Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

キタきつね的 セキュリティ関連予想

◆キタきつね的 2020年のセキュリティ関連予想

当ブログでも様々な専門家の予想を記事にしてきてますが、私個人として2020年、特に日本はどうなるか?を考えてみると、防御側である日本企業や組織が後手に廻る事が多くなるのではないかと想像しています。私が思う、今年の予想は以下の通りです。

 

 1 東京五輪に向けて日本を対象とした攻撃が急増する
 2 AIを使った攻撃ツールが防御ツールより先に普及する
 3 日本の優秀なセキュリティ人材が海外(企業)に引き抜かれ始める
 4 パスワードは相変わらずセキュリティホールで居続ける

 

1の東京五輪に関連した攻撃急増は、セキュリティ担当の方であれば誰でも言うので今更感があるかと思いますが、オリンピック関連の攻撃が増える事は過去のオリンピック開催国の事例を見ても明らかです。特にオリンピック公式サイトスポンサーサイト、政府関連、イルカ・くじら関連、、と言った所が攻撃対象になる事は想像に難くないのですが、DDoS攻撃を仕掛ける為に、日本ドメインのサイト(IoT機器)が、オリンピック関連の本攻撃を仕掛ける前に密かに乗っ取られる可能性が高いと考えます。

個人的に狙うとしたらと考えると、スポンサーやマスメディア(サプライチェーンです。オリンピック組織委員会(防衛側)からすれば、ある意味お客さん(Trust)であり、正規のアクセス権を持っている場合もあるでしょうし、そのドメインからのメールや通信をブロックしにくいステークホルダーです。しかしこれらの企業のセキュリティが弱ければ(実はUntrustにすべきだった場合)”良い攻撃”が出来る可能性を感じます。また、急遽開催が決まった札幌(マラソン)関連のサイト札幌市や北海道の公的機関道内有名企業も体制構築の時間が無かったが故に(攻撃の経由先として)狙われる可能性を感じます。

 

2のAI攻撃ツールの増加は、どこまで本格化するのか?を正しく判断だけるだけの脅威情報を持ち合わせてる訳ではなのですが、今年は攻撃側の方が、AIを使った大規模攻撃を仕掛けてきそうな予感がしています。個人的に2つの分野で攻撃が進化する気がします。

1つがAIによるBEC(ビジネスメール詐欺)やBVC(ビジネス音声詐欺)の攻撃です。ビジネスメール詐欺にひっかかる日本人は年々増えています。メール本文がAIにより自然な詐欺メールが大量にばらまかれるだけでも脅威は相当上がりますが、相手の特性に合わせてクリックしやすい内容を”カスタマイズ”し、その効果測定を元にAIが更なる攻撃を、時間や曜日を変え、送るルートも会社アドレスだけでなくSMSやプライベートメールアドレスも含めて、送ってくるとなると、、かなり成功率が高くなってくると推測されます。

 

参考)去年報じられたNHKクローズアップ現代のアマゾンやらせレビュー

※この場合のAI的要素は、コメント欄の自動生成ですが、これがフィッシングメールに大規模活用されるのは非常に怖い気がします

f:id:foxcafelate:20200104065947p:plain

※写真はNHK記事より引用

※参考記事

 Amazonのやらせレビュー工場 - Fox on Security

 

さらに怖いのが「音声」です。メールは既に攻撃が活発ですが、音声は・・・多くの方が慣れてない攻撃でもあるので、AIを使った経営者や重要得意先の方のそっくりな音声を使われた場合、騙される方が多くなる気がします。

※参考記事

 役員は代表電話にはかけてこない - Fox on Security

 ビジネス詐欺はメールだけではなくなった - Fox on Security

 

3の日本からのセキュリティ人材の流出ですが、セキュリティ担当に対する日本企業・組織の待遇があまり向上してない事に起因して思う事です。少し前の総務省のデータでは、日本では”今年”20万人弱のセキュリティ人材が不足すると予想されていました。

f:id:foxcafelate:20200104071520p:plain

 

前からこうした不足が予想されていていましたが、去年セキュリティコンサルとして色々な企業のセキュリティ担当の方と会話、あるいはコンサルのお仕事をさせて頂きましたが、数年前と比べて、企業側の担当数が相当数増員されたという感じでなく、何人かのメインの方が相変わらず忙しく担当されている企業の方が多かった気がします。

 

ですが、去年後半あたりから、コンサルの相談を受けるケースが例年以上に多くなってきています

 

私の個人的な例で恐縮ですが、去年は複数の他社の方(外資系含む)から、セキュリティコンサル(本業)での転職をオファーされました(飲み会の席だったので本気では無いと思いますが)

一昨年も似たような活動をしてる訳ですが、去年こうした”引き”があったというのは、やはり今年忙しくなる(コンサル案件が多くなる)と考えるセキュリティ関連企業がいると考えられ、歩いて程度戦力になりそうな方に声をかけているという事なのだと思います。

こうした環境が正しいかはわかりませんが、企業の危機感が強くなっても、対応できる(中~高度)セキュリティ人材は限られている事から、日本ではあまり多くありませんでしたが、人材の引き抜きが今年以降は増えてくる可能性を感じます。

 

4のパスワード問題ですが、徐々に変わりつつあるとは言え、今年もパスワードに関連したインシデントは多数発生してしまう未来しか想像できません。企業は、もっと2要素認証(今後導入する企業はSMS-OTPはN避けた方が良いですが)に積極的になるべきだと思います。そうした意味ではFIDO等の生体認証の普及が拡大して欲しいとは思いますが、残念ながら(経営層の理解不足あるいは予算不足で)徐々にしか普及は進まないかもしれません。GAFA等海外企業の方が生体認証の取り込みが早そうなのが歯がゆいのですが・・・

 

一方、企業のIT部門では、(インターネットに接続できない環境で)管理する端末数が多すぎてパスワード管理が出来てない状況が浮き彫りになる気がしています。こうした環境ではクローズ環境内だけで動作するパスワード管理ソフトの利用や、パスワードからパスフレーズへの移行(※パスワード2.0も是非活用下さい)をもっと加速すべきだと思います。

 

 

本日もご来訪ありがとうございました。 

 

 予想屋のイラスト

 

更新履歴

  • 2020年1月4日AM(予約投稿)