2020年12月17日

フォーティネット、FortiGuard Labsによる「2021年のサイバー脅威予測」を発表
インテリジェントエッジの武器化により、将来のサイバー攻撃の速度と規模が劇的に変化すると予測

AIの応用と実用的な脅威インテリジェンスの活用による脅威の防止、検知、レスポンスの高速化が不可欠に

幅広い適用領域で(Broad)システム連携し(Integrated)、自動化された(Automated)ソリューションの世界的リーダーである、フォーティネット(Fortinet®、NASDAQ: FTNT)は、FortiGuard Labsのグローバル脅威インテリジェンス / 調査研究チームによる2021年以降の脅威トレンドに関する予測を発表しました。

  • この予測において同チームは、サイバー犯罪者が近い将来悪用すると考えられる手法を明らかにするとともに、迫り来る攻撃への備えに役立つ重要な提案を解説しています。
  • インテリジェントエッジ、5G対応デバイス、処理能力の進歩を活用するサイバー犯罪者は、これまでにない速度と規模で、新しい高度な脅威を次々と仕掛けてくることになると考えられます。またサイバー犯罪者は、コアネットワークだけでなくリモートワーカーやクラウド、さらには新しいOTエッジ環境などの新しいネットワークエッジ環境を標的にし、悪用する攻撃に多くのリソースを投入するようになることが予想されます。
  • 防御側にとって不可欠なのは、攻撃側に先駆けて人工知能(AI)と機械学習(ML: Machine Learning)の能力を活用し、脅威の防止、検知、レスポンスを加速させることです。攻撃が加速し続ける中で組織の防衛能力をリアルタイムで向上させるためには、実用的で統合された脅威インテリジェンスも重要になります。
  • 予測の概要を以下に紹介しますが、詳細と主な調査結果については、こちらのホワイトペーパー「2021年のサイバー脅威予測」(日本語)または ブログ(英語) をご覧ください。

インテリジェントエッジが攻撃の機会と標的を増加する

この数年で、従来のネットワーク境界がWANやマルチクラウド、データセンター、リモートワーカー、IoTなどの複数のエッジ環境に置き換えられましたが、それぞれに固有のリスクが存在します。サイバー犯罪者にとっての最大の旨味の1つは、これらすべてのエッジが相互接続されている一方で、多くの組織が一元的な可視性と統一された制御を通じたパフォーマンスやデジタルトランスフォーメーションを優先してしまっている点にあります。その結果、サイバー犯罪者はこれらの環境を標的にして攻撃を進化させ、5Gによって可能になる速度と規模を利用しようとするようになると考えられます。

  • エッジを標的にする進化したトロイの木馬:エンドユーザーとその自宅のリソースはすでにサイバー犯罪者の標的になっていますが、高度な攻撃者は、これを次の段階に進む足掛かりとして使用するようになるでしょう。リモートワーカーの自宅のネットワークを起点とする企業のネットワークに対する攻撃は、特にその企業の利用トレンドを確実に把握されてしまった場合、疑いを持たれることなく慎重に連携しながら進行する可能性があります。結果として、高度なマルウェアが新しいEAT(Edge Access Trojans: エッジにアクセスするトロイの木馬)を使用してさらに脆弱なデータやトレンドを発見し、ローカルネットワークからの通信を傍受してさらに多くのシステムを侵害したり、他の攻撃コマンドをインジェクションしたりする可能性もあります。
  • エッジを構成するスウォーム攻撃:新たに登場する5G対応デバイスを攻撃して悪用することで、新たに高度な脅威の機会が生まれることが予想されます。サイバー犯罪者によるスウォームベース攻撃の開発と展開に向けた動きが進んでいます。これらの攻撃はデバイスを乗っ取り、専門のスキル別にサブグループに分けて悪用します。ネットワークやデバイスを統合システムとして標的にし、リアルタイムで情報を共有することで、攻撃の進行中に能力が強化されます。スウォームテクノロジーには、個々のスウォームボットの処理や、ボットスウォームでの効率的な情報共有のための大量の処理能力が必要です。そうすることで、脆弱性を早く見つけて共有し、関連付けることが可能となり、攻撃手法をさらに発展させて効率良く脆弱性を悪用できるようになります。
  • ソーシャルエンジニアリングがより巧妙化する可能性:スマートデバイスやユーザーと対話する家庭用システムは、攻撃の標的になるだけでなく、さらに奥深くへの侵入口にもなりかねません。日課や習慣、財務情報などのユーザーに関する重要な情報を利用することで、ソーシャルエンジニアリングを使った攻撃の成功率が高くなる可能性があります。より高度な攻撃であれば、セキュリティシステムをオフにする、カメラを無効にする、あるいはスマートアプライアンスを乗っ取るだけではなく、他のデータを乗っ取って身代金の要求や恐喝を行ったり、認証情報を密かに盗み出したりすることも予想されます。
  • OTエッジを攻撃し、身代金を要求する脅威の出現:ランサムウェアが進化し続け、OT(オペレーショナルテクノロジー)、中でも重要インフラのITシステムへのコンバージェンスが拡大することで、これまで以上に多くのデータやデバイス、さらには人命までもがリスクにさらされることが考えられます。恐喝、中傷、名誉毀損がすでにランサムウェアの取引の道具になっていますが、さらに重要インフラを含むOTエッジのフィールドデバイスやセンサーがサイバー犯罪者の標的になることが増えた場合、人命までもがリスクにさらされることになります。

処理性能のイノベーションも標的に

処理性能の向上や接続方法の革新的な進歩をサイバー犯罪に悪用しようとする攻撃の登場も予想されます。これらの攻撃は新たな領域も対象とすることが可能になるため、このようなサイバー犯罪の動向を十分に認識し、先手を打つという課題が防御側に課せられます。

  • 高度なクリプトマイニング:MLやAIの活用によって攻撃の大規模化を画策するサイバー犯罪者にとって、処理能力は重要な要素となります。エッジデバイスの処理能力を乗っ取ることができれば、最終的にサイバー犯罪者は大量のデータを処理し、エッジデバイスがいつどのように使用されるか把握可能となり、より効果的にクリプトマイニングを実行できるようになる可能性もあります。感染したPCの処理リソースが乗っ取られると、CPUの使用率やユーザーエクスペリエンスに直接影響するため多くの場合に特定されてしまいますが、二次的なデバイスであれば、感染させても気付かれる可能性は極めて低くなると考えられます。
  • 宇宙からの攻撃:衛星システムによる接続や通信手段は、サイバー犯罪者にとって魅力的な標的と言えるでしょう。新しい通信システムの大規模化と衛星システムによるネットワークの拡大に伴い、サイバー犯罪者がこのコンバージェンスを標的として攻撃を続ける可能性があります。結果として、衛星基地局が攻撃され衛星のネットワーク経由でマルウェアが拡散すれば、何百万人もの接続ユーザーを攻撃したり、DDoS攻撃を仕掛けて重要な通信を妨害したりする恐れもあります。
  • 量子コンピューティングの脅威:サイバーセキュリティの観点からは、量子コンピュータによって将来的に暗号化の有効性が脅かされるようになり、新たなリスクに直面することになる可能性があります。量子コンピュータの膨大な処理能力によって、一部の非対称暗号化アルゴリズムが解読される恐れがあります。そのため、暗号化の俊敏性の原則に則って耐量子暗号化アルゴリズムに移行する準備を進め、現在および将来の情報を確実に保護する必要があります。平均的な能力のサイバー犯罪者が量子コンピュータを利用することは困難ですが、国家が支援する攻撃者であればいずれは利用可能になるため、今から準備を始めて暗号化の俊敏性を採用しておかなければ、最終的にはそのような脅威が現実のものになると考えられます。

将来の攻撃に対する防御でAIが極めて重要な役割を果たす

今後発生すると予測されるこれらの攻撃トレンドが徐々に現実のものとなるのに伴い、攻撃を可能にするリソースが商品化されてダークネットのサービスやオープンソースのツールキットとして利用できるようになるのは、おそらく時間の問題です。したがって、テクノロジー、人、トレーニング、パートナーシップを適切に組合わせて、このような将来のサイバー攻撃からの保護を可能にする必要があります。

  • AIもまた進化する必要がある:人工知能の進化は、進化する攻撃に対する将来の防御に不可欠です。AIを次世代へと進化させる必要があり、そのためには、人間の神経系と同様にMLを利用したローカルの学習ノードを統合システムの一部として活用する必要もあるでしょう。未来のサイバー攻撃はマイクロ秒単位で発生するため、AIを活用して攻撃の発見や予測、対抗を可能にするテクノロジーを実用化する必要があります。人間の主な役割は、セキュリティシステムに十分なインテリジェンスがフィードされていることを確認することであり、それによって進行中の攻撃に対抗するだけでなく、攻撃を予測して回避可能になります。
  • 未来へと続くパートナーシップの重要性:組織がサイバー攻撃からの防御をすべて自力で完結できるわけではありません。発生した攻撃の情報を適切な相手に伝えることで「フィンガープリント」を正しく共有し、法執行機関が捜査を進められるようにすることが重要です。サイバーセキュリティのベンダーや脅威の研究調査機関、そして他の業界団体は、相互に協力して情報を共有するだけでなく、法執行機関による捜査にも協力してサイバー犯罪のインフラストラクチャを解体に追い込み、将来の攻撃を防ぐ必要があります。オンラインで進行するサイバー犯罪に国境はないため、国境を超えてサイバー犯罪に対抗しなければなりません。協力なくしてサイバー犯罪の流れを食い止めることは不可能です。
  • ブルーチームの編成:脅威インテリジェンスチームの調査によって得られた、サイバー犯罪プレイブックなどのTTP(戦術、手法、手順)をAIシステムにフィードすることで、攻撃パターンの検知が可能になります。組織においても、現在活動中の脅威のヒートマップに注目することでインテリジェントシステムがネットワークの標的をプロアクティブに難読化し、攻撃経路に魅力的なおとりを仕掛けることができます。将来的には、あらゆるカウンターインテリジェンスを未然に防ぎ、ブルーチームが優れた制御状態を維持できるようになります。このようなトレーニングによって、ネットワークのロックダウンが起きている最中でもセキュリティチームのメンバーのスキル向上を図ることができます。

FortiGuard Labsのグローバルセキュリティストラテジスト、Derek Manky(デレク・マンキー)は、次のように述べています。
「2020年は、我々の日常生活の劇的な変化をかつてない規模の攻撃を仕掛ける新たな機会として捉え、それを実行に移すことができるサイバー犯罪者が多数存在することを証明する一年になりました。我々は、2021年以降に新しいインテリジェントエッジの急増による大きな変化に直面することになりますが、これはエンドユーザーやデバイスがネットワークにリモート接続するようになるという単純な問題ではありません。5Gとエッジコンピューティングの武器化によって新たな攻撃ベクトルが生まれるだけでなく、感染デバイスのグループが複数連携し、5Gの速度で標的を攻撃するようになる可能性もあります。このような攻撃を予測して事前に備えるには、コアネットワーク、マルチクラウド環境、支社、そしてリモートワーカー環境のすべてにおいて機能し、より大規模で自動化された統合セキュリティ ファブリック プラットフォームへと、すべてのエッジを統合することが重要です」

フォーティネットについて (www.fortinet.com)
フォーティネット(NASDAQ: FTNT)は、世界中の大手企業、サービスプロバイダ、そして政府機関を守っています。フォーティネットは、拡大するアタックサーフェス(攻撃対象領域)に対するシームレスな保護とインテリジェンスを提供し、外部との明確な境界が消滅したネットワークでの、増え続けるパフォーマンスの条件に応じるパワーで、現在もまた将来も、お客様に貢献します。ネットワーク上でも、アプリケーションやクラウド、またはモバイル環境であっても、妥協することなく、極めて重大なセキュリティ上の問題に対応するセキュリティを提供できるのはフォーティネットのセキュリティ ファブリックのアーキテクチャだけです。フォーティネットは世界で最も多くのセキュリティアプライアンスを出荷し、世界480,000以上のお客様がビジネスを守るためにフォーティネット に信頼を寄せています。フォーティネットのネットワークセキュリティエキスパート(NSE)インスティチュートは、テクノロジーカンパニーとしても、ラーニングカンパニーとしても、業界で最大規模かつ広範なサイバーセキュリティのトレーニングプログラムを提供しています。

フォーティネットジャパンについては、www.fortinet.com/jpをご覧ください。

Tags: