Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

2022年のサイバーセキュリティ分野予想のまとめ②

昨日に引き続き、2022年がどんな年になりそうかの各社予想を見ていきます。

 

最初はThreatpostです。こちらも2021年はよくお世話になったニュースソースです。こちらの記事はJupiterOneのCISO、Sounil Yu氏予想です。

threatpost.com

2021年を通して、私たちはこの面で絶え間ない悪いニュースを目にしました。ENISAは、2021年には、2020年に見たよりも4倍の数の攻撃が発生する可能性があると 予測しています。COVID-19サプライチェーンの混乱のように、これらの攻撃は孤立したイベントではありません。しばらくの間、これらの攻撃の完全な影響を実際に知ることはできませんが、2021年のサプライチェーンの侵害による複合的な影響が2022年に彼らの醜い頭を後押しするため、いくつかの厄介なセキュリティ関連の混乱を予想する必要があります。

SaaSアプリケーションのガバナンスを改善する必要性
ほとんどの組織はすでにサービスとしてのソフトウェア(SaaS)アプリに大きく依存しています。この傾向は、COVID-19パンデミックの際に遠隔地の労働力にシフトすることで有名に加速されました。また、一部の従業員が新年にオフィスに戻る可能性がありますが、SaaSアプリケーションへの移行は、その使用によって得られるビジネスの俊敏性のおかげで、加速しないとしても、2022年も衰えることなく続く可能性があります。ただし、この変更により、SaaSアプリケーションの使用によるリスクを効果的に管理する必要性が高まっています。これは、企業データがSaaSアプリケーションに準拠するためです。

(中略)

ビジネスアプリケーションメッシュの最も弱いリンクに注意してください
SaaSの採用の増加に伴い、組織が複数の異なるSaaSアプリケーション間でカスタムビジネスロジックを構築できるようにする「ビジネスアプリケーションメッシュ」の並行開発を目の当たりにしました。このメッシュにより、推移的な信頼関係を作成して、このデータの移動を可視化または管理する中央機関なしで、これらのSaaSアプリケーション間でデータを移動できるようにすることもできます

(中略)

セキュリティキャリアパスを広げるための職業訓練の追加
サイバーセキュリティ業界では、セキュリティの専門家は専門家であるという考え方が一般的です。したがって、この考え方の直接的な結果は、多くのサイバーセキュリティの仕事に大学の学位が必要になるということです。最近の ISC 2 レポートでは、現在のサイバーセキュリティの労働力の86%が学士号以上を持っていることを示しています。さらに、Indeed.comですばやく検索すると、約46,000のサイバーセキュリティジョブが表示され、そのうち33,000(70%以上)が学士号を取得しています。

 

SaaSアプリケーションは、テレワークの常態化や、DX化の加速により多くの企業で2021年は採用が進みましたが、2022年はSaaSアプリケーションのリスク管理という視点が重要になってくるのは間違いないかと思います。

つい1年前にはSalesforceの設定ミスを公表する企業が相次ぎました。Zoom爆弾(リモート会議の妨害)やZoom不正出席(会議URLを入手し勝手に参加)といった問題が大きな話題となったのは2020年、これも記憶に新しい所です。

参考:楽天148万件の情報流出はSalesforce設定ミス - Fox on Security

 

企業や組織が採用するSaaSアプリケーションは、自社を振り返ってみても、ここの2年程で急速に増えています。こうしたSaaSアプリケーションの採用時には通り一遍のセキュリティチェックをしているとは思いますが、定期的な脆弱性チェックや、CASBSASEといった包括的な管理策が無いと、リスクは抑えきれなくなるかと思います。

 

2点目は、単体のSaaSアプリケーションではなくSaaSアプリケーション同士の連携を指している様です。単体のリスクチェックは問題なかったとしても、連携によって新たなリスクが出る可能性がある事を考えると、こちらもCASBやSASEといった管理策へ頼る事になる気がします。

2019年の7Pay問題は、7idと紐づけされた事による脆弱性を突かれたのですが、それのSaaSアプリケーション版が発生しないかどうか、こうした視点でチェックする事が必要になってきている気がします。

参考:7Payの緊急会見を読み解く - Fox on Security

 

3点目はセキュリティ人材問題です。「1人情シス」の企業はまだまだ多いかと思いますが、セキュリティ分野の人材は世界中での奪い合いになる事が予想されており、日本企業の待遇が悪いと、自社の人材が出て行ってしまう可能性があるだけでなく、将来は”海外”からのサポートを(高値で)受けなければならなくなるかも知れません。

 

2つ目の予想記事はKnowBe4の2020年のセキュリティ動向予想です。

 

9点予想が出ていますが、予想3のメタバースでの攻撃と、予想4のディープフェイクについては他の予想記事でも出ていましたので割愛します。

※日本語記事なので省略した部分もについて興味ある方はソース先をご覧ください。 

www.knowbe4.jp

2022年動向予測1: Nuclear Ransomware 3.0へと進化する
まず、最初の要注意動向は、Nuclear Ransomware 3.0と呼ばれるランサムウェア攻撃の進化です。1つの傾向として、ハッカー集団が将来に向けて動き出していることです。この中、ランサムウェアのギャングたちは「すべてがギャング(Everything Gangs)」へ変貌しつつあることです。プロのギャング集団として、単なる身代金目当てのランサムウェア攻撃やデータ流出だけではなく、クリプトマイニング、ボットネット構築、DDoS攻撃といった大掛かりな攻撃手法を行うようになるでしょう。

(中略)

 2022年動向予測2: メタモルフィック(変態)型マルウェアファミリーの新種(侵入を絶対に阻止しなければならい新種)が出現する
危険で持続的なメタモルフィック(変態)型マルウェアファミリーの新種である「Tardigrade」は、Windowsマルウェアの新種として出現してきています。「Tardigrade」は、検知されないように変態することができます。セキュリティ研究者の調査によると、この最初に発見されたインシデントはワクチン製造を支えるインフラを含むバイオ産業を標的にしていたと報じています。このマルウェアのメタモルフィック(変態)という特徴は、マルウェアが一貫したシグネチャを残すことを防止できます。この機能によって、このマルウェアウイルス対策プログラムが発見するのは非常に困難です。コッソリ侵入してくるこのマルウェアは、フィッシングメールとUSBデバイスを媒介に拡散されます。

(中略)
2022年動向予測5: 暗号通貨への攻撃は現実世界の経済を直撃する
主要な暗号通貨が攻撃され、直接的な窃盗や価値の低下により、数十億ドルの価値が失われることが予測されます。多くの個人や組織が深刻な影響を受け、これは「Black Crypto Day」と呼ばれるようになるでしょう。
2022年動向予測6: EUの主要な発電所/公共インフラ供給会社がランサムウェア以外の斬新な方法で機能不全に陥る
おそらく東欧のどこかで、電力、ガス、水道のサービスが遮断されることが予測されます。そして、携帯電話やタブレット、ノートパソコンのバッテリーが切れるのを恐る恐る見ていると、サイバーテロ集団が取引条件を差し出してくるでしょう。多くはその条件を受け入れることができるでしょうが、その代償を考えると、これは大きな問題と言えるのではないでしょうか。
2022年動向予測7: 誰かが間違った集団をバックハックして、国際的な大事件へと波及する
大規模な攻撃を操る犯人を誤認することが考えられます。過度に熱くなったセキュリティリサーチャーが誤って報復のためにハッキングを実行してしまうが、その際に誤認であることが判明し、これが国際的な大事件へと波及して、この責任者である組織は非常に厳しい目で見られることになることが予測されます。 
2022年動向予測8: ダークエコノミーM&Aが台頭する
犯罪組織の中には、非常に裕福になっているところがたくさんあります。実際、株式上場できるほどの規模を持つ陰の組織もあります。このような組織が、組織の実態を隠ぺいするために、組織を売却して資金洗浄する、また、組織の拡大の目的でM&Aを利用することが考えられます。その結果として、正式な企業の蓑をかぶったダークエコノミーが出現することが予測されます。
 2022年動向予測9: AIの悪用が2022年には起こる
AIを悪用した頭脳をもった攻撃ボットの第一波を出現することが予測されます。今後は、悪質なボットとスレット(脅威)ハンティング(狩る)テクノロジーとの戦いとなり、AIアルゴリズムの優位性がこの勝負を支配することになるでしょう。

 

ランサム3.0の予想は実は「外れています」。もう既に予想記事に書かれている様なDDoS攻撃や、ボットネット構築といった手法は主要ランサムグループに取り入れられています。とは言え、ランサムの脅威は2022年にも継続するという点には大いに同意します。

 

予想2の変態型マルウェアの登場、出てきたら怖い・・・と思いますが、予想精度としては半々という所な気もします。

2021年は0ディよりも、既知の脆弱性を突かれた(パッチ当ての不備)攻撃の方が全体的に多かった印象があり、高度なマルウェアを投入しなくても、目的(金銭)をある程度達成出来ていたと思うからです。

予想にある様な高度なマルウェアが投入されるとすると、0ディと同様な使い方をされるのかと思います。つまり対象は著名企業か重要インフラ企業です。

しかし、新型コロナウィルスが次々と変異している様に、マルウェアも(人為的に)進化するのは当然の方向性ですので、最新マルウェアの動向には引き続き留意すべきかと思います。

 

予想5はエルサルバドルの記事でつい先日読んだ気がします。2021年はDeFi取引所などの攻撃も話題となりましたが、2022年も仮想通貨を狙った攻撃は多数出てくる事は間違いないかと思います。

エルサルバドルの公式ビットコインウォレット「Chivo」からビットコインが消えているとの指摘 - GIGAZINE

 

予想6のインフラへの攻撃ですが、2021年の水道施設、コロニアルパイプライン等の攻撃(一部成功)を考えると、EUだけでなく日本も含めて全世界でハッカーインフラ施設に攻撃を仕掛けてくる可能性は高いかと思います。

 

予想7「過度に熱くなったセキュリティリサーチャーが誤って報復のためにハッキングを実行してしまう」・・・。私には報復する技術はありませんが、諸々の調査、あるいは調査結果の発表で(寸止めまでで抑え)『一線を越えない』様に、2022年も安全第一で、リサーチャーとして生き延びたいと思います。

 

予想8のダークエコノミーM&Aですが、ランサムグループの中では、例えばREvilのコアメンバーが米国政府の反撃によって活動停止に追い込まれ、他のグループに移籍する、といった記事もありました。

参考:Three key ransomware actors changed jobs on October 18 • The Register

 

こうした必要に迫られたダークエコノミー内のM&A(移籍市場)の活性化ではなく、更に進んで、表の企業を買収する・・・どこかの反社系の話で聞いた事がある様な気がしますが、一部の犯罪者グループは資金力も豊富ですので、十分に考えられる話かと思います。

金融系の攻撃を得意とするFin7(Carbanak)が合法的な『侵入テスト』だとして、ペンテスターを募集していた記事が2021年10月に出ていましたが、これが更に進み、表裏の顔を持つセキュリティ企業の登・・・なかなか怖い話ですが、出てくるのは時間の問題な気がします。

参考:Hacking gang creates fake firm to hire pentesters for ransomware attacks


最後予想9はAIの悪用ですが、こちらは前回記事にも書いた気がしますが、攻撃は出てくるとは思いますが、(まだ)時間もお金もかかる技術でもありそうです。

となると、APT攻撃や標的型攻撃で大企業や重要インフラ企業等に先に使われると思いますので、一般企業は、そこまでまだ警戒しなくても大丈夫でないかと思います。

 

 

※当ブログのOSINT記事は年末年始【12/29-1/3】お休みとなります。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 予想屋のイラスト

 

更新履歴

  • 2021年12月29日 AM