという点です。ゆえに脅威予測レポートは、サイバー脅威の現状を理解する上で役に立つドキュメントです。
各社の脅威予測(要約)
以下、本稿の執筆時点で公開されている脅威予測に基づいて、その概要を記載しています。以下はあくまで各社レポートに対する当社の要約であるため、レポートの詳細については、各社のウェブサイトをご参照ください。
トレンドマイクロ 「2022年セキュリティ脅威予測」
トレンドマイクロは「クラウドの脅威」「ランサムウェア攻撃」「脆弱性攻撃」「従来型マルウェア攻撃」「IoTの脅威」「サプライチェーンを狙う脅威」の6つの脅威を取り上げ、脅威の動向、攻撃手法やターゲットの変化を含めて予測しています。所感としては、顕在的ではないものの、既に発生している攻撃手法なども予測として含まれている印象です。今後、それらが主流となっていくことを予測しているように見受けられます。
クラウドの脅威
ユーザの継続的なクラウド移行に伴い、サイバー犯罪者もそれに追随する。例としてセキュリティ保護のないコンテナイメージ、不備のある認証アクセスコントロールの管理ポリシーなどを用いて、SaaSが狙われる。また、攻撃者は、開発工程の早い段階に着目する「シフトレフト」のトレンドに対応し、様々な手法を駆使することで、クラウド利用企業に大きな被害をもたらす攻撃を続けていく。開発者やビルドシステムが、サプライチェーン攻撃によって、複数の企業にマルウェアを拡散させようとする最初のエントリーポイントとなり得る。
ランサムウェア攻撃
ランサムウェア攻撃はより標的化や凶悪化の傾向を帯び、企業は攻撃から防御することがより難しくなってくる。エンドポイントに比べサーバセキュリティ対策の投資が不十分であることや、熟練したセキュリティ人材の不足も、その対策上の懸念点となる。また、いわゆる「国家によるサイバー攻撃(State-Sponsored)」と呼ばれる高度な攻撃手法に似た手口をもって、恐喝が行われる。恐喝手段には暗号化によるデータアクセス拒否だけではなく、窃取した機密情報を様々な恐喝の手段として利用することに重点が置かれる。なお、標的型メール、VPN、RDP経由の進入のような、現在ランサムウェア攻撃に用いられている常套手段は、引き続き活用される。
脆弱性攻撃
脆弱性の悪用までの時間は、数日から数時間にまで短縮されている。ベンダーによる修正パッチ公開前に、脆弱性悪用ツールが登場する。また、攻撃者は、システムの欠陥を示す指標として修正パッチそのものに着目し、それらから得られた情報を用いて不正コードを作成するようになる。
従来型マルウェア攻撃
ランサムウェアの攻撃者は、攻撃を効果的なものとするために従来型マルウェアや一般的なツール(Metasploit, Cobalt Strike等)を利用している。ツールによりカスタマイズされたマルウェアは、アンダーグラウンド市場で商品化され、他の攻撃者・サイバー犯罪者が利用できるようになる。また、攻撃者がマルウェアを開発する、あるいは一度だけ購入し利用するというモデルから、経験の浅いサイバー犯罪者にも適したサービスモデルに移行しており、攻撃者自らオーダーメイドのマルウェアを開発する必要性が、殆どなくなるレベルに成熟していく。
IoTの脅威
IoTデバイスは攻撃拠点やネットワーク内での水平移動に利用されるだけではなく、攻撃者にとってより高度な標的を狙うための基盤となる。特に、コネクテッドカーの保有するデータ及びデータトラフィックに狙いが定められる。コネクテッドカーの情報需要は高く、2030年までに約4,500〜7,000億米ドルの価値があると予測されており、サイバー犯罪者はそれらの接続情報から利益を得ようとする。
サプライチェーンを狙う脅威
「被害者の機密情報を質に身代金を要求する」「機密情報を公表すると脅す」「被害者の顧客を狙うと脅す」「被害者のサプライチェーンやベンダを攻撃すると脅す」といった、四重の恐喝モデルが急増する。また、新しいパートナーシップに伴う変化や不慣れさが利用される。例として新しいサプライヤーの人物になりすまし、不正なWebサイトに情報を入力させるような、スピアフィッシングメールが送信される等が挙げられる。
CrowdStrike 「2022年に注意すべき5つのサイバー脅威」
CrowdStrikeは本年1月7日、「2022年に注意すべき5つのサイバー脅威」について、その予測を発表しました。特徴としては、クラウドに言及するのではなく、コンテナに言及している点です。クラウド環境におけるセキュリティインシデントの発生源の多くは「設定不備」や「脆弱性」によるものですが、コンテナについても同様のことが言えるでしょう。
二重脅迫型のランサムウェアによる「恐喝経済」の誕生
従来のような窃取したデータ復元との引き換えによる身代金の要求、データの公開や売却と引き換えによる身代金の上乗せといった二重の脅迫だけではなく、2022年にはランサムウェアによる恐喝やデータ流出の側面がさらに高度化し、暗号化ではなく、恐喝に焦点を絞った戦略へと変化する可能性がある
コンテナの封じ込め
コンテナおよびコンテナベースのソリューションの利用増に伴い、コンテナを標的とした脅威も増加傾向にある。しかしながら、コンテナ利用においてのセキュリティは十分普及しておらず、適切な対策が講じられないまま展開される状況が続いており、脆弱性や設定ミスにより、攻撃経路となる危険性が高い。
サプライチェーンに狙いを定める攻撃者
近年サプライチェーン攻撃が増加したことで、サプライチェーンは脆弱であることが明るみになった。攻撃者はこれを利用する手段を積極的に探しており、2022年にもサプライチェーンの上流や下流に位置する顧客・パートナーに深刻な影響を与える可能性がある。
アジア太平洋・日本地域に対する中国のサイバー活動が増加
地政学的な状況の悪化から、中国を拠点とする攻撃者の活動が活発化している。攻撃者はヘルスケア、防衛、その他の業界を標的とし、中国政府の経済戦略を支援している。2022年の北京冬季オリンピックでは、国家主導型のサイバー活動が増加する可能性があり、また、ハクティビストによって情報の混乱や、誤った情報の流布を目的とした活動が展開されると考えられる。
ゼロデイ攻撃が引き起こす「パッチ・パニック」
多発するゼロデイ脆弱性の脅威に対し、レガシーベンダー側が必死に対応しようとして「パッチ・パニック」状態になり、大量のパッチが提供される状況が今後も続いていく。顧客はその状況から逃れるように、プロアクティブに脅威を防ぐことができる他のソリューションを探すことになる。
PaloAlto Networks 「2021年の振り返りと2022年の国内のサイバー脅威予測」
目を中心として、その現状を踏まえ、2022年においての国内のサイバー脅威を予測し、発表しました。他のベンダーのレポート等と異なる点は、2020年から2021年の現状とその変化を明示した上で、2022年の予測を行っている点です。
ランサムウェア
ランサムウェア被害はその発生件数の増加だけではなく、身代金も高額化の一途をたどっている。例えば2020年の身代金平均要求額は85万ドルだったのに対し、2021年(速報値)の身代金平均要求額では530万ドルにも上っている。攻撃者は高額な身代金を得るために、ターゲットに深刻なダメージを与えるようになってきており、その例として米国で発生したパイプライン企業への攻撃や、2021年7月に発生したリモート監視・管理ソフトウェアの脆弱性を悪用した攻撃がある。
フィッシング
在宅勤務の増加に伴い、フィッシング活動が活発化している。これらの活動は、パンデミックに伴い、十分なセキュリティ対策が講じられないまま、仕事をする状況になったことを狙ったものと考えられる。フィッシングに利用されるトピックとしてワクチンや検査、薬などが取り扱われており、それらが増加したことがわかっている。また、2021年には世界的に感染者数が減少し、移動制限が緩和される期待から旅行をテーマにしたフィッシングが増加した。セキュリティ機能からの検出回避のため、CAPTCHAを利用してフィッシングコンテンツを保護し、訪問した人間だけを騙すキャンペーンの増加も確認されている。
脆弱性とスキャニング
米国NISTのNVD(National Vulnerability Database)によれば、現在では平均して1日あたり50以上の新しい脆弱性が公表されている状況である。量の観点から考えても、一般企業が対策を完璧にこなすことは難しくなってきている。そして、脆弱性対策の困難さに加え、クラウドやIoTの急速な拡大・採用に伴い、適切なセキュリティ対策が講じられていない多数の脆弱なシステムがインターネット上で発見されるようになってきている。
2022年の予測 – セキュリティ人材獲得が一層困難に
米国では法執行機関だけではなく、財務省なども含め、政府全体でサイバーセキュリティに取り組んでいるが、このような取り組みは今後世界各国に波及すると考えられる。その際に課題となるのがセキュリティ人材不足であるが、他国と比較し、日本のセキュリティ人材不足が際立っており、これまで以上に獲得が困難になってくるものと予想される。セキュリティ人材の確保と育成が、企業の死活問題につながってくることも考えられる。
共通してみられる傾向と対策
まずランサムウェアについては、概ね各社とも共通の傾向を示していますが、窃取したデータを暗号化する/公開するといった、従来の手法に止まらずに、窃取されたデータが悪用され、様々な形態での恐喝が行われるという懸念があります。また、この攻撃はサプライチェーンリスクとも密接に関連し、窃取されたデータをもって、被害企業の上流・下流にあるサプライチェーンに対する新たな攻撃に結びつく可能性があります。特に重要データを保有するサーバ環境については、不要なポートやサービスの停止や権限の削除などのハードニング(堅牢化)を実施することはもちろんのこと、脆弱性についても早期に対処していく必要が出てきます。また、被害発生の備えとして、定期的なバックアップの取得と、リストアテストの実施は必須の作業です。
脆弱性・ゼロデイ攻撃についても各社の指摘のとおりで、近年ではより脆弱性の発覚から被害の発生までの攻撃スピードが増している点に注意しなければなりません。特に公開システムについては、ベンダーから脆弱性情報がもたらされたあとでパッチを適用するのでは、もはや遅い場合もあり、侵入防御システムやWebアプリケーションファイアウォールにて保護することや、脆弱性管理ソリューションなどを用いて、プロアクティブに対策を講じていくことが望ましいものと考えます。
IoTやクラウド、コンテナといった、DXに伴う新たなプラットフォーム利用についても、その急増する利用から、各社の脅威予測に含まれています。十分なセキュリティ対策が講じられてない場合、攻撃者に対して、サイバー攻撃の足掛かりとなる環境を与えているのとほぼ同じになる懸念があり、適切な設定を行うことはもちろんのこと、脆弱性および公開情報の精査を含む、定期的なリスク診断の実施が推奨されます。
まとめ
今回はセキュリティベンダー3社の脅威予測をもとに、各社に共通してみられる傾向と、その対策について記載いたしました。各社にて予測されている項目はそれぞれ単一な事象や脅威について述べているのではなく、密接に絡み合っているサイバー脅威を紐解き、現状を踏まえ、それぞれの分野についてその予測が述べられているものです。
今後発生しうる事象に対し、その対策を考える上では、まずは現状について客観的に理解を行うことが大前提となります。当社が提供する「P-SS 情報セキュリティ評価サービス」は、「CISSP」など高度な資格を持つセキュリティ人材が第三者視点を持って貴社のサイバーリスクの現状を評価し、今後発生しうる事象/インシデントへの備えとして、その対策までをご支援するサービスです。
お困りごとなどございましたらお気軽にお問合せください。