Trellixは1月25日、2022年に企業が直面するサイバーセキュリティ脅威の予測についてまとめた「2022年脅威動向予測レポート」を発表した。
Trellixは、McAfee EnterpriseとFireEyeの統合により設立された新法人だ。同レポートでは、両社のエンジニアとセキュリティアーキテクトによるサイバーセキュリティに関する検証を基にした、2022年度に起こるであろう7つの予測を紹介している。
同日に開催された記者説明会では、7つの脅威予測の詳細が解説された。
予測1:拡大するソーシャルメディア経由の脅威
Trellixは、ヘッドハンティングを装いソーシャルメディアを介して企業や組織に侵入する手口が増えると予想する。例えば、マルウェアを仕込んだ職務記述書をダウンロードさせて侵入経路にするといった手口が考えられるという。
ソーシャルメディアを通じて企業や組織の幹部を探し出して接触するのはもちろん、攻撃者はLinkedInやFacebookでターゲットのビジネスやプライベートに関連する情報を収集し、ターゲットの興味関心を把握したうえでコンタクトを取ろうとする。しかも、不審に思われないよう、数か月前からプロフィールを準備し、業界関係者からのフォロワーやコネクションを事前に獲得するため、不正なアカウントと見分けるのが困難になっている。
Trellix 執行役 セールスエンジニアリング本部 ディレクターの櫻井秀光氏は、「SNSでの繋がりリクエストや各種オファーを承認する前に一呼吸を置き、相手が本当に知り合いか、共通の知人は正しいか確認すべき」とアドバイスした。
予測2:国家に雇われたサーバ犯罪者が暗躍
国家がサイバー戦争をする中で、自分たちの姿を隠蔽するために、フロント企業のように一般的なサイバー犯罪者を雇う動きが出てくるとTrellixは見ている。すでに中国、ロシア、北朝鮮、イラン、その他の国々が同様の戦術を採用しているという。
そうしたサイバー犯罪者は、国家ぐるみの攻撃を仕掛けつつ、時には金銭目的の攻撃を仕掛けてくる。そのため、あるサイバー攻撃が国家の知的財産やビジネスインテリジェンスを目的としたものか、金銭目的のものなのかがわかりにくくなっているという。
例えばトロイの木馬で得られた企業の認証情報が、ランサムウェアなどのサイバー犯罪に利用されると同時に、特定のネットワークにアクセスしたいと考えている某国の諜報機関に利用される、といったことも起こりえる。
国家ぐるみのサイバー戦争で狙われるのは重要・機密情報が含まれるデータだ。どのようなデータが重要で機密であるか把握し、不正アクセスやコピー、知らないクラウドサービスへのアップロードが起こっていないかを検知し、ランサムウェアで破壊されても復旧可能なバックアップを用意するなの対策を櫻井氏は推奨する。
予測3:RaaSエコシステム内の攻防により勢力均衡が崩壊
技術を持たない犯罪者でも手軽にランサムウェアを利用できるようにするRaaS(Ransomware as a Service)は、開発・運用、アフィリエイト(運び屋)、企業との金銭交渉など複数のグループによって提供されているが、グループ間の力関係に変化が生じるかもしれないとTrellixでは考えている。
背景には、公平な収益を得られていないと不満を持つグループの存在がある。櫻井氏は、「米コロニアル・パイプラインへの攻撃後、RaaSに注目が集まり過ぎたため、活動自粛が起こっている半面、自らの有能さをアピールする動きもある。アフィリエイトグループの中からは、『ランサムウェアのツールがあっても自分たちのような運び屋がいなければ成り立たない』と自らの存在を盾にして、取り分を多く要求する例も増えているそうだ」と話した。
予測4:スキルの低いオペレーターが、RaaSモデルのパワーシフトの中で地位を確立
4つ目の予測は、RaaSのエコシステム内でアフィリエイト(運び屋)チームが地位を確立していくというものだ。
昨今では二重脅迫型ランサムウェアやネットワークへのアクセス権を用いた脅迫など、ランサムウェアによるデータ暗号化を実施せずとも身代金が取れるようになってきており、Trellixはネットワークを掌握する力を持ったアフィリエイトが結託し、自らの存在を固辞してくると予想する。
他方で、Active Directoryを悪用するなど容易なネットワーク侵入手法も台頭しており、攻撃レベルの低下にも繋がっている。
RaaSのエコシステム崩壊やモデル自体の変化、専門外であっても開発、デリバリー、金銭交渉まで行うグループの台頭などにより、全体的な攻撃レベルの低下と被害の減少の可能性もあるという。
予測5:APIのリスクが増大
Webサイトやメール、社内のネットワークなどの「表口」とされるネットワークに対して、APIは「裏口」であり、表口に比べてセキュリティ対策が十分でないことから、APIサービスが攻撃者のターゲットになるという。
櫻井氏は、「表口については多要素認証を活用したり、IDS・IPSで不正アクセスの検知・遮断をしたり、また侵入時にはサーバのログを取って侵入の痕跡を追うなどの対策を講じているが、APIについては、セキュリティ対策の量・質とも落ちる」と指摘する。
APIのセキュリティ対策としては、今後はAPIの通信に対してゼロトラストのコンセプトに則ったアクセスコントロールや、APIコールの対象や頻度の監視とログ取得などが有効となる。
予測6:コンテナの悪用が拡大
コンテナはクラウドアプリケーションのデファクトプラットフォームになりつつあり、ユーザー数の多さから、結果としてサイバー攻撃の対象になる。昨今では、コンテナの設定ミスを突かれて、攻撃者の足場として利用される事例が起こっている。
コンテナのサイバーセキュリティ対策として、環境の設定ミスに対する継続的な監査、構築イメージが改ざんされていないかを見る完全性チェック、管理者権限の制御およびユーザーアクセスの使用方法の監視などが挙がった。
併せて、コンテナ環境に対する脅威の戦術と技法を把握する資料として、米Mitreが2021年に提供したMitre ATT&CK Matrix for Containersも紹介された。
予測7:ゼロデイ脆弱性とそれに対する迅速な対策の浸透
予測7は、今後ユーザー側でゼロデイ脆弱性に対してパッチ適用が迅速に行われるようになるのではないか、という期待を込めた内容となる。
2021年は、悪用されたゼロデイ脆弱性の数が過去最悪の記録を更新した。脆弱性を突くツールも公開され、脆弱性が公開されてしばらく経っても、パッチ未適用のシステムが大量に存在するケースが散在した。その一方で、米国政府ではクリティカルな脆弱性が出たら2週間以内にパッチ適応を徹底する旨を関係組織にオーダーしたという。
「そのような動きやマインドセットが広まることで、日本においても意識や対応が変わり、ビジネスを中断する可能性があるとしても迅速にパッチを展開するという動きが浸透する可能性がある」と櫻井氏は語った。