2018年1月3日水曜日

IT業界とサイバーセキュリティの2018年動向について

IT業界行く年来る年--2017年の振り返りと2018年のトレンド

ZDNet Japan Staff 20171231 0700分 https://japan.zdnet.com/article/35112225/

【ラウンドアップ】 国内外のITベンダーや調査会社の各社が、2017年を総括するレポートや2018年に注目すべきテクノロジトレンドを発表しています。年末年始にまとめ読みできるよう一覧にしました。時間のあるときにご覧ください。
アイ・ティ・アール(ITR)が2018年に注目すべき12IT戦略テーマを発表した。3つの視点から紹介する。
20170930
ガートナーが発表した2018年の戦略的テクノロジトレンドは、AIや機械学習、対話プラットフォームをはじめとするツール、デジタルツイン、ブロックチェーンなどだ。
20171020
セキュリティ企業のウェブルートが2017年に猛威を振るったランサムウェアのトップ10を発表した。
20171206
この時期になると来年度に向けたIT投資計画や年度予算計画が検討されます。そこで今回は最新のIT投資動向調査の結果から、ユーザー企業において投資意欲が高まっている分野についてみていきたいと思います。
20171214
A10 Networksは、2018年のクラウドコンピューティングについての5つの予測を行った。
20171214
IDC Japan1214日、2018年における国内IT市場の10大予測「Japan IT Market 2018 Top 10 Predictions」を発表した。具体的な主要10項目について、ポイントを絞ってまとめる。
20171218
コンサルティング会社のデロイトが2018年のテクノロジトレンドを予測したレポート「Tech Trends 2018」を公開した。レポートの内容とともに2018年のIT潮流を考察する。
20171220
コンサルティング会社Deloitteの予測が正しければ、機械学習にとって2018年は大事な年になる。同社のレポートによると、企業による機械学習技術の利用は2018年末までに倍増するだろうという。
20171221
企業はブロックチェーンテクノロジがもたらす真のメリットを理解し、期待との乖離をなくす必要がある。
20171221
2018年にはクラウドコンピューティングが企業に必須のテクノロジとなり、あらゆる場で企業の変革を加速していくことになるという。
20171222
2018年はソフトウェア開発部門のリーダーらにとって新たな機会と難題に直面する年になるという。
20171225
ビッグデータ分野では、2017年も目覚ましい技術革新が続いた。では、2018年はどういった動きが予想されるのだろうか?本記事では、注目すべきトレンドを5つ予測し、カウントダウン形式で紹介する。
20171227
2017年もハッキングやデータ流出事件が相次ぎ、影響は広範に及んだ。世界規模のランサムウェア攻撃をはじめ、2017年に発生したさまざまなセキュリティの問題を振り返る。
20171228
2017年はロボティクスなどのオートメーションが記録的に普及した年になった。その勢いは、今後さまざまな分野でさらに加速すると見られる。
20171228
デルが2018年以降の予測を発表した。人とマシンの協調関係は次の時代に入りつつあり、2030年までに私たちの生活に変革が起こるという。
20171228
ロボットによる業務の自動化を指す「RPARobotic Process Automation)」によって労働環境が変化しようとしており、オートメーションに関するさらなる予測が展開されている。
20171229
Gartnerは、2018年の世界の企業によるサイバーセキュリティ支出が、前年比8%増の960億ドル(約11兆円)に達すると予想している。大規模なサイバー攻撃や情報漏えいが起こっていることで、全世界的に増加するという。
20171229
2018年のサイバーセキュリティの世界はどんな様相を見せるのか。セキュリティ各社の予想を「ITトレンド」「マルウェア」「サイバー攻撃」「個人情報/プライバシー」の4つの切り口で読み解く。
20180101
2018年、CIOの役割はどう変化するのだろうか。その変化によって、CIOやチームはテクノロジに関して企業内でより優位な立場に立てる可能性があるとForresterは予想している。


2018年のサイバーセキュリティ予測


2017/12/23 13:41 https://note.mu/labriepanda/n/n506666d30393


どもこんにちは。NPで特集が続いているので、僕の方でもこのお題で書いてみようと思います。

2017年は、サイバーセキュリティに大きな注目がされた年でした。ここ2年間、大手企業のサイバーセキュリティ取り組み状況を分析してきた身としては、2016年と比べて、明らかに対策が前に進んでいます。
しかしそれだけに、出来ているところと出来ていないところの差が大きく広がり、出来ていないところの周回遅れ感がとても高いのです。
2016年と17年度で、CISOChief Information Security Officer、セキュリティの最高責任者)の任命度合いが大きく増えてきました。加えて、その方が機能してきているのが17年の傾向でした。当初は”名ばかりCISO”なんて言われ方も多かった役職なんですよね。もうそういう状況からは脱しているようです。
しかし、CISOがいる組織といない組織との間で、セキュリティ部隊の「自社の対策に一定の評価をしている」割合が完全に比例するのです。つまり、いるところは対策も出来ているけど、いないところは出来ていない、という現場の認識なのです。
2017年はこうした従来からの状況に加えて、世界規模で発生したサイバー被害「WannaCry」「Mirai」などが発生し、日本でも被害が起きました。しかし、まだ日本では個人情報漏洩での大きなサイバー被害はあっても、インフラが停止してしまうような大きなサイバー被害は発生していないといえます。

2018年、それが起きても、何なら今日起きても全然不思議はないのですが、あるとしたら朝鮮半島で有事が起きた時でしょう。その時は核ミサイルだけでなく、組み合わせの攻撃としてインフラへのサイバー攻撃が起きる可能性が極めて高いです。
特にここしばらくの間で、世界では鉄道へのサイバー攻撃が増えてきています。韓国や米国での事例があります。起きるとしたら東京。各社の乗り入れが多く、システムに頼る範囲が大きく、被害が起きたときに手動で回復させることが大変だからこそ狙い甲斐がある。もちろん首都ということもありますからね。
そして次に起きること。サイバーセキュリティ対策は中小企業でも必須になり、しなければ大手から契約を切られます。

ぶっちゃけ、サイバーセキュリティはカネがかかります。だからどうしても中小企業の対策は進みません。人材もいませんしね。しかし、サイバーセキュリティの潮流は、企業の中の対策ではなく、サプライチェーン全体の対策です。このことは2015年末に初めて公表された「サイバーセキュリティ経営ガイドライン」に、当初から語られていることですが、なかなか上記事情もあって中小まで広がることはありませんでした。
しかし、委託先や取引先から被害が広がることは以前からあったものの、大手企業自身も自社の対策で精いっぱいだったので、そこまで手を付けられていないんです。でもそろそろ、上に書いたように大手では対策が進み、自社と取引先との対策の充実度に大きな差がついている現状、優先順位が自社の外にあることに大手は気づいています。いよいよそこに手を付け始め、対策に問題があるなら代替できる業者を探し始めるでしょう。
ここで大事なことは、セキュリティソリューションを買い漁ることでも、コンサルを雇うことでも無いです。後者についてはコンサルが何言ってんだと思うかもしれませんが、ぶっちゃけ僕ら大手で手一杯ですので中小まで下りてくることはまずないですし、下りてくるコンサルがいたら基本的に信じない方がいいです。経歴詐称してるかもしれませんよwww

大事なのは、身の丈に合った対策の推進です。そして、先日のJALさんがかかったフィッシング被害でも言えるのですが、業務手順をしっかりしていれば防げたはずのものというのが結構あるんです。
JALさんがやられたのは、急遽振込先が変更になったと連絡が来て、変えてみたらそれはニセだったという話。こういうのはソリューションじゃなければ防げないかというと、そんなわけはありません。というか、基本的にソリューションを入れないと絶対に防げないサイバー被害というのは少ないです。
連絡をよこした先に電話一本入れれば引っかからない話だったし、振込先変更などという経理業務における最重要業務に対する感度の高さがあれば、急に振込先を変えると言ってくること自体が怪しい。普通、そんなのはだいぶ前から告知しますよ。そういうのはセキュリティのプロでなければ気づかないかというと、むしろ経理業務のプロが気づくようなことで、セキュリティの専門人材がいないことでセキュリティ対策が進まない、ということは無いのです。

結局、自分たちで少しばかりセキュリティのことに意識を払う時間を取って、自分たちを守るために手順や手続きをどう変えるかを考えてほしいのです。
コンサルは高いカネ取る代わりに、それを高速に高品質に進めてはくれますが、関係者もシステムも多い大手においては投資対効果が出たとしても、中小ではオーバースペックになっちゃうことが殆どでしょう。だから買わない払わない、なので「出来ない」ではないのです。買わなくても払わなくてもいいので「やってください」。
といったところで僕からの2018年予測「サイバーセキュリティ」でした。


4つの視点で占う2018年のサイバーセキュリティ動向

國谷武史 (編集部) 20180101 0800https://japan.zdnet.com/article/35112468/

 2017年のITセキュリティを振り返ると、サイバー攻撃による社会インフラや企業・組織でのトラブル、個人情報の侵害といった深刻なインシデントが多発し、インシデント対応の重要性も増すこととなった。2018年はどのような様相を見せるのだろうか。セキュリティ各社の予想を「ITトレンド」「マルウェア」「サイバー攻撃」「個人情報/プライバシー」の4つのテーマで読み解いてみたい。

ITトレンド」から見る予想

 ITトレンドで各社が挙げたキーワードは、人工知能(AI)、モノのインターネット(IoT)、ブロックチェーン、サーバレスの4つだ。

AI

 セキュリティのAIでは、膨大なマルウェアに対応するための技術として活用が進む一方、2018年は攻撃側もAIを活用し、AIの攻防が繰り広げられるという予想だ。
  • AIと機械学習を利用したサイバー犯罪が増える」(シマンテック)
  • 「サイバー犯罪者が機械学習を使用して人間の行動を偽装する」(IBM
  • 「機械学習を活用したサイバーセキュリティツールの“開発競争”が激化」(マカフィー)
 そもそも攻撃者にとって、実行する攻撃の効率化はある意味で永遠の課題とされてきた。シマンテック マネージドセキュリティサービス日本統括の滝口博昭氏は、「マルウェアのドライブバイダウンロードやエクスプロイト実行の自動化などもその一例で、昔から取り組んでいる」と解説する。
 つまり攻撃側のAI活用は、手法の開発や実行を効率化する取り組みの延長線上にあるともいえる。「従来はコンパイルを繰り返して特徴がわずかに異なる亜種(ポリモーフィックマルウェア)を膨大に作ることで検知を回避してきた。今後は機械学習でマルウェアコード開発の自動化を進めるなどして、より大量に生み出すようになる」(フォーティネットジャパン セキュリティストラテジストの寺下健一氏)
 AIが革新的なセキュリティ対策あるいは見たこともない攻撃手法を生み出すというより、双方がこれまで繰り広げてきた競争がAIでさらに加速するという見方が大半である。

IoT

 IoTでは、2016年秋に出現したマルウェア「Mirai」などに感染した機器のボットネットによるサービス妨害(DoS)攻撃など、既に脅威が具現化している。
  • 「新たなIoT機器の悪用手法が登場する」(トレンドマイクロ)
  • 「脆弱なSCADAシステムやIoTが物理的被害をもたらす」(A10ネットワークス)
  • IoT機器がホームネットワークへの侵入窓口になる」(シマンテック)
 上述のようにセキュリティ各社の予想は、具現化しているIoT機器への脅威がますます深化し、拡大するというもの。IoT機器自体に被害をもたらす、あるいはオフィスや家庭など本当の目的を攻撃するための踏み台として利用するといった傾向が強まりそうだ。
 20171112月には、ルータなどのネットワーク機器を攻撃の踏み台する目的でマルウェアを拡散させる活動が国内外で観測された。カスペルスキー グローバルリサーチ/アナリシスチームのCostin Raiu氏は、「ルータやモデムは攻撃ツールとして過小評価されている。ネットワークの重要な結節点に置かれるという真実がありながら、パッチが適用されないなど、軽視されている」と警鐘を鳴らす。
 ドローンやスマートスピーカーといった身近になりつつある機器から、医療現場や工場の生産ラインといった産業機器までIoT機器の種類は非常に広く、IoT機器のセキュアな設計開発、攻撃者に悪用されないための運用、甚大な被害を回避するセキュリティ体制など、防御側が取り組むべき課題が2018年も山積みになる。

ブロックチェーン

 「分散台帳技術」と呼ばれるブロックチェーンは、仮想通貨のトランザクションなどFinTech分野で活用が進んできたが、セキュリティではどうか。
 シマンテックは、「サイバー犯罪者が暗号通貨と取引所を集中的に狙う」と脅威を予想する。既にユーザーのコンピュータで仮想通貨を勝手に発掘する攻撃が発生しており、そうした脅威が拡大すると見ている。
 A10ネットワークスは、「ブロックチェーンによるセキュリティ技術が脚光を浴びる」との見解を示す。「ブラウザでブロックチェーンがサポートされ、匿名トランザクションの量を減らすためにオンラインIDが活用されるようになる。ブロックチェーンは過去に見られた技術よりセキュリティが厳しく、匿名性が低いオンライン環境を作り出すことができる」とし、技術の可能性に触れている。

サーバレス

 クラウドの普及やマイクロサービス技術などの台頭で注目され始めた「サーバレス」は、ITをより身近に利用する可能性が期待される。それに応じてセキュリティのリスクと対策も注目されるという予想だ。
 マカフィーは、サーバレス型のアプリケーションが権限昇格や相互依存性を利用した攻撃に対して脆弱で、ネットワーク内を移動するデータを狙った攻撃にも弱いと指摘。ブルートフォース(総当たり)攻撃やDoS攻撃の発生を予想し、機能開発や導入プロセスで適切なセキュリティや拡張性を備え、トラフィックをVPN接続や暗号化などで保護すべきと解説する。A10ネットワークスは、サーバレス環境に対応したマルウェア対策や脅威分析技術が現れ、従量課金型のサービスで提供されるようになると予測している。


攻撃側と防御側の双方で機械学習技術などを使った手法の開発競争が進む(マカフィーの記者説明会より)

「マルウェア」の動き

 2017年も猛威を振るったランサムウェアを中心にマルウェアに関する予想を見ていこう。

ランサムウェア

 ランサムウェアの脅威は、従来の個人PCなどのデータに加えて、スマートフォンなどのモバイル機器のデータ、さらには企業や組織のシステムにも拡大した。2017年に出現した「WannaCry」などの新種が搭載したワーム型の拡散手法は、その脅威に拍車がかかる状況を生み出した。
  • 「ランサムウェアのビジネスモデルが定着する一方で新たな恐喝手法が出現」(トレンドマイクロ)
  • 「脅迫型ランサムウェアの標的、テクノロジ、目的が変化する」(マカフィー)
  • 「商業サービスに対するランサムウェア攻撃がビッグビジネスに」(フォーティネット)
  • 「ランサムウェアがIoTデバイスをロックする」(IBM
  • 「スマート家電がランサムウェアに狙われる」(シマンテック)
  • 「破壊型攻撃が継続的に増加する」(カスペルスキー)
 各社の予想で共通するのは、ランサムウェアが金銭の獲得にもターゲットの破壊にも使える有力なサイバー攻撃ツールとして確立されたという現実だ。サイバー攻撃組織が標的型攻撃で洗練されたランサムウェアを使うことがあれば、費用を払えば誰でも簡単に犯罪を実行したり、代行してくれたりするサービスもある。
マカフィー セールスエンジニアリング本部長の櫻井秀光氏は、「従来型のランサムウェアの対策が進んで収益性が低下し、今後は富裕層や企業など収益性の高い標的を狙う。ただ、過去の攻撃で成功したランサムウェアをベースに攻撃するので、新種は少なくなっている」と解説する。
 トレンドマイクロは「情報保護関連の法令違反を材料に恐喝する」と、攻撃者が脅迫手法の応用するようになると予想。IBMは、個別のコンピュータよりも、センサやネットワークカメラといった大規模なIoTインフラが“人質”になる脅威を予測している。
 一方でカスペルスキーは、ランサムウェアがもはや金銭狙いの手段ではなく、攻撃者が標的のシステムの破壊を通じて社会インフラを混乱に陥れるサイバー兵器として使用する危険性を挙げている。

マルウェア

 ランサムウェア以外では、以下のマルウェアが挙げられている。
  • 「ファイルレスまたはファイルライトのマルウェアの爆発的流行」(シマンテック)
  • 「自己学習型のハイブネットとスウォームボットの登場」(フォーティネット)
  • 「モバイルマルウェアの高度化」(カスペルスキー)
 「ファイルレス」マルウェアとは、コードとして主にコンピュータのメモリ空間で実行されたり、正規のアプリケーションを悪用したりすることで、ファイルの形をほとんど伴わない不正プログラムを指す。その狙いは、ファイルスキャンをメインとするウイルス対策ソフトによる検知を逃れるためだといわれる。
 「攻撃者にとっては発見されにくい手法なので、魅力的にとらえているようだ。しかし、一時的にファイルの形態を伴うなど少なからず痕跡は残すので、『ファイルレス』と呼ぶより『ファイルライト』の表現が実態に近い」(シマンテックの滝口氏)
 フォーティネットが挙げた自己学習型のハイブネットとスウォームボットとは、「ハチの行動様式」といった意味だ。一般的なボットネットは、攻撃者が設置したコマンド&コントロール(C2)サーバを中心に、そこへマルウェアに感染した機器(ボット)が接続する、いわばスター型のネットワーク構成となる。しかしスウォームボットは、C2サーバの機能を持ち合わせたボットがお互いに接続して自律的に動作するメッシュ型のネットワーク構成を組む。
 寺下氏によれば、従来のボットネットは、C2サーバをシャットダウンされると、攻撃インフラとして機能しなくなるが、スウォームボットなら1つのボットがシャットダウンされても、別のボットが機能を補い、さらには能力の回復と増強を自律的に行えるためだという。寺下氏は、スウォームボットがIoTに展開される恐れもあると指摘する。

WannaCryなどの拡散に使われる脆弱性悪用攻撃やバックドアは現在も国内外で検出されている(フォーティネットの記者説明会より)

「サイバー攻撃」の狙いと手法

 サイバー攻撃は、特定の企業や組織を狙う標的型から個人を含む不特定に対する無差別型攻撃まで、その対象や手法はさまざまだが、セキュリティ各社は下記の動向を予想している。

ターゲット

 攻撃の「ターゲット」では、A10ネットワークスがモバイル通信事業者やクラウドプロバイダー、政府/自治体への攻撃、フォーティネットが重要インフラを挙げている。
 A10ネットワークスによれば、モバイル通信事業者では外部の攻撃から自社ネットワークを重点的に保護している一方、攻撃がネットワーク内部からも発生する可能性があるという。3G/4Gのコアネットワークの保護が不十分であるため、攻撃者が標的になるコンポートネントを見つけて攻撃することで、ネットワークがダウンする事態が生じかねないという。
またクラウドプロバイダーがターゲットにされる背景には、企業システムのクラウド化があり、行政サービスの電子化から政府/自治体が推進するクラウドもターゲットにされるとみる。2016年にマルウェア「Mirai」のボットネットがインターネットサービスプロバイダー(ISP)に行ったDDoS攻撃の影響で企業サイトへの接続が不安定になったことからも、企業はクラウドプロバイダー側のインフラを制御しづらいことからリスクが高まるという。政府/自治体では予算の制約下でセキュリティを確保せざるを得ず、最善を尽くしていても攻撃によって個人情報が危険にさらされる恐れがあるとしている。
 フォーティネットは、サイバー犯罪手法の進歩によって、これまでクローズドなネットワーク環境で運用されて医療や制御系のシステムのリスクが高まると予想する。サービスの高度化を目的にインターネットなど外部ネットワークに接続される機会が増しているものの、そのような運用が十分に考慮されていないため、セキュリティシステムの高度化が必要だと説いている。

攻撃手法

 攻撃手法では、シマンテックやカスペルスキーが「サプライチェーン型」攻撃の増加を挙げている。サプライチェーン型攻撃とは、企業や組織が利用するサードパーティーのアプリケーションや、取引関係などがある特定のウェブサイトなどを悪用して、攻撃者が侵入を試みる手法だ。後者のウェブサイトなどを悪用する手法は、「水飲み場型」攻撃とも呼ばれる。
 ビジネスには、サプライヤーや契約業者、パートナーなどさまざまな組織が関係するため、最近の標的型攻撃では攻撃者が直接最終目的の企業や組織へ侵入するというより、関係者の中でセキュリティが脆弱な組織を踏み台にする傾向にあるとされる。
 2017年は、会計ソフトの更新プログラムを悪用してマルウェア「NotPetya」を送り込む攻撃が発生したほか、一般にも人気のユーティリティソフトの更新版にマルウェアを埋め込んで拡散させ、その中から特定の組織へ侵入する攻撃が発覚した。攻撃者に悪用されたソフトウェアに業務用と一般向けという違いはあるものの、いずれも正規のソフトウェアの更新プログラムを使う手口は同じだった。
 両社はともに、サプライチェーン型攻撃では攻撃者が標的を絞り込んでそこへ侵入するための戦術を組み立てやすいと指摘する。逆に狙われる側は、正規の取引先やツール、ソフトウェアが攻撃者の侵入口となってしまうため、その特定や防止が難しいと解説する。
 また、トレンドマイクロは「ビジネスメール詐欺(BEC)」の増加を予想。BECに対する注意喚起は、国内では20174月に行われていたが、同年12月に大手航空会社での大規模な被害が明らかになった。トレンドマイクロでは、送金に関する多段階の承認プロセスの採用や、メール以外での複数の連絡手段による確認が重要だとしている。

サプライチェーン型の手法はさまざまなターゲットへの攻撃に有用だとみなされている(シマンテックの記者説明会より)

個人情報やプライバシーが課題に

 2018年のセキュリティ予想で、例年よりもやや強調されているのは、個人情報やプライバシーへの言及だ。その背景には、国内では20175月に「個人情報保護法」が改正され、2018年は5月に欧州連合(EU)で「一般データ保護規則」(GDPR)が施行されるなど、個人情報やプライバシーに関する法規制の強化があるようだ。
  • 「デジタルセキュリティが基本的人権問題になる」(A10ネットワークス)
  • 「子供が作成するデジタルコンテンツを収集している企業の存在が、子供に長期的なレピュテーションリスクをもたらす」(マカフィー)
  • 「電子商取引のIDが危機的状況になる」(カスペルスキー)
  • 「アイデンティティー(個人識別情報)の危機」(IBM
  • 「プライバシー論争が再燃、新しいフェーズへ」(シマンテック)
 企業などでは、顧客の個人情報などを分析してビジネスに活用していく取り組みが広がり、上述の法規制の強化はこうした動きに対応するものでもある。マカフィーの櫻井氏は、企業がプライバシーポリシーなどを十分に確認しない顧客の状況を認識しつつ、法規制などに抵触することがあっても、積極的に情報を集めようする可能性があると指摘する。企業の中には、法規制のリスクを伴っても顧客の情報を利用することが利益になると考えるところがあるという。
 特に、若年層がソーシャルネットワーキングサイト(SNS)などのオンライン上に自身の情報をアップロードし、別のユーザーと共有して楽しむといった行為が、将来的には本人のリスクになると警鐘を鳴らす。企業は自社のサービスを継続的に利用させる目的で若年層にこうした行為を促し、彼らのデータを収集する。結果的に企業は、ユーザーの過去の投稿などを雇用の判断材料に用いるといった可能性があり、若年層やその保護者におけるリテラシーの向上が喫緊の課題だと解説している。
シマンテックは、1990年代に巻き起こったプライバシーに関する論戦が2015年ごろから再燃し、特にプライバシーをめぐる政府による監視とのせめぎ合いがあるとしている。具体的には、デバイスと通信の暗号化をめぐる問題が大半だといい、特にコンテンツプロバイダーや通信会社、広告業界での通信の暗号化に対する取り組みや考え方が社会に大きな影響を及ぼしなかねないという。

 こうしたことから企業や組織には、個人情報の取り扱いやプライバシーの配慮などについて、これまで以上に明確な取り組みが求められるようになるとの予想が多い。ただ、具体的な取り組みは事業環境などの条件によって大きく異なり、悩み抱えるところが少ない。このためセキュリティ各社は、GDPRのような法規制への対応を基本として取り組み進めるべきだと主張している。


2018年、サイバー攻撃グループはツールを磨きより強力になる


 年末に入ると、さまざまなセキュリティベンダーがその年のセキュリティ・インシデントを振り返るとともに、翌年に発生する可能性が高いインシデントを予測する。今回、Kaspersky Lab グローバル調査分析チーム プリンシパル・セキュリティリサーチャーのヴィセンテ・ディアス氏に、2017年のセキュリティ業界の総括と2018年の予測を聞いた。今年のサイバー攻撃で受けた被害を教訓として、来年に備えたいものだ。

最も重要な2017年の脅威は「脆弱性とエクスプロイト」
ディアス氏は、2017年の総括において最も重要なこととして「エクスプロイトと脆弱性」を挙げた。まだ認知されていない脆弱性を悪用する「ゼロデイ攻撃」の破壊力が大きなことは言うまでもないが、攻撃者はゼロデイの脆弱性を用いたエクスプロイトを隠し持っており、状況に応じて、エクスプロイトを使い分けるようになってきているという。 
具体的には、既知の脆弱性や容易なテクニックが再利用される傾向が高いが、レベルの高い攻撃に行う時にゼロデイの脆弱性をベースとしたエクスプロイトを使うのだ。
なお、攻撃者にとっても未知の脆弱性の場合、エクスプロイトが実環境で発見されるのは、脆弱性の公開から2週間程度後だという。ディアス氏は、脆弱性に関する重要なイベントとして、ランサムウェア「WannaCry」による被害を挙げた。この攻撃はLazarus APTグループによるものと言われているが、その被害は世界中に広がり、大きな注目を集めたことは記憶に新しい。ただ、いまだにその目的は明らかにされていないが、ディアス氏は「WannaCryはエクスプロイトの実験だったところ、制御できなくなり、被害が広がったのではないかと推測できる」と語った。


WannaCry」に感染した端末の画面
 さらに、ディアス氏は脆弱性に関する重要なイベントとして、APTグループによる金融機関への攻撃の流行を挙げた。Lazarusの一部門であるBlueNoroffは、金銭の取得を目的としており、一貫して金融機関を攻撃しているという。これまでに、ポーランド、メキシコ、台湾の銀行への攻撃が明らかになっている。このトレンドは継続することが見込まれているが、ディアス氏は「金融機関への攻撃が必ずしも金銭目的ではないケースも存在する。例えば、顧客情報が盗まれた可能性もあり、注意が必要」と指摘した。
 また、ディアス氏は、ランサムウェアについて「ランサムウェアは身代金を取得するマルウェアと言われているが、身代金が目的と見せかけて陽動作戦の一環として用いられるケースも見られる。ランサムウェアは侵入の証拠を抹消するためにも利用されている」と話した。


金融機関への攻撃の概要
2018年に発生が予測される脅威は?
続いて、ディアス氏は2018年の予測について説明した。具体的に、同社は、以下のことが2018年に発生する可能性があると予測している。
·    サプライチェーン攻撃の増加
·    モバイル・マルウェアの高度化
·    BeEFと似たWebプロファイリングによる侵害の増加
·    高度なUEFI(Unified Extensible Firmware Interface)攻撃
·    破壊型攻撃の継続的な増加
·    暗号の危機
·    電子商取引のIDが危機的状況に
·    ルータとモデムに対するハッキングの増加
·    社会的混乱の媒介
 モバイル・マルウェアについては、「多くのAPTにおいて高度なモバイル・マルウェアが発見される」「攻撃の増加」「検知能力の向上による既存の攻撃の発見」が予測されるという。
「これから、埋め込み型マルウェアが増えてきて、メディアや国家が狙われるケースが増えるだろう。また、マルウェアを用いた攻撃のうち、高度でコストがかかっているものは検知できていないものがあるだろう」とディアス氏。企業がコストをかけてセキュリティ対策を強化する一方で、攻撃グループもコストをかけて、洗練された攻撃手法を開発しようとしているわけだ。
また、高度なUEFI攻撃については、2018年には、多くのAPTグループがPCのファームウェアであるUEFIを狙うマルウェアを開発して用いることが予測されるという。UEFIの脆弱性を突いて、マルウェアをインストールされると、セキュリティ機能を回避されたり、DoS 攻撃を受けたりする可能性がある。また、UEFIにはパスワードなど重要な情報も保存されており、それらが盗まれるおそれもある。
さらに、ディアス氏は注意すべき予測として、ルータとモデムへのハッキングの増加を挙げた。「ルータとモデムは攻撃ツールとして過小評価しているが、誰もが使っている身近なデバイスであるとともに、通信データがすべて通過するデバイス」と同氏。その一方で、ルータやモデムはPCやサーバと異なり、パッチが確実に適用されるケースが少なく、監視もあまりされておらず、非常に危険な状況に置かれている。2017年はこうした「IoTデバイス」を狙う大規模な攻撃が話題になり、そのセキュリティ対策の重要性についても論じられることになったが、実際のところ、どこまで対策が講じられたのかはわからない。
以上のように、2018年は、今年発見された脅威がパワーをアップした状態で、攻撃を繰り広げられることが予測されるようだ。攻撃を受ける前に、いま一度、自社のセキュリティ対策を見直してはいかがだろうか。


【関連リンク】
サイバー攻撃のリスクに幅広く対応する「サイバーセキュリティー保険」 チューリッヒ保険が発売
チューリッヒ保険が「サイバーセキュリティー保険」を201811日から販売する。サイバー攻撃による企業収益損失から損害賠償まで、海外子会社も含めて1つの契約で一括管理できる。

0 件のコメント:

コメントを投稿