アクロニス サイバープロテクション研究所担当バイスプレジデント、キャンディッド・ヴュースト(Candid Wuest, VP of Cyber Protection Research, Acronis)
世界のデジタル依存はかつてないほど高まっています。IT環境はますます複雑化し、レジリエンスに小さな不備があるだけでも、セキュリティインシデントや侵害が発生した場合の組織運営の継続に大きな影響を及ぼしかねません。ここでは、2023年のサイバーセキュリティ環境に関する10のトレンドを予想します。
1. 認証: 本当に本人か?
攻撃によって認証およびIDアクセス管理(Identity Access Management: IAM)が突破されるケースが増加するでしょう。多要素認証(Multi-factor Authentication: MFA)トークンを盗んだり迂回したりする試みがすでに多く見られます。また、標的に多数のリクエストを送信するMFA疲労攻撃などでは、脆弱性がなくてもログインが成功してしまう可能性があります。Okta、Twilioが先般攻撃を受けたことから、このような外部サービスでも侵害が発生していることがわかります。このほかにもまだ解決されていない弱点があり、過去のパスワードの再利用の問題も残っています。したがって、認証がどのように機能し、誰がどのようにデータにアクセスするかを理解することがより一層重要になります。
2. ランサムウェア: 引き続き大きな課題
ランサムウェアの脅威は引き続き大きな課題であり、現在も進化し続けています。最近はデータが不正取得されるケースが増えており、攻撃者の作戦は巧妙になっています。大規模な攻撃者のほとんどはMacOSやLinuxへと標的を拡大しており、さらにクラウド環境も狙っています。GoやRustのような新しいプログラミング言語の使用が広がっているため、分析ツールの調整が必要です。特にサイバー保険で被害の一部が補償される場合は攻撃者にとって利益を得やすいため、攻撃件数はこれからも増え続けるでしょう。これから特に狙われるのは、セキュリティツールのアンインストール、バックアップの削除、障害復旧計画の無効化で、攻撃者は隙あらばこれらを試みます。その際、Living of the Land(環境寄生)という手法が主に使用されます。
3. データ侵害 - 社会問題に
RacoonやRedlineなど、情報を盗み出すマルウェアの感染が広がっています。盗まれたデータには認証情報が含まれていることが多く、これが初期アクセスブローカーを介して販売され、さらなる攻撃に利用されます。データの増加と、相互接続されたクラウドサービスの複雑さが重なり、組織にとってデータの追跡は一層困難になります。複数のユーザーがデータにアクセスする必要がある場合、暗号化して保護することは困難です。たとえばGitHubやモバイルアプリでAPIアクセスキーが漏えいすれば、すべてのデータを盗まれる可能性があります。そのため、プライバシーに配慮したコンピューティングがますます発展するでしょう。
4. 電子メールを利用したフィッシング
フィッシング攻撃で送信される悪意ある電子メールの数は、引き続き数百万件に上っています。今後も攻撃者は過去に漏えいしたデータを利用し、個人に合わせた内容の攻撃の自動化を試みるでしょう。ビジネスメール詐欺(Business Email Compromise: BEC)のようなソーシャルエンジニアリング型の詐欺は、フィルタリングや検知を回避するために、テキストメッセージング、Slack、Teamsチャットなどの他のメッセージングサービスへとますます広がっていきます。一方、フィッシングでは、プロキシを使ってセッショントークンを取得する、MFAトークンを盗む、QRコードのような迂回策を使って正体を隠す、といった手法が引き続き用いられます。
5. スマートでないスマートコントラクト
暗号通貨取引所やさまざまなブロックチェーンでのスマートコントラクトへの攻撃は止む気配がありません。国家が関与する攻撃者も、デジタル通貨を億単位で盗もうとしています。ユーザーに対する従来のフィッシング攻撃やマルウェア攻撃に加え、スマートコントラクト、アルゴリズム型コイン、DeFiソリューションへの攻撃はますます巧妙化します。
6. インフラストラクチャへの寄生
サービスプロバイダーが攻撃され、侵入される例が増加しています。攻撃者はPSA、RMMなどインストール済みツールや、その他の展開ツールを悪用して、環境に寄生します。マネージドITサービスプロバイダーだけではなく、コンサルティング企業、一次サポート組織、同様のコネクテッドパートナーなども標的となります。多くの場合、このように外部から送り込まれたツールが標的となった組織の弱点として仕込まれ、手の込んだソフトウェアサプライチェーン攻撃を仕掛けられなくても侵入を許してしまいます。
7. ブラウザ内からの攻撃
ブラウザ内またはブラウザ経由での攻撃が増加し、セッション内から攻撃が行われるようになります。攻撃者は悪意あるブラウザ拡張機能によって、トランザクションのターゲットアドレスをスワップしたり、バックグラウンドでパスワードを盗み出したりします。また、ツールのソースコードを奪い、GitHubリポジトリを通じてバックドアを仕込む手法も多く見られます。一方、WebサイトはJavaScriptを使用してユーザーを追跡し、マーケティングサービスへのHTTPリファラーでセッションIDを過剰に共有しています。今後は、追加された小さなスニペットが元のWebサイトのすべての情報をバックグラウンドで盗む、Formjacking/Magecart手法が拡大されるでしょう。サーバーレスコンピューティングの増加とともに、このような攻撃の分析はさらに複雑になる可能性があります。
8. APIによるクラウドの自動化
データ、プロセス、インフラストラクチャのクラウドへの大規模な移行が進んでいます。これとともに、各種サービス間の自動化も拡大するでしょう。多くのIoTデバイスが、各種サービスを提供する大規模なハイパーコネクテッドクラウドの一部となります。その結果、多くのAPIにインターネットからアクセスできるようになり、APIへの攻撃も増加します。自動化の拡大に伴って、これが大規模攻撃につながる恐れがあります。
9. ビジネスプロセスに対する攻撃
攻撃者は、自らの利益になるようにビジネスプロセスを改変する方法を次々と編み出します。たとえば、請求システムで銀行の受取口座の詳細を変更する、電子メールサーバーのバックアップ先としてクラウドバケットを追加する、といった方法があります。一般的に、このような攻撃ではマルウェアは使用されませんが、増加し続けるインサイダー攻撃と同様にユーザー行動の詳細分析が必要です。
10. AIの普及
AIおよびMLプロセスがあらゆる規模の企業やセクターで使用されるようになります。合成データ作成技術が進歩し、ID詐欺やディープフェイクコンテンツを使った虚偽情報の流布がさらに盛んになるでしょう。さらに懸念されるのは、AIおよびMLモデルそのものに対する攻撃です。攻撃者はモデルの弱点を突き、データセットに意図的にバイアスを混入させたり、大量のアラートによるフラッド攻撃でITオペレーションを妨害したりします。
##
このブログはvmblog.comに掲載されたAcronis 2023 Predictions: Cyber Threat Predictions for 2023の抄訳です。
