セキュリティベンダー各社による2022年のサイバー脅威予測
例年、年末・年始には、大手セキュリティベンダー各社から、昨今の脅威動向および予測に関するレポートが公開されます。今回は、これらのレポート内容を振り返り、共通する事柄はどのようなものであるかを分析し、2022に予測されるサイバー脅威について、その理解を深めていきたいと思います。
なお、脅威予測レポートは、今回掲載した以外にも、他のベンダーからも提供されています。各社の立場の違いにより、その予測されている内容は異なるものの、共通する点としては、(当然ながら)過去から現在までの脅威の変遷に基づいて予測が行われているという点です。ゆえに脅威予測レポートは、サイバー脅威の現状を理解する上で役に立つドキュメントです。
以下、本稿の執筆時点で公開されている脅威予測に基づいて、その概要を記載しています。以下はあくまで各社レポートに対する当社の要約であるため、各社レポートの詳細については、各社のウェブサイトをご参照ください。
(1)トレンドマイクロ 「2022年セキュリティ脅威予測」
トレンドマイクロは「クラウドの脅威」「ランサムウェア攻撃」「脆弱性攻撃」「従来型マルウェア攻撃」「IoTの脅威」「サプライチェーンを狙う脅威」の6つの脅威を取り上げ、脅威の動向、攻撃手法やターゲットの変化を含めて予測しています。所感としては、顕在的ではないものの、既に発生している攻撃手法なども予測として含まれている印象であり、今後それらが主流となっていくことを予測しているように見受けられます。
1. クラウドの脅威
ユーザの継続的なクラウド移行に伴い、サイバー犯罪者もそれに追随する。例としてセキュリティ保護のないコンテナイメージ、不備のある認証アクセスコントロールの管理ポリシーなどを用いて、SaaSが狙われる。
また、攻撃者は、開発工程の早い段階に着目する「シフトレフト」のトレンドに対応し、様々な手法を駆使することで、クラウド利用企業に大きな被害をもたらす攻撃を続けていく。開発者やビルドシステムが、サプライチェーン攻撃によって、複数の企業にマルウェアを拡散させようとする最初のエントリーポイントとなり得る。
2. ランサムウェア攻撃
ランサムウェア攻撃はより標的化や凶悪化の傾向を帯び、企業は攻撃から防御することがより難しくなってくる。エンドポイントに比べサーバセキュリティ対策の投資が不十分であることや、熟練したセキュリティ人材の不足も、その対策上の懸念点となる。
また、いわゆる「国家によるサイバー攻撃(State-Sponsored)」と呼ばれる高度な攻撃手法に似た手口をもって、恐喝が行われる。恐喝手段には暗号化によるデータアクセス拒否だけではなく、窃取した機密情報を様々な恐喝の手段として利用することに重点が置かれる。なお、標的型メール、VPN、RDP経由の進入のような、現在ランサムウェア攻撃に用いられている常套手段は、引き続き活用される。
3. 脆弱性攻撃
脆弱性の悪用までの時間は、数日から数時間にまで短縮されている。ベンダーによる修正パッチ公開前に、脆弱性悪用ツールが登場する。
また、攻撃者は、システムの欠陥を示す指標として修正パッチそのものに着目し、それらから得られた情報を用いて不正コードを作成するようになる。
4. 従来型マルウェア攻撃
ランサムウェア攻撃を行う攻撃者は、攻撃を効果的なものとするために、従来型マルウエアや一般的なツール(Metasploit, Cobalt Strike等)を利用している。ツールによりカスタマイズされたマルウェアは、アンダーグラウンド市場で商品化され、他の攻撃者・サイバー犯罪者が利用できるようになる。
また、攻撃者がマルウェアを開発する、あるいは一度購入し利用するというモデルから、経験の浅いサイバー犯罪者にも適したサービスモデルに移行しており、攻撃者自らオーダーメイドのマルウェアを開発する必要性がほとんどなくなるレベルに成熟していく。
5. IoTの脅威
IoTデバイスは攻撃拠点やネットワーク内での水平移動に利用されるだけではなく、攻撃者にとってより高度な標的を狙うための基盤となる。
特に、コネクテッドカーの保有するデータ及びデータトラフィックに狙いが定められる。コネクテッドカーの情報需要は高く、2030年までに約4,500〜7,000億米ドルの価値があると予測されており、サイバー犯罪者はそれらの接続情報から利益を得ようとする。
6. サプライチェーンを狙う脅威
「被害者の機密情報を質に身代金を要求する」「機密情報を公表すると脅す」「被害者の顧客を狙うと脅す」「被害者のサプライチェーンやベンダを攻撃すると脅す」といった、四重の恐喝モデルが急増する。
また、新しいパートナーシップに伴う変化や不慣れさが利用される。例として新しいサプライヤーの人物になりすまして不正なWebサイトに情報を入力させるような、スピアフィッシングメールが送信される等。
(2)CrowdStrike「2022年に注意すべき5つのサイバー脅威」
CrowdStrikeは本年1月7日、「2022に注意すべき5つのサイバー脅威」について、その予測を発表しました。特徴としては、クラウドに言及するのではなく、コンテナに言及している点です。クラウド環境におけるセキュリティインシデントの発生源の多くは「設定不備」や「脆弱性」によるものですが、コンテナについても同様のことが言えるでしょう。
CrowdStrike - 2022年に注意すべき5つのサイバー脅威を予測
1. 二重脅迫型のランサムウェアによる「恐喝経済」の誕生
従来のような窃取したデータ復元との引き換えによる身代金の要求、データの公開や売却と引き換えによる身代金の上乗せといった二重の脅迫だけではなく、2022年にはランサムウェアによる恐喝やデータ流出の側面がさらに高度化し、暗号化ではなく、恐喝に焦点を絞った戦略へと変化する可能性がある。
2. コンテナの封じ込め
コンテナおよびコンテナベースのソリューションの利用増に伴い、コンテナを標的とした脅威も増加傾向にある。しかしながら、コンテナ利用においてのセキュリティは十分普及しておらず、適切な対策が講じられないまま展開される状況が続いており、脆弱性や設定ミスにより、攻撃経路となる危険性が高い。
3. サプライチェーンに狙いを定める攻撃者
近年サプライチェーン攻撃が増加したことで、サプライチェーンは脆弱であることが明るみになった。攻撃者はこれを利用する手段を積極的に探しており、2022年にもサプライチェーンの上流や下流に位置する顧客・パートナーに深刻な影響を与える可能性がある。
4. アジア太平洋・日本地域に対する中国のサイバー活動が増加
地政学的な状況の悪化から、中国を拠点とする攻撃者の活動が活発化している。攻撃者はヘルスケア、防衛、その他の業界を標的とし、中国政府の経済戦略を支援している。
2022年の北京冬季オリンピックでは、国家主導型のサイバー活動が増加する可能性があり、また、ハクティビストによって情報の混乱や、誤った情報の流布を目的とした活動が展開されると考えられる。
5. ゼロデイ攻撃が引き起こす「パッチ・パニック」
多発するゼロデイ脆弱性の脅威に対し、レガシーベンダー側が必死に対応しようとして「パッチ・パニック」状態になり、大量のパッチが提供される状況が今後も続いていく。顧客はその状況から逃れるように、プロアクティブに脅威を防ぐことができる他のソリューションを探すことになる。
(3)PaloAlto Networks「2021年の振り返りと2022年の国内のサイバー脅威予測」
PaloAlto Networksは2021年12月、「ランサムウェア」「フィッシング」「脆弱性とスキャニング」の3項目を中心として、その現状を踏まえ、2022においての国内のサイバー脅威を予測し、発表しました。他のベンダーのレポート等と異なる点は、2020年から2021年の現状とその変化を明示した上で、2022年の予測を行っている点です。
PaloAlto Networks - 2021年の振り返りと2022年の国内のサイバー脅威予測
1. ランサムウェア
ランサムウェア被害はその発生件数の増加だけではなく、身代金も高額化の一途をたどっている。例えば2020年の身代金平均要求額は85万ドルだったのに対し、2021年(速報値)の身代金平均要求額では530万ドルにも上っている。攻撃者は高額な身代金を得るために、ターゲットに深刻なダメージを与えるようになってきており、その例として米国で発生したパイプライン企業への攻撃や、2021年7月に発生したリモート監視・管理ソフトウェアの脆弱性を悪用した攻撃がある。
2. フィッシング
在宅勤務の増加に伴い、フィッシング活動が活発化している。これらの活動は、パンデミックに伴い、十分なセキュリティ対策が講じられないまま、仕事をする状況になったことを狙ったものと考えられる。フィッシングに利用されるトピックとしてワクチンや検査、薬などが取り扱われており、それらが増加したことがわかっている。
また、2021年には世界的に感染者数が減少し、移動制限が緩和される期待から旅行をテーマにしたフィッシングが増加した。セキュリティ機能からの検出回避のため、CAPTCHAを利用してフィッシングコンテンツを保護し、訪問した人間だけを騙すキャンペーンの増加も確認されている。
3. 脆弱性とスキャニング
米国NISTのNVD(National Vulnerability Database)によれば、現在では平均して1日あたり50以上の新しい脆弱性が公表されている状況である。量の観点から考えても、一般企業が対策を完璧にこなすことは難しくなってきている。
そして、脆弱性対策の困難さに加え、クラウドやIoTの急速な拡大・採用に伴い、適切なセキュリティ対策が講じられていない多数の脆弱なシステムがインターネット上で発見されるようになってきている。
4. 2022年の予測 – セキュリティ人材獲得が一層困難に
米国では法執行機関だけではなく、財務省なども含め、政府全体でサイバーセキュリティに取り組んでいるが、このような取り組みは今後世界各国に波及すると考えられる。
その際に課題となるのがセキュリティ人材不足であるが、他国と比較し、日本のセキュリティ人材不足が際立っており、これまで以上に獲得が困難になってくるものと予想される。セキュリティ人材の確保と育成が、企業の死活問題につながってくることも考えられる。
(4)Trellix「2022年の脅威予測レポート」
Trellixという名前を聞いてもピンとこない方がまだ多いかもしれませんが、TrellixはMcAfee EnterpriseとFireEyeの経営統合によって生まれた新設法人です。
Trellixは2022年1月25日、「2022年に企業が注意すべきサイバーセキュリティの脅威」と題したブログ記事を公開いたしました。
Trellix - 2022年に企業が注意すべきサイバーセキュリティの脅威
特徴は、企業が保有するシステムに対するサイバー脅威だけではなく、ソーシャルエンジニアリングなど、企業の構成要素である個人を標的とする攻撃についても言及している点です。
1. 拡大するソーシャルメディア経由の脅威
サイバー犯罪者は、ソーシャルメディアを利用し、標的とする企業の幹部とのコミュニケーションを図っていく。また、標的企業の幹部に対して、仕事のオファーを装ってコンタクトを行い、最終的にはマルウェアに感染させる。個人を標的にすることは非常に成功率が高い手法であり、このアプローチは、これまでもよく使われている手口でもある。(筆者注:いわゆるソーシャルエンジニアリングのこと)
個人に対するアプローチは、いわゆる諜報活動のような、国家支援によるスパイグループだけではなく、金銭的な利益を狙うサイバー犯罪者たちの使用が増加する可能性がある。
2. 国家に雇われたサイバー犯罪者が暗躍
サイバー犯罪が国家主導によるオペレーションの融合が増加している。その多くはスタートアップ企業を設立し、そのフロント企業を各国の情報当局が指揮・統制するという作戦であり、現在では中国・ロシア・北朝鮮・イランによるオペレーションが確認されている。
主には外国を攻撃のターゲットとするが、自国民をターゲットとし、自国民の行動を追跡するプロジェクトなどもその存在が確認されている。
3. RaaSエコシステム内の攻防により勢力均衡がシフト
RaaS(Ransomware-as-a-Service)モデルが、スキルの低いサイバー犯罪者にも使用され、侵入件数の増加や犯罪者の利益増加につながった。
一方で、RaaSのエコシステムを構成するグループ内では、その利益配分が公正に行われていないという不満を持つグループもあるなど、いわゆるサイバー犯罪者同士の内紛が発生している状況がみられているなど、そのパワーバランスが変化しつつある。
4. スキルの低いランサムウェアオペレーターが、RaaSモデルのパワーシフトの中で地位を確立
RaaSモデルのエコシステムの確立により、より多くの開発者がRaaS市場に参入するようになった結果、スキルの低いランサムウェアオペレーター(RaaSの運用者)の需要が増加している。
5. APIのリスクが増大
APIの設定不備による意図しない情報流出、認証メカニズムの悪用による不正アクセス、クラウドAPIを悪用したセキュリティ侵害の発生や、クラウドストレージ上の企業データに対する、APIを悪用したランサムウェア攻撃の可能性がある。
6. アプリケーションコンテナの悪用が拡大
コンテナはクラウドアプリケーションの事実上のプラットフォームとなっている。コンテナに対する攻撃は新しいものではないが、Kubernetesなどのオーケストレータや関連するPIAに対する攻撃が、設定ミスによって増加する。また、コンテナ上で稼働するアプリケーションの脆弱性を狙う攻撃の増加が見込まれる。
7. ゼロデイとその対策の浸透
2021年はゼロデイ脆弱性の数が過去最悪の記録を更新した(と言われている)。攻撃者もセキュリティ研究者も、ソフトウェアベンダーによる脆弱性の公開後、数時間以内にエクスプロイト(攻撃の実証コード)やPoCを生み出すために競争することが予想される状況であり、企業側としても「パッチ適用までの時間」を短縮することに改めて取り組むことになる。
共通してみられる傾向と、その対策とは?
まずランサムウェアについては、概ね各社とも共通の傾向を示しておりますが、窃取したデータを暗号化する/公開するといった、従来の手法に止まらずに、窃取されたデータが悪用され、様々な形態での恐喝が行われるという点が懸念されています。
また、この攻撃はサプライチェーンリスクとも密接に関連し、窃取されたデータをもって、被害企業の上流・下流にあるサプライチェーンに対する新たな攻撃に結びつく可能性があります。特に重要データを保有するサーバ環境については、不要なポート・サービスの停止によるアクセス制御や、利用されていないアカウントの削除などのハードニング(堅牢化)を実施することはもちろんのこと、脆弱性についても早期に対処していく必要が出てきます。また、被害発生の備えとして、定期的なバックアップの取得と、リストアテストの実施は必須の作業です。
脆弱性・ゼロデイ攻撃についても各社の指摘のとおりで、近年ではより脆弱性の発覚から被害の発生まで、その攻撃のスピードが増している点に注意しなければなりません。特に公開システムについては、ゼロデイ攻撃に代表されるように、ベンダーから脆弱性情報がもたらされたあとでパッチを適用するのではもはや遅い場合もあり、侵入防御システムやWebアプリケーションファイアウォールにて保護することや、脆弱性管理ソリューションなどを用いて、よりプロアクティブに対策を講じていくことが望ましいものと考えます。
IoTやクラウド、コンテナといった、DXに伴う新たなプラットフォーム利用についても、その急増する利用から、各社の脅威予測に含まれています。十分なセキュリティ対策が講じられてない場合、攻撃者に対して、サイバー攻撃の足掛かりとなる環境を与えているのとほぼ同じになる懸念があり、適切な設定を行うことはもちろんのこと、脆弱性および公開情報の精査を含む、定期的なリスク診断の実施が推奨されます。
まとめ
今回はセキュリティベンダー4社の脅威予測をもとに、各社に共通してみられる傾向と、その対策について記載いたしました。各社にて予測されている項目はそれぞれ単一な事象や脅威について述べているのではなく、密接に絡み合っているサイバー脅威を紐解き、現状を踏まえ、それぞれの分野についてその予測が述べられているものです。
今後発生しうる事象に対し、その対策を考える上では、まずは現状について客観的に理解を行うことが重要です。
改めて、現状の対策状況と今後の展望についてご検討されてみては如何でしょうか?お悩みの点などがございましたら、是非お気軽に当社までお問合せくださいませ。
それでは、今回も最後までご覧いただきありがとうございました。
※本記事は、株式会社セキュアベース様からご提供いただいた2022年1月24日付のレポート
『セキュリティベンダー各社による2022年のサイバー脅威予測』をもとに当社で再構成したものです。