Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

セキュリティトレンド2019

2019年はどんなサイバーセキュリティトレンドとなるのでしょうか。海外の専門家がどんな事を懸念しているのかを少し調べてみました。

www.computerworlduk.com

 

Computerworld UKは、IoTのボットネットが進化すると予想しています。今は仮想通貨マイニングの攻撃が差盛んなので表にあまり出てきませんが、Mirai以降、IoTボットネットは「止められない」ペースで成長を続けており、過小評価されるべきではないというKaspersky他の警告は、日本においても重要視されるべき情報だと思います。

この動きは、単なるボットにとどまらず、自己学習が機能が進み、IoT機器がお互いを識別して一斉に攻撃する「Hivenet」に進化していく可能性があるし、その対策として有効なのはデジタル証明書ではないかと書いています。

そうした中、IoTデバイスのセキュリティ普及が遅いために、カリフォルニア州の様に各国政府による規制強化が進んでおり、リスクが高い医療、運輸、エネルギー、製造の分野ではこの動きに敏感であるべき(※注:対策が不十分で遅いからだと思います)としています。

英国では重要インフラがサイバー攻撃の危険に晒されていると警告しています。その背景として国家間の対立があり、サイバー領域でより(サイバー攻撃の)現実性が増していると書いてます。

 

 

channels.theinnovationenterprise.com

 

 

Innovation Enterpriseは、サイバー攻撃の影響についてもっと恐ろしい予想を書いています。2019年後半にはサイバースパイがビジネスを破壊するだけでなく、「国全体を閉鎖」する可能性があると警告しています。

昨年もFacebook等々でも大量の個人情報が流出した事件が頻発していますが、こうした実在する個人情報を不正利用して、架空のIDを作成し、銀行口座やECサイトでの詐欺に使用するなど、あらゆる種類の混乱につながる事を懸念しています。

日本でも個人情報は既に多量にDark Web(Deep Web)に流出しているといわれています。単に情報が漏洩したと1つ1つの事件を捉えがちですが、ビックデータ分析により、こうした漏洩情報も繋がってしまう事には留意が必要だと思います。

 

携帯インフラに対する攻撃も危なくなりつつあります。NISTもその2要素認証として推奨しなくなりましたが、SMSベースの2要素認証、つまりスマートフォンのマルウェを介してのSMSメッセージ傍受からの中間者攻撃、そして社会保障番号(注:日本だとマイナンバーでしょうか)等の漏洩した個人情報を悪用して、携帯電話会社のSIM情報を移動させる、SMSスワップ攻撃、パスワードリセット等の攻撃も懸念されます。

日本ではクローンSIM被害は(私は)ほとんど聞きません。また海外で発生している電話での携帯SIM移行も通信キャリアが他国よりしっかりしているからか、聞いた事がありません。とは言えアンドロイド端末のマルウェア+中間者攻撃は既に数年前から事例が出てきているので、SMSでのOTP送付が今年(も)狙われる可能性は高いかと思います。

 

KBA=秘密の情報(例:あなたのお母さんの旧姓は?)は既に漏洩した大量の個人情報とダークウェブのために無意味なものとなると予想しています。私も”秘密の情報”は要らないと考えます。ほとんど同じ設問(海外コピペで母親の旧姓や、好きな食べ物、好きなスポーツ)である事も最近は脆弱性を増していると思います。Facebook等のSNSのプロフィールに書いてあるような情報は「秘密ではない」のではないでしょうか。

 

サイバー攻撃の内、技術的な脆弱性を突くマルウェアは3%。97%はソーシャルエンジニアリングを通じてユーザを対象としており、その中でも最初の入り口として電子メールは今年も狙われると予想されます。様々な専門家も、電子メールは未だに危ないと言っていますが、その傾向は今年も変わらないようです。ただし、人に起因する脆弱点なので、地道に教育・啓蒙が必要なのだと思います。

 

www.sunnewsonline.com

 

Sunnewsは、Kasperskyの情報の中で、バイオメトリックス情報の窃取による攻撃が出てくるのではないかと予想しています。2019年は中東・アフリカ地区で最初の攻撃が行われる可能性があるようです。金融機関の認証としてバイオメトリックス採用が進んでいますが、TouchIDやFaceIDなども含めて(その先にある)機密データを盗むために、バイオメトリックスデータ窃取が進むと予想してます。

AIの攻撃ツールによって従来の防御アプローチが時代遅れになってしまう可能性があ利、結局は防御側もAI防御ツール(機械学習)を使わなければならなくなりそうです。

電子メールを通じてのフィッシング攻撃もハッカー側に人気があり、悪意のある電子メールと検出されないままの政府のWebサイトへのマルウェア注入と併せて、(情報資産を持つ)組織への不正アクセスのためにハッカー側はフィッシングを今年も活用してくると予想しています。

ソーシャルメディアへの悪質な投稿が進化し、実際に起こったことのない出来事のビデオ映像が使われ、大衆を誤解させるためにしようされると予想しています。各国間の外交関係に損害を意図的に与える事を目的とする可能性が高いようです。Fakeビデオの登場・・・日本だと、おそらく隣国の方々がそうした攻撃を仕掛けてくるのだと思いますが、それを信じてしまう一定の人々が居る事も問題なのだと思います。

 

5Gネットワークへの移行により、サイバー攻撃の可能性が広がる事も意味してしまうので注意が必要なようです。IoT機器もWifiではなく5Gネットワークに直接接続するようになるので、脅威は急速に拡大していくと考えた方が良さそうです。HuaweiやZTEの問題はこの辺りに密接に関係すると思ってニュースを聞くといろいろと見えてくるものがありそうです。

 

オンプレミス設備がSaaSに置き換えられる事にも留意が必要そうです。SaaS利用により必要なITが少なくなるのは利点でもありますが、同時に最大の弱点でもあります。自社でアクセスやデータの制御が出来ずらくなり、脆弱性も増す事には注意が必要です。

 

 

learn.g2crowd.com

 

G2 CROWDは、企業標準は「ゼロトラストモデル」となると予想しています。内部も含め信頼できる個人はないという考え方は、日本の性善説型のセキュリティ体制とは最も相性が悪いのですが、従来のセキュリティ体制を過信すべきではない、という部分では日本企業も取り入れられる要素があるかもしれません。このベースには、リスクスコアを継続的にシュミレーション(リスクアセスメント)する事で考えていく事が必要となります。

バイオメトリックス(生体認証)は比較的好意的に書かれています。従来のパスワード等の認証を補うために紫綬規模は大きくなると予想しています。

IoT機器の増加は、既にDDoS攻撃の脅威となっていますが、ボットネット攻撃の防御技術はいくつかあるものの、エンドポイント(IoT機器)の脆弱性が解決されるまでインシデントは発生し続けるだろうと予想しています。

GDPRコンプライアンスは、去年日本でも突然降ってきたような印象がありますが、コンプライアンス関連のタスクを軽減する新しいマネージメントサービスが出てきて、企業は従業員教育よりもマネージメントサービスを活用していく方向に舵を切るのではないかと予想しています。

 

 

まだまだ多くのご紹介したい海外記事があるのですが、長くなりそうなので今日はこの辺で。

 

ãã¡ã¤ãã³ã·ã£ã«ãã©ã³ãã¼ã®ã¤ã©ã¹ãï¼è¥èï¼

 

更新履歴

  • 2019年1月3日AM(予約投稿)