Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

2022年のサイバーセキュリティ分野予想のまとめ

つぶやいてみた。

コロナ禍は良くも悪くも私たちの生活を一変させましたが、来年がどんな年になるのか、サイバーセキュリティの観点でも各社が予想を出しているので、本日はそれを取り上げます。

 

まずはノートンライフロックの予想です。3つの予想を挙げており、仮想通貨を狙った攻撃、AIや機械学習を使った攻撃、デジタルシフトへの攻撃が増加すると予想しています。

dime.jp

■仮想通貨を狙うサイバー犯罪
2021年は、仮想通貨事業を手掛ける企業が続々とNASDAQ上場を果たした。メジャーになっていくにつれ、仮想通貨を使い始める人は増える可能性がある。

人工知能(AI)や機械学習を活用したサイバー犯罪
音声や映像データから特定の人のフェイク音声・映像を生成する「ディープフェイク」という技術が、近年では犯罪に活用され始めている。

社員になりすまし、偽の音声で電話をして会社のお金を引き出すことに成功した事例もあり、今後技術がより発展し、よりクリアな音声を生成できるようになった際には、本物との区別がさらに難しくなるため、ディープフェイクを利用した犯罪が増える可能性がある。

■コロナのもたらしたデジタルシフトに便乗するサイバー犯罪
2021年のトレンドにもあったように、コロナ禍に乗じたサイバー犯罪は、コロナ禍での生活変容に合わせ、今後も継続していくことが予測される。今後、Go Toキャンペーンの再開時や、デジタルのワクチンパスポートが本格的に始動する際には、それらに乗じた詐欺が発生する可能性があるため、注意する必要がある。

(@DIME記事より抜粋)

 

仮想通貨に関しては個人を仮想通貨マイナーで狙う攻撃は引き続き警戒する必要がありますが、仮想通貨取引所DeFi(仮想通貨分散型)取引所等の仮想通貨資産が集まる事業者が狙われる傾向の方が強い気がします。

特にDeFi取引所は一般的な仮想通貨取引所に比べて、2021年は大きなインシデントがいくつか出ましたので、脇の甘い事業者が狙われる可能性は高いと思います。

AIや機械学習は「ディープフェイク」技術が更に発展して脅威レベルが上がるのは間違いないかと思いますし、いくつか攻撃の成功例が出てきてしまう気はしますが、現在のランサムウェア攻撃の様に、まだ社会問題化するまでは至らない気がします。

3番目のデジタルシフトは、2021年に引き続き、といった方が良いかも知れません。コロナ禍を受けて様々な事がガラガラポンされている中で、どうしてもセキュリティが意識されずに進められてしまうプロジェクトが多くなります。

しかし、そこにサイバー攻撃者が狙う資産(金融情報や個人情報、その他機密情報)があるので狙われる。残念ながら2022年もこうした点を突いてくる攻撃は頻繁に出てくると思います。

対抗するにはセキュリティbyデザイン、又はサービスリリース時にセキュリティ観点での(第三者)レビューを行う事が有効かと思います。

 

続いて、レノボの技術トレンド記事です。こちらはサイバー犯罪という視点ではありませんが、日本語記事だったので先に取り上げます。

japan.zdnet.com

予測1:「どこからでも仕事ができる」が職場の新定義になる
予測2:パスワードに代わる技術が普及する
予測3:サステナブル社会のための「テックフォーグッド」が加速する
予測4:PCモニターがハブ機能の役割を果たす
予測5:フレキシブルディスプレイが普及する
予測6:より直感的な情報入力が可能になる
予測7:テクノロジーがより医療と密接になる
予測8:コンピューターの操作はより自然に、「アンビエントコンピューティング」の普及が進む
予測9:没入型コンテンツは手のひらでも楽しめるように
予測10:ゲームの「没入感」が向上する

 

この中で、危険性を感じたのが、予想1の出社とテレワークのハイブリッド勤務体制の状態化です。VPNやRDP接続の技術自体が悪い訳ではないのですが、既知の脆弱性へのパッチ適用が遅れがちな点、あるいは管理者のパスワード管理が”アレ”なケースが多い点などを考えると、2022年も相当「狙われる」可能性を感じます。

ランサムウェア攻撃で、データの暗号化をせずに機密情報だけ窃取してすぐに脅してくるグループが増えつつありますが、こうした攻撃グループにも、重大な脆弱性が出やすく、出た場合に企業側の対応が遅い、リモート接続環境において多層防御の考え方をしっかり持たないと危ない気がしてなりません。

予想2のパスワード代替は、個人的にもそろそろ生体認証やトークンOTP等に置き換わっていって欲しいものです。こうした中、FIDO(v2)が最も期待できる規格で、海外企業での採用が増えましたが、日本企業でももう1段階普及が進むのが2022年であって欲しいものです。

予想10は、メタバースを指している部分もありそうですが、仮想空間が市民権を得るかがどうか問われるのが2022年になるのかも知れません。セカンドライフが以前失敗してきた道を、どう成功させていくのかFacebookから社名変更したMeta等の動きをウォッチすべきなのかと思います。セキュリティ分野で言えば、これから流行りそうな新しいものであるメタバースは、脆弱性を探されまくる年になる気がします。

 

3つ目はマイクロソフトです。こちらはサイバーセキュリティ側の5つの予想となっています。

ahmedabadmirror.com

1.デジタル共感の台頭

デジタル共感には、人々がテクノロジーにどのように行動し、関与するかについて考えることが含まれます。デジタルソリューションに共感を適用することで、これらのソリューションをより包括的にすることができます。サイバーセキュリティとは、人々とその絶え間なく変化する状況、多様な視点、多様な能力に関して、より多様性に対応するツールを構築することを意味します。

2.ゼロトラストの旅はますます重要になっています

ゼロトラストは、あらゆる場所で強力なID認証を使用する「違反を想定した」セキュリティ体制です。パンデミックを過ぎて、労働力と予算が回復する時期を見ると、ゼロトラストはサイバーセキュリティへの最大の投資分野になります。これは、今、私たち全員がゼロトラストの旅に出ていることを意味します-私たちがそれを知っているかどうかは関係ありません。

3.データの多様性が重要

マイクロソフトは、世界中のさまざまな製品、サービス、およびフィードからの24兆を超える毎日の信号を追跡しています。2021年には、データの多様性により、Covid-19をテーマにした攻撃をより広い文脈で理解することができました。これは、脅威との戦いに関して、クラウドとデータのパワーと規模が明らかに有利である方法の例です。

4.ビジネスの回復力は、サイバー回復力と結びついています

サイバー攻撃の頻度と高度化は進んでおり、攻撃の影響やランサムウェアの支払いの可能性を最大化するために、コアビジネスシステムを意図的に標的にしています。このコンテキストでは、運用レジリエンスへの包括的なアプローチにはサイバーレジリエンスが含まれている必要があることを私たちは知っています。マイクロソフトは、気象事故などの計画的なイベント、地震などの計画外のイベント、サイバー攻撃などの法的イベント、およびCovid-19のようなパンデミックという4つの基本的な脅威シナリオに焦点を当てた戦略の恩恵を受けています。

5.統合セキュリティへのより大きな焦点

2021年の前半は、サイバー犯罪者の敏捷性と冷淡さを実感させました。変化する攻撃者の手法を明らかにし、実際に被害を与える前にそれらを阻止するには、組織はアプリ、エンドポイント、ネットワーク、およびユーザー全体を確認できる必要があります。新しい経済的現実に直面して、組織は、選択したクラウドおよび生産性プラットフォームに組み込まれたセキュリティ機能を採用することにより、コストを削減するように駆り立てられます。

 

2番目のゼロトラストですが、海外に比べて日本の取組が遅いという個人的な印象があります。恐らく海外の方が動きは早いので、海外企業を主に攻撃していた犯罪者が、ある時点で日本企業の取り組みが遅くて狙い目だと”気づいてしまう”可能性も十分に考えられます。ゼロトラスト思考は、日本には少し馴染みが薄い”性悪説”思考でもあるので、移行していくのであれば早めの検討が必要かと思います。

4番目のサイバー回復力、つまりレジリエンスを言っているのですが、多くの日本企業にとって一番の強化ポイントがレジリエンスだと思います。インシデント対応計画を東日本大震災以降ほとんど改訂していない企業は、そろそろ痛い目に遭う気がします。

 

5番目の統合セキュリティは、2022年がその第一歩となる企業も多いかと思います。クラウドとオンプレを含めた統合管理、そしてここには含まれていませんが、自動化も併せて考えるべきポイントかも知れません。

 

4つ目の記事は今年も非常にお世話になった、Security Boulevardからの引用です。

securityboulevard.com

1.スリーパーアカウントの脅威に目覚めます。
スリーパーアカウントは、詐欺師が検出を回避するために作成した偽のアカウントであり、2021年にその使用量が急増しました。最初の活動期間の後、攻撃者は、より大規模な協調攻撃で必要になるまで、スリーパーアカウントをアイドル状態のままにします。たとえば、ログイン攻撃中に、詐欺師はスリーパーアカウントのクレデンシャルとテストしたい盗まれたユーザーのクレデンシャルを混在させる可能性があります。これにより、ログインの成功率が人為的に高くなり、実際のユーザーのように見えます。また、アラームを発生させることなく、ルールベースのセキュリティ防御をすり抜けることができます。詐欺師は、2022年にこの成功した攻撃戦略をあきらめるつもりはありません。

(中略)

2.フィッシングはより巧妙になります。
パンデミックにより、より多くのユーザーがオンラインになり、その多くが初めてですが、フィッシング攻撃はより特殊化されました。非常に一般的なタイプのソーシャルエンジニアリング詐欺であるフィッシングは、攻撃者が合法的な企業または機関を装って機密情報を探すときに発生します。これらの詐欺は、パンデミックの際に、疑わしくないように見え、フィッシングの試みを認識した経験のない新しいユーザーを利用するように進化しました。たとえば、詐欺師はユーザーをだまして不正なリンクをクリックさせようとする代わりに、侵害されたクレデンシャルをオンラインで購入し、それらを使用してログインし、ユーザーに電話をかけて、電話に送信された2要素認証コードを取得しました。そして、これらの試みはますます成功しました。

(中略)

3.より多くのハイブリッド体験、詐欺師のためのより多くの機会。
2021年にCOVIDの制限が緩和されると、オンラインで購入、ストアでピックアップなどのハイブリッドエクスペリエンスが、そのシンプルさと短い所要時間で人気を博しました。しかし、ハイブリッドエクスペリエンスが増加するにつれて、オンライン詐欺師の機会も増加しました。より多くの活動がオンラインに移行するにつれ、詐欺師はこれらのハイブリッド体験を利用してより多くの不正取引を行いました。

(後略)

 

1番目は盲点でした。一定期間使われていない休眠アカウントの悪用は怖い攻撃です。攻撃者は常に防御側の検知を潜り抜けてこようとする、その考え方に沿って対策を重層化すると共に、一定期間使われていない休眠アカウントは一時的にロックするといった対応も必要なのかも知れません。

2番目のフィッシングの巧妙化・・・これ以上巧妙になってくるのかと、うんざりしますが、国内で成りすまし対策が進んでないとの調査結果も出ていますので、引き続き警戒が必要の様です。少し触れられていますが、SMS-OTPはそろそろ限界かも知れません。

【NewsRelease】国の行政機関が発行するメールマガジンのなりすまし対策状況の調査結果を公表 - 一般財団法人日本情報経済社会推進協会(JIPDEC)

 

3番目は、別な予想でコメントした内容と似ているのでコメントは割愛します。

 

まだ12月に出ていた予想記事はあるのですが、なかなか終わりまでたどり着きそうのないので、ここらで一旦止めます。最後はカスペルスキーの予想記事です。

prtimes.jp

・モバイルバンキング型トロイの木馬の影響が引き続き増大 
強い金銭的動機を持つ「Roaming Mantis」グループは、昨年の予測のとおり、日本をはじめ、中国、韓国、米国、カナダ、フランス、ドイツなど世界中で現在も活発に活動を続けています。この攻撃グループは、主にWrobaマルウェアファミリーを使用してAndroid端末を感染させ制御します。日本や韓国の場合は宅配サービスを装い、ほかの地域ではGoogle Chromeをかたるなど、標的の地域で広く知られるブランドに成り済ましたスミッシングによって、感染をさらに拡大させています。特に、Wrobaの2021年第一四半期の検知数はグローバル全体で第二位で、全体の7.98%※5を占めました。なお、2021年第一四半期、第二四半期ともに、日本はモバイルバンキング型トロイの木馬の攻撃に遭ったユニークユーザー数の割合が最も多い国でもありました。Roaming Mantisグループは、日本を含む多くの地域を標的にし続け、それは2022年も変わらないと予測します。

・フィッシング標的の拡大 
スマートフォンの電子決済サービスやフリーマーケットアプリのサービス、携帯キャリアの決済サービスなどの普及に伴い、それらのサービスを装ったフィッシングサイトを使用した攻撃が増加しています。犯罪者はこういったサービスで使用されるアカウント、それにひも付く口座やクレジットカードの情報を狙い、最終的には金銭を窃取します。この傾向は2022年も続くでしょう。また、興味深いケースとして、クラウドサービスやインターネットサービスプロバイダードメイン登録サービスなどのアカウントが攻撃インフラとしての利用を目的に狙われるケースも観測しています。来年は、日本でもインターネット上のさまざまなサービスが標的となり、フィッシング攻撃による被害の拡大が考えられます。

・標的型攻撃グループの活発な活動が継続
日本を標的とする攻撃グループとして、まず注目すべきは「Lazarus」およびそのサブグループです。Lazarusグループはグローバルで活動する非常に有名な攻撃者グループですが、2019年頃から日本を標的とし、「Dtrack」マルウェアや「MATA」フレームワークを用いた攻撃活動が報告されています。2021年には、JPCERT/CCが「Torisma」、「LCPDot」、「VSingle」、「ValeforBeta」といった新たなマルウェアを使用した攻撃を報告しています。そのほかにも、ファイルレス型のバックドア「LODEINFO」や高度なマルチレイヤー型ローダー「Ecipekac」を用いた標的型攻撃を観測しており、これらには高度サイバー攻撃グループ「APT10」の関与をうかがわせる痕跡が見つかっています。こういった攻撃活動は、ファイルレス型マルウェアの使用、マルウェア機能の頻繁な強化と更新、マルウェア感染へ至るプロセスの複雑化、解析妨害技術の強化に加えて攻撃痕跡の消去を徹底するといった傾向にあり、攻撃の全体像の把握や追跡が年々困難になっています。2022年は、このような攻撃グループによる日本国内組織および関連組織を標的とした攻撃は継続し、その手口は年々洗練されていることから、追跡および調査はいっそう困難になると考えられます。

 

上記は日本の予想ですが、グローバル予想も挙げているのでご興味がある方は元記事をご覧ください。

1点目は、モバイルバンキングアプリ向けの攻撃が継続(拡大)する予想です。国家の支援を受け多国を攻撃する攻撃者グループよりも、金銭的動機が強い攻撃者グループは多いかと思いますので、ネットバンクアプリやクレジットカードアプリを狙った攻撃は、2022年”縮小は無い”というこの予想は十分妥当性があるかと思います。

 

2点目の、フィッシング標的の拡大ですが、個人だけでは無くドメイン自体を狙った攻撃も観測されている事には留意が必要かも知れません。人の脆弱性は中々なくなりませんので、残念ながら2022年もフィッシングに気を付けるべきと言えそうです。

 

3点目は、標的型攻撃ですが、重要インフラ企業ならいざ知らず、一般的な企業にLazarus等のAPT攻撃を全て防御するのは難しくなってきているかと思います。むしろ、入られる事を想定して、内部ネットワークに侵入された後の対応に重点を置く、そんな事も必要なのだと思います。

 

 

本日が年内最終出勤と企業の方も多いかと思います。どうか良いお年を。

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 予想屋のイラスト

 

更新履歴

  • 2021年12月28日 AM