2023年の年頭にあたり、ダークトレース・ジャパン カントリーマネージャー 鈴木真氏は年頭所感として、以下を発表した。
新年明けましておめでとうございます。
2022 年は新手のランサムウェアやサプライチェーン攻撃、Emotet などの新手のサイバー攻撃による実害が国内外で急増し、サイバーセキュリティ業界においてゲームチェンジの年となりました。
2023年の脅威ランドスケープはどのような様相を呈するのでしょうか?新年を迎えるにあたり、ダークトレースは2023年に注意を向けるべき5つのトレンドを発表します。
(1)攻撃者はアイデンティティとMFAを中心とした戦術を立てる
昨年9月に発生したUber社に対するハッキングでは、多要素認証(MFA)が破られました。大半のサイバーインシデントの核心は、正規の認証情報の窃取と乱用です。Uber社のケースでは、強固であるとされてきたMFAがいとも簡単に侵害される可能性があること、そしてOkta社の事例ではMFA企業自体がターゲットになることを思い知らされ、他の顧客環境におけるMFAの有効性や信頼性を低下させるメカニズムになる可能性があることが確認されたのです。
かつてクレデンシャルスタッフィングとの戦いにおいて「銀の弾丸」と考えられていたMFAですが、攻撃者がMFAの弱点を発見・悪用するのにさほど時間はかからず、2023年も同種の攻撃は継続するでしょう。MFAは、基本的なサイバー衛生にとって肝要であることに変わりはないものの、単独で「設定すれば後はおまかせ」できるソリューションと見なされることはなくなるでしょう。NFAのアクセシビリティとユーザビリティに関する疑念は、引き続きMFAに関する主要議題となり、従来のオンプレミス型ネットワークに代わってクラウドとSaaSの利活用が増加することで、さらに増幅されると考えられます。
ゼロトラストアーキテクチャでは、従業員の挙動を把握し、特定のクレデンシャルを使って実行されたアクションを認証するために挙動ベースの分析を行うことが肝要ですが、2023年以降、MFAはこのようなゼロトラストアーキテクチャにおける構成要素の1つと見なされることになるでしょう。
(2)非国家主体による継続的な「ハクティビズム」がアトリビューションとセキュリティ戦略を複雑化する
サイバー地政学において、いわゆる「自警団」的なアプローチが増加しています。Killnetなどのグループが昨年行った攻撃は、その作戦上の影響は限定的であったものの、ロシアとウクライナの紛争に関連させて世界中のニュースの見出しを独占することを目的としており、こうした市民主導の作戦がより破壊的になる可能性、さらに国家がこうしたグループを代理人として悪用する可能性があるという懸念を高めています。
しかし、「ロシア」がこれらの攻撃を開始したという主張は誤解を招く恐れがあり、既にして複雑な政治的火種を増やすことになります。サイバー攻撃の帰属(アトリビューション)や国家レベルのミッションの範囲を読み解くことは難しく、国家と連携している、国家が関与している、あるいは国家が指揮しているなどの線引きが曖昧なため、エスカレーションや巻き添え、誤認識のリスクが高まっているのです。
2023年はサイバー空間において「敵を知る」ことがこれまで以上に複雑な作業になります。とはいえ、組織はサイバーリスクの現実を認識し、センセーショナルな報道で取り上げられるインターネット上のBoogie Man(怪物)に注目し過ぎないようにすることが重要です。
APTグループに典型的に見られるような最新かつ巧妙なエクスプロイトキットやランサムウェアよりも、持続的かつ広く入手可能で低精巧なマルウェアやありふれたフィッシングキャンペーンの方が、統計的には企業にとって大きなグローバルリスクであり続けているのです。敵の名前を挙げることはますます難しくなっており、企業はニュースの見出しから離れ、各社固有のリスクプロファイルを独自に理解することでビジネスの安定性を確保する、という方向に向かうことが重要です。
(3)クリプトジャックの放置が危険な状態に
暗号資産をマイニングするためのコンピュータリソースの乗っ取りは、世界的に最も急速に拡大しているサイバー脅威の1つです。このような攻撃は直接的には脅威にならない「バックグラウンドノイズ」として見過ごされがちですが、実際には、暗号通貨マイニングに伴って発生するあらゆる異常は、指一本でランサムウェア、データの流出、さらには人為的な攻撃の入口となる可能性を秘めています。
クリプトジャッカーが渇望するような規模のマイニングを展開するには、不正なネットワークアクセスが、ソフトウェアの脆弱性や、弱いかもしくはデフォルトのままの認証情報など、比較的低コストで突くことができる弱点を土台にして実現できる必要があります。このことは、基本的な対策がどこかで正しく行われていないことを意味し、クリプトジャッカーがこれらを悪用できるのであれば、ランサムウェアの実行者が同じ道を辿ることを止めることはできないでしょう。
2023年には、クリプトジャッカーはますます有能になり、通常であれば不可避あるいは無視してもよいと考えられていることが、有害な影響を及ぼすようになるかもしれません。セキュリティリーダーは「この人物はどうやって侵入したのだろう?」と自問自答する必要があります。その上で、自社に対する最も容易な侵入経路を補強する必要があります。
2023年も継続するであろうエネルギー価格の上昇により、不正な暗号通貨マイニングがより大きな経済的損失をもたらすことが予想されます。企業は不正なソフトウェアやハッカーにリソースを吸い取られるような事態を避ける必要があります。
(4)ランサムウェアがクラウド環境に殺到する
ランサムウェア攻撃は常に進化しており、組織におけるクラウドの導入と依存度が急増するに伴い、攻撃者もクラウド上のデータを追い続けることになるでしょう。2023年は、ランサムウェアのシナリオにおいて、暗号化に代わってクラウドの特性を悪用したデータ漏えいが増加する可能性があります。
サードパーティのサプライチェーンは、犯罪を企図する者に対してより多くの隠れ場所を提供し、単一の組織ではなくクラウドプロバイダーをターゲットにすることで、攻撃者はより多くの利益を得ることができるのです。これは、昨年10月初旬にVice Societyというランサムウェア集団が、米国で2番目に大きな学区であるロサンゼルス統一学区(LAUSD)を脅迫し、銀行の詳細情報や生徒の精神健康状態などの高度な機密情報をダークネット上に公開した際に、すでに教育分野に甚大な影響を与えた手口でもあります。
(5)不況に伴い、CISOはプロアクティブなサイバー防御について役員会で率直に話すことが求められる
サイバーセキュリティは取締役会の問題ですが、経済の不透明感が増す中、組織は2023年の予算計画を立案するにあたり厳しい決断を迫られています。サイバー保険の保険料が高騰していますが、国家に起因するサイバー攻撃に対する免責条項を追記する保険会社が増えているため、組織はこのような高い保険料に見合う価値を見出すのに苦労しています。
保険もコンプライアンスも、真の運用保証を得ることなく「保護」のチェックボックスにチェックを入れる方法と考えられてきましたが、長期的な事業の中断や風評被害を保険で補うことができないことは、コロニアルパイプラインの事例を見れば明らかです。
2023年、CISOは単なる保険やチェックボックス式のコンプライアンス遵守にとどまらず、予算削減の中でROIを最大化するために、よりプロアクティブなサイバーセキュリティ対策を選択し、サイバーレジリエンスを継続的に向上させるツールや機能への投資にシフトしていくことでしょう。
エシカルハッキング、ペンテスト、レッドチームといった人間主導の手段は、もはやリソースとして希少かつ高価です。CISOは、攻撃者がたどる経路を前もって把握したり、レッドチーミングを実行したりなど、脆弱性の最小化・システムの堅牢化を目的として、今後はAI主導の手法に目を向けることになるでしょう。
また、成熟度モデル(CMMC)やエンドツーエンドのソリューションも重要であり、バックグラウンドで継続的に防御力をテストすることの有効性について、CISOと取締役会の間で率直なコミュニケーションが必要になるでしょう。