Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

2022年のサイバーセキュリティ分野予想のまとめ③

つぶやいてみた。

昨年末にいくつかご紹介しましたが、本日は昨年も大変お世話になったSecurity Boulevardの2022年予想記事をご紹介します。

securityboulevard.com

予測#1:ランサムウェアは引き続き大混乱を引き起こします
(中略)

サイバーセキュリティの研究者は、ランサムウェアの脅威は来年にはどこにも行かないと世界的に信じています。実際、彼らは、ランサムウェア攻撃の頻度、強度、および高度化のレベルが2022年に大幅に増加すると予測していますランサムウェアがサイバー犯罪者にとって最も収益性の高い攻撃ベクトルに数えられていることを考えると、これはこのリストで最も信頼でき、驚くことのないサイバーセキュリティ予測の1つです。

予測#2:サイバー戦争は新たな高みに達する
(中略)

それぞれの地域の利益と地政学的目的を達成することを目的として、ロシア、中国、イラン、北朝鮮、およびその他のさまざまな国の主要な国民国家関係者は、2022年も積極的な姿勢を維持し続けるでしょう。地政学的緊張の高まり、パンデミックによる不安定性、暗号通貨へのアクセスの増加などの要因は、ほぼすべての業界に対する政治的動機による攻撃の増加に大きく貢献します。 

2022年のサイバーセキュリティの予測では、サイバー戦争は新たな高みに達すると予想されています 

予測#3:サプライチェーンのリスクがライムライトを盗む
(中略)

サプライチェーン攻撃によって引き起こされる被害の範囲は他の攻撃ベクトルよりも大幅に大きいため、世界中のサイバー犯罪者の間で特に人気があります。サプライチェーン攻撃の脅威は、2022年も世界中の組織に迫っていると予測されています。これを考慮に入れると、サードパーティリスク管理は、今後1年間の組織にとって最優先事項の1つになるはずです。 

2022年のサイバーセキュリティ予測には、サプライチェーン攻撃のリスクと危険性の増大が含まれます

予測#4:クラウド脆弱性は引き続き深刻な懸念事項
(中略)

マルチクラウド環境の急速な成長により、攻撃対象領域は大幅に増加し、2022年も拡大し続けるでしょう。サイバー犯罪者は、確立されたクラウド環境の新しい欠陥や弱点を見つけることに向けて、努力とリソースを集中させることが期待されています。データの保存と管理をクラウドに依存している組織は、クラウドの復元力の強化にリソースを集中させることを真剣に検討する必要があります。 

予測#5:IoTセキュリティが街の話題になる
(中略)

2022年の主要なサイバーセキュリティ予測の1つは、強化されたIoTセキュリティの必要性に対する注目の高まりです。IoTデバイスを悩ませているサイバー脅威は、ユーザーのプライバシーを保護するためのポリシーの規制に対する急増する需要を強調して、今後1年も成長し続けると予想されます。また、IoTデバイスを保護するための特権アクセス管理がより重要になります。

 

気付くと全文を引用してしまいそうになるので、予想部分だけを拾いますが、予想1のランサムについては、多くの他のセキュリティ記事(専門家)同様に、今年もその被害は継続すると予想しています。

ランサムウェア攻撃の頻度、強度、および高度化のレベルが2022年に大幅に増加すると予測しています。ランサムウェアがサイバー犯罪者にとって最も収益性の高い攻撃ベクトルに数えられていることを考えると、これはこのリストで最も信頼でき、驚くことのないサイバーセキュリティ予測の1つです

 

その中でも、BleepingComputer記事では比較的”悲観的な予想”を支持していますが、今年前半までに関しては、ランサムに関するいくつかの材料から考えると、私もランサム被害が日本も含めて世界中で脅威であり続けると思います。

各国の連携も強化される動きを見せているので、今年後半にこうした動きが実を結び、主要ランサムオペレータが活動停止・・・といった事も期待したいのですが、攻撃対象領域(アタックサーフェス)が拡大し、企業や組織は次々と出てくる脆弱性対応に苦戦しており、更に言えばサプライチェーン攻撃まで考えなければいけないと考えると、楽観的な予想は出来ません。

※余談ですが、昨年末某所のリークサイトに日本を代表する自動車部品ベンダーの情報が掲載されているのを見ました。

 

予想2のサイバー戦争は一部ランサムウェアの動向を含みそうですが、重要インフラや、機密情報を狙うATP攻撃や、暗号通貨を狙う大掛かりな攻撃を指している様に思えます。

重要インフラ(関連企業)を狙う攻撃の実態は、その動向が例えば三菱電機へのサイバー攻撃等、インシデント情報以外はあまり伝わってきませんので、全容を把握できるだけの情報を私は持ち得ておりません。

  

 

しかし「経済安全保障」というキーワードで追いかけると、去年12月下旬頃から動きが活発になっている事が分かります。

news.yahoo.co.jp

www.sankei.com

www.nikkei.com

こうした動きが活発になっているのは、想像力を豊かにして考えると”重要インフラ(関連企業)”が危ないとの政府の危機感の裏返しとも考えられ、特に自民党高市政調会長の発言には、色々なヒントが出てくる事が多い様に思います。

 

予想3はサプライチェーンリスクの予想です。2021年、海外ではSolarWinds、Accellion、Kaseyaと大騒ぎになったのがサプライチェーン攻撃ですが、日本でもProjectWeb(富士通)、FileZen(ソリトンシステムズへの不正アクセスが報じられました。

こうしたインシデント報道では、被害企業・組織の名前が各社の報道により一部出ていたのですが、これらの企業・組織の被害(漏洩)内容があまり明かされて(発表されて)いないという事には留意が必要です。

 

ほとんど被害は無かったと信じたい所ですが、穿った見方ではありますが

『発表できなかった』可能性も十分に考えられます。

 

因みにProjectWebは総務省、外務省、NISC、国立印刷局東京五輪パラリンピック大会組織委員会成田国際空港等129の企業・組織が被害を受けたとされます。

富士通は12月の第4報で、ProjectWebサービスに利用終了(新ツールへの移行)を発表しましたが、9月に設置された外部有識者による「検証委員会」による検証結果が『まだ出ていない』ので、検証作業が”難航”している事も予想されます。

FileZenは内閣府が被害を受けたと発表していますが、関連記事では(被害発表はされていませんが)復興庁や個人情報委員会が利用ユーザーに名を連ねていた事が出ています。

 

参考:

foxsecurity.hatenablog.com

 

日本では事例があまり報じられていない企業のシステムをリモート保守するMSPを含め、1社への攻撃が成功すると何百社への組織への侵害成功率上がるサプライチェーン攻撃の脅威は、2022年も全世界的な課題となり続けるのは間違いないかと思います。

日本企業・組織において、サプライチェーン企業のセキュリティ体制は「大丈夫だろう」と思考停止になっているケースも多々あるかと思いますが、今までインシデントも無かったので今後も大丈夫だろう、は危険な考え方になりつつあります。

ゼロトラストへのシフトがその1つの解かも知れませんが、サプライチェーンのすそ野が広い大企業では、まずは急速に利用が進んだ、外部クラウドサービス等に対する棚卸(リスク再評価)が重要になってくるのではないでしょうか。

 

予想4はクラウド脆弱性に対する攻撃です。上記サプライチェーンで少し書きましたが、クラウドは侵害される」という斜に構えた姿勢が重要な気がします。特に懸念されるのがユーザ企業側の”設定ミス”、そして一般利用ユーザの”ポリシー違反”です。

Salesforceの設定ミスの問題が出たのが1年前かと思いますが、海外ではそれ以前から問題となっていた個所が、突如日本企業で顕在化した流れだった様に記憶しています。

参考:

foxsecurity.hatenablog.com

 

SaaS提供側との契約内容に拠るとは思いますが、一般的に基幹部分以外のセキュリティ対策はユーザ企業側の責任になります。

サービスの設定については、ユーザ側の自由が認められるのは大きな利点もありますが、その反面、脆弱点を生み出してしまう場合もあります。

SaaS側が出すセキュリティ対策等のリリース内容について、ユーザ側はきちんと把握している事が前提(責任分界点)となっているのは、特に海外企業のSaaSサービスへのシフトが進んでいる中で見落としがちなポイントかと思います。

 

最後の、予想5はIoTのセキュリティです。IoT市場は今後も拡大し、2026年までに1.1兆ドル(約126兆円)に成長すると予想されています。

IoT機器に対するサイバー攻撃は、機器の脆弱性発表や、マルウェア感染などで話題になる事は多いのですが、そこから懸念されるのは、個人情報(プライバシー)の侵害や、DDoS攻撃への間接的な加担程度かと思います。

そうした意味では、企業や組織はあまり意識してこなかったリスクだと思いますが、IoT機器は今や様々な場所に導入されている事を考えると、知らない間に増えているIoT機器が起点となったインシデントが、2022年は発生する(多発する)という予想は無視できないかと思います。

記事では特権管理の重要性を挙げていますが、私はIoT機器こそ「パッチ当て」の問題がクローズアップされるべきだと思います。導入機器の台数が多い場合、真剣に考えると対応が難しいのがパッチ当てであり、その対応”不備”を突かれた攻撃を考えると、パッチ当てに付随して、ネットワーク分離や侵害検知といった所も強化ポイントとなるかと思います。

 

参考:

foxsecurity.hatenablog.com

foxsecurity.hatenablog.com

 

※当ブログのOSINT記事は年末年始【12/29-1/3】お休みとなります。

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 予想屋のイラスト

 

更新履歴

  • 2021年1月2日 AM