APT(持続的標的型攻撃)手法の進化で破壊力を得たランサムウェアやサプライチェーン攻撃
サイバーセキュリティの世界的リーダーで、幅広い適用領域で(Broad)システム連携し(Integrated)自動化された(Automated)ソリューションを提供するフォーティネット(Fortinet®)は、FortiGuard Labsのグローバル脅威インテリジェンス / 調査研究チームによる2022年以降のサイバー脅威トレンドに関する予測を発表しました。サイバー攻撃者は自らの攻撃手法を進化させ、拡張することで、あらゆる場所で働く従業員の増加によって、拡大する攻撃対象領域全体に広がる新しいエクスプロイトの領域を標的にするようになっています。5G対応のエッジから、コアネットワーク、家庭、さらには衛星インターネットまで標的を拡大することで、攻撃の機会を最大限に活用しようとしています。FortiGuard Labsは、この将来的なトレンドで、サイバー攻撃者が活用することが予想される戦略を明らかにし、防御側による新たな攻撃からの保護に役立つ推奨事項を提案しました。予測の概要を以下に紹介しており、詳細と主な調査結果については、こちらのブログをご覧ください。
※日本語版注記: 本ホワイトペーパ「FortiGuard Labs による年次予測 2022 年のサイバー脅威予測(日本語版)」の全文はこちらからご覧ください。
ランサムウェアなどの攻撃を最大化するための攻撃前の偵察が増加する
攻撃は多くの場合に、MITRE ATT&CKフレームワークなどの攻撃チェーンの観点から、「左側」と「右側」の脅威に分けて議論されます。攻撃チェーンの「左側」とはすなわち攻撃前の活動で、計画、開発、武器化の戦略などがこれに該当します。「右側」に該当するのは、我々にとってより身近である、攻撃の実行段階です。FortiGuard Labsは、サイバー犯罪者が新しいテクノロジーのエクスプロイトや攻撃を成功させるために、偵察やゼロデイ機能の発見にこれまで以上に多くの時間と労力を費やすようになると予想しています。さらには、CaaS(Crime-as-a-Service:サービスとしての犯罪)市場の拡大に伴い、「右側」に該当する新たな攻撃が開始される可能性も高くなるでしょう。
ランサムウェアがより強力な破壊力を身につける:クライムウェアは拡大を続け、ランサムウェアは今後もその中心であり続けることになるでしょう。ランサムウェアの攻撃者はすでに、ランサムウェアとDDoS(分散型サービス拒否)を組み合わせることで、ITチームに圧力をかけて撹乱し、攻撃の被害を減災するための最終活動を妨害するようになっています。データの破壊だけでなく、システムやハードウェアを破壊するワイパー型マルウェアという時限爆弾が加わることで、短時間で支払いに応じるという決断を迫られることになります。ワイパー型マルウェアは、例えば、東京オリンピックを標的にした攻撃という目に見える形ですでに復活し、サイバー攻撃の方法とAPT(持続的標的型攻撃)のコンバージェンスの現在のレベルを考慮すると、ワイパー型マルウェアのような破壊的な機能がほとんどのランサムウェアに追加されるのは時間の問題です。このことで、新しいエッジ環境、重要インフラストラクチャ、さらにサプライチェーンにとって大きな問題になる可能性があります。
サイバー犯罪者がAIを活用してディープフェイクを仕掛ける:防御側はすでに人工知能(AI)を活用し、通常はボットネットによる攻撃である可能性を示す異常な振る舞いなどを検知していますが、サイバー攻撃者もAIを活用し、その異常な活動を検知する複雑なアルゴリズムを妨害するようになっています。ディープフェイクが問題視されるのは、AIを活用して人間の行動を模倣し、ソーシャルエンジニアリング攻撃の強化にも利用できるためです。さらには、高度なアプリケーションの実用化でディープフェイクの作成が容易になり、最終的には、音声や動画のアプリケーション上で、リアルタイムで本人になりすまし、生体認証を突破する可能性もあるため、声紋や顔認証などのセキュリティ認証の大きな脅威となることが予想されます。
サプライチェーンで標的になることが少なかったシステムへの攻撃が増加する:多くのネットワークで、バックエンドコンピューティングシステムの多くでLinuxが動作していますが、最近まで、Linuxがサイバー犯罪者の主な標的になることはありませんでした。ところが最近、Windows 10、Windows 11、Windows Server 2019でLinuxバイナリ実行ファイルをネイティブ実行するための互換性レイヤであるMicrosoftのWSL(Windows Subsystem for Linux)を標的にする新たな不正バイナリが検知されました。さらには、Linuxプラットフォーム向けのボットネットマルウェアもすでに作成されています。このようなボットネットマルウェアの存在により、攻撃対象領域がネットワークのコアへと拡大し、防御しなければならない脅威が増加します。このことは、Linuxプラットフォームで動作するオペレーショナルテクノロジー(OT)デバイスやサプライチェーン全般に影響します。
サイバー犯罪者がウォレット、宇宙、家庭などのあらゆる場所を標的にする
防御側の今後の課題は、攻撃の増加やサイバー攻撃者の手法の進化だけではありません。エクスプロイトの新たな分野が開拓されて、攻撃対象領域がさらに拡大しています。世界中の組織でWFA(work from anywhere:場所に縛られない働き方)が採用され、あらゆる場所で働く従業員が増加し、リモート学習や新しいクラウドサービスなどの推進によってネットワークエッジが新たに追加され、ネットワークが拡張し続けることで、この状況がさらに困難になることが予想されます。オンライン学習やオンラインゲームが一般家庭にも浸透し、その人気は高まるばかりです。このように、場所や時間の制約なく接続が可能になっていることで、サイバー犯罪者は膨大な攻撃機会を手にしています。脅威アクターは、コアネットワークだけでなく、拡大するネットワークの新しいエッジ環境やあらゆる場所で働く従業員も標的にし、悪用する攻撃に多くのリソースを投入するようになっています。
宇宙を標的にするサイバー犯罪:FortiGuard Labsは、衛星を利用するインターネットアクセスの増加に伴い、今後1年で衛星ネットワークを標的にする新たな概念実証(POC)の脅威が確認されると予想しています。最大の標的となるのは、低遅延のサポートが必要なオンラインゲームや、遠隔地への重要なサービス提供に衛星ベースの接続を利用している企業の支社、パイプライン、船舶や航空機などの組織です。企業が衛星ネットワークを利用して、従来はオフグリッドだったシステムを相互接続されたネットワークに加えるようになれば、潜在的な攻撃対象領域がさらに拡大し、結果として、ランサムウェアなどの攻撃も増加することになるでしょう。
デジタルウォレットの保護:金融機関が取引を暗号化し、多要素認証(MFA)を必須にするようになったため、サイバー犯罪での電信送金の乗っ取りがますます困難になっています。これに対し、デジタルウォレットはセキュリティが緩い傾向があります。個人のウォレットから多額の金銭を手に入れるのは困難かもしれませんが、企業がオンライン取引でデジタルウォレットや通貨を使用する機会が増えれば、この状況も変化し、保存されているクレデンシャルを標的にしたり、デジタルウォレットを流出させたりする目的で設計されたマルウェアが増加することが予想されます。
eスポーツに対する攻撃:eスポーツとは、複数のプレイヤーがチームを編成して参加するビデオゲーム競技のことで、多くの場合、プロの選手やチームが参加します。2021年の売上高が10億ドルを突破すると予測されている活気ある市場であり、常時接続でゲームが進行し、多くの場合にセキュリティが十分とは言えないことも多い家庭のネットワークや公共のWi-Fiアクセスが利用されることから、DDoS攻撃、ランサムウェア、金融取引の窃盗、ソーシャルエンジニアリング攻撃などのサイバー犯罪の格好の標的となっています。ゲームのインタラクティブ性から、ソーシャルエンジニアリングによる誘導や攻撃の標的にもなっています。その成長率と関心の高さから、2022年にはeスポーツとオンラインゲームが攻撃の大きな標的になる可能性があります。
エッジ環境寄生型
IoT(モノのインターネット)やOTデバイス、さらには、リアルタイムの取引やアプリケーションの作成を可能にする5G対応やAIを活用するスマートデバイスの増加により、エッジの数が急増しています。サイバー犯罪者が拡張されたネットワーク全体を攻撃の侵入口として標的にするようになると、エッジベースの新たな脅威が次々と登場することになるでしょう。サイバー犯罪者は、インテリジェントエッジとコンピューティングパワーの進化によって生まれた潜在的なセキュリティギャップを最大限に活用し、かつてない規模で強力な破壊力と機能を持つ脅威を仕掛けるようになるはずです。エッジデバイスがさらに強力になり、より多くのネイティブ機能を備えるようになれば、新たな「エッジ環境寄生型」攻撃が設計されるはずです。ITとOTのネットワークのコンバージェンスがこのまま進めば、特にエッジのOTを標的にする攻撃が増加する可能性があります。
エッジ環境寄生型のサイバー犯罪:エッジベースの新たな脅威も生まれています。「環境寄生型」攻撃では、感染した環境の既存のツールセットや機能をマルウェアが利用するため、攻撃やデータ流出が通常のシステム活動のように見えて、見逃されてしまうことがあります。Microsoft Exchange Serverに対するHafniumによる攻撃は、この方法でドメインコントローラに寄生し、常駐化しました。環境寄生型攻撃が効果的なのは、正規のツールを利用して不正活動が実行されるからです。環境寄生型とEAT(Edge Access Trojans:エッジにアクセスするトロイの木馬)の組み合わせは、エッジデバイスがさらに強力になり、より多くのネイティブ機能を備え、当然ながらより多くの特権を持つようになると、新たな攻撃がエッジ環境寄生型へと発展する可能性があることを意味します。エッジマルウェアは、検知を逃れつつ、エッジでの活動やデータを監視し、重要なシステム、アプリケーション、情報を盗み、乗っ取り、さらには身代金も要求するようになるでしょう。
ダークウェブで容易になる重要インフラストラクチャへの攻撃:サイバー犯罪者は、開発したマルウェアをオンラインで、aaS(as-a-Service)で再販すれば大金を稼げることを知りました。エッジにおけるOTとITのコンバージェンスが進む現状では、サイバー犯罪者は、類似するツールを提供する他の組織と競合するよりも、自らのポートフォリオにOTベースの攻撃を追加するようになるでしょう。このようなシステムや重要インフラストラクチャを攻撃すれば、おそらくは多額の利益を手に入れることができますが、個人の命や安全を脅かすなどの悲惨な結果を招く恐れもあります。ネットワークの相互接続が進んでいることから、事実上、あらゆるアクセスポイントがITネットワークに侵入する目的で攻撃される可能性があります。OTシステムへの攻撃は、かつてはこの分野を専門にする脅威アクターが独占していましたが、ダークウェブで購入できる多くの攻撃キットにこのシステムを攻撃する機能が含まれるようになったことで、多くの攻撃者が参入するようになりました。
サイバーセキュリティメッシュアーキテクチャに基づき構築されたセキュリティ ファブリック プラットフォーム
境界の細分化が進み、サイロ化されたサイバーセキュリティチームがサイロ化された環境を運用するようになりました。同時に、企業におけるマルチクラウドやハイブリッドモデルへの移行も進んでいます。これらの要素が重なることで、サイバー犯罪者が高度な包括的アプローチを採用する絶好の機会が訪れています。サイバーセキュリティメッシュアーキテクチャは、広範囲に分散するネットワークや資産のセキュリティ制御を統合します。このアーキテクチャをセキュリティ ファブリック アプローチと組み合わせることで、オンプレミス、データセンター、クラウド、エッジのすべての資産を保護する統合セキュリティプラットフォームのメリットを最大限に活用できるようになります。したがって、防御側は、攻撃側に先駆けてAIとML(機械学習)の能力を活用し、脅威の防止、検知、レスポンスを加速させる必要があります。EDR(エンドポイント検知 / レスポンス)などの高度なエンドポイントテクノロジーは、振る舞いに基づく脅威の特定に役立ちます。さらには、ゼロトラストネットワークアクセス(ZTNA)を不可欠の要素として採用し、モバイルワークやリモート学習のユーザーにまで保護を拡張しつつ、セキュアSD-WANで進化するWANエッジを保護します。また、セグメンテーションを今後も基本戦略として採用することで、ネットワーク内でのサイバー犯罪者のラテラルムーブメントを制限し、侵入がネットワークのより小さい部分に限定されるようにします。実用的で統合された脅威インテリジェンスにより、攻撃が加速し続ける中で、組織の防衛能力をリアルタイムで向上させることができます。それと同時に、あらゆる分野のあらゆるタイプの組織がデータを共有し、連携することで、効果的なレスポンスとサイバー犯罪の将来の手法の正確な予測による攻撃の阻止が可能になります。コラボレーションによって力を結集させることに優先的に取り組み、サイバー犯罪者が同じことをしようとする前にサプライチェーンを破壊することが引き続き必要になります。
FortiGuard Labsのグローバルセキュリティストラテジスト、Derek Manky(デレク・マンキー)は、次のように述べています。
「サイバー犯罪者は進化し、従来のAPTグループのようにゼロデイ攻撃を実行し、破壊的で、目標達成のためには必要に応じて手法を拡張できるようになってきています。攻撃者は、断片化した境界、サイロ化したチームやツール、拡大した攻撃対象領域を利用して、拡張ネットワークの外や宇宙にまで攻撃の範囲を広げるようになるでしょう。これらの脅威によって、ITチームは、あらゆる攻撃経路を保護するために奔走することになってしまうでしょう。このような進化する脅威に対抗するために組織は、サイバーセキュリティメッシュアーキテクチャに基づくセキュリティ ファブリックプラットフォームを採用する必要があります」
フォーティネットについて
フォーティネット(NASDAQ: FTNT)は、あらゆる場所で人、デバイス、データを保護するというミッションを通じて、常に信頼できるデジタルワールドを実現します。これが、世界最大の企業、サービスプロバイダー、政府機関が、デジタルジャーニーを安全に加速させるためにフォーティネットを選択する理由です。フォーティネットのセキュリティファブリックのプラットフォームは、データセンターからクラウド、ホームオフィスまで、重要なデバイス、データ、アプリケーション、接続を保護し、デジタルのアタックサーフェス(攻撃対象領域)全体にわたって幅広い適用領域で(Broad)システム連携し(Integrated)自動化された(Automated)保護を提供します。セキュリティアプライアンスの出荷台数では世界で最も多く出荷している第1位であり、550,000以上のお客様がビジネスを守るためにフォーティネット を信頼しています。また、フォーティネットのTraining Advancement Agenda(TAA)の取り組みであるFortinet NSE Training Instituteは、業界最大級かつ最も幅広いトレーニングプログラムを提供し、誰もがサイバー関連のトレーニングや新しいキャリアの機会を得られるようにすることを目的としています。
詳しくは、 www.fortinet.com/jp 、フォーティネットブログ、またはFortiGuard Labsをご覧ください。
※本プレスリリースは、米Fortinet, Inc.が2021年11月16日に発表したリリースの抄訳に、日本語資料の情報を追記したものです。