トレリックスの櫻井秀光執行役

コンピュータセキュリティ企業のマカフィー・エンタープライスとサイバーセキュリティ企業のファイア・アイがこの1月19日に統合して「トレリックス」が誕生した。そのトレリックスが1月24日、2022年のセキュリティ脅威動向の予測に関するオンライン説明会を開催した。攻撃者の手口は年々巧妙になり、大混乱をもたらす危険性が出てきているそうだ。サイバー攻撃から企業はどのように自社を守ればいいのだろうか。（経済ジャーナリスト・山田清志）

攻撃者はSNSからターゲットの情報を収集

「悪意のある攻撃者は、2021年に注目されたランサムウェアや国家によるサイバー攻撃、ソーシャルメディアや常態化したリモートワークなど、成功した手口を参考にしている。2022年に予測されるサーバー攻撃は、これらの手口をさらに洗練させ、世界中にさらなる大混乱をもたらす危険性がある」とトレリックスのセールスエンジニアリング本部ディレクターである櫻井秀光執行役は説明する。

特に最近は国内の大企業や米国の重要インフラ事業者を狙ったランサムウェア攻撃が目につくようになっている。攻撃の手口は、データの暗号化に加えて事前に重要なデータを手元に収めておいて、暗号化データの復元のために身代金を要求したり、それがうまくいかない場合は、重要データを漏洩させると脅かしをかける二重脅迫型が主流になっている。

自動車業界では、ホンダが2020年6月にサーバー攻撃を受け、社内のネットワークシステムに障害が発生。ウイルスが拡散された影響で、国内工場では完成車の出荷業務を見合わせたほか、北米では7つの四輪車工場など全拠点で生産が停止した。また、在宅勤務を行っていた従業員も社内システムが使えず有給休暇の取得を推奨された。

このように大きな被害を受けるケースも少なくない。それでは、トレリックスが予測する2022年のセキュリティ脅威にどんなものがあるか見てみよう。その数は7つだ。

1つ目が拡大するソーシャルメディア経由の脅威だ。「ヘッドハンティングなどを装って、ソーシャルメディアを介する形で企業や組織に侵入するという手口が今年はさらに増えてくるだろうと見ている。ラインやフェイスブック、ツイッターなどのSNSで、自分たちが攻撃を仕掛けたい企業や政府機関の上層部と関係を築いて侵害するというものだ」と櫻井執行役は話す。

しかも、攻撃者はプロフィールを準備し、業界の人々に近づきながらフォロワーやコネクションを事前に獲得し、ターゲットにコンタクト。その際、ターゲットの興味関心事の調査にもソーシャルメディアを駆使しており、本物のオファーなのか、偽物のオファーなのか見分けるのが難しくなっているそうだ。

国家とサイバー犯罪者がグルになって攻撃を

2つ目が国家に雇われたサイバー犯罪者の暗躍だ。櫻井秀光執行役によれば、国家がサイバー犯罪者を攻撃に活用し、オペレーションを強化しているとのことで、今はサイバー犯罪と国家ぐるみの犯罪者たちとの関連付けが曖昧になっているとのこと。

中国だけでなく、ロシア、北朝鮮、イラン、その他の国々も同様の戦術を採用していて、ハッカー集団を雇って活動させ、自国の利益を損なわない限りは他の活動を黙認している。一つのトロイの木馬を発端に、長期的な国家が絡む犯罪に至る可能性もあるという。

「企業は脅威インテリジェンスを収集・活用し、自組織と同業界が標的となった攻撃の戦術と作戦を理解し、教訓を得てプロアクティブな対策が取れる体勢を構築することが重要だ」と櫻井執行役。

3つ目がRaaSエコシステム内の攻防による勢力均衡の崩壊だ。RaaSとはランサムウェア・アズ・ア・サービスのことで、これによって自分でランサムウェアをつくらなくてもランサムウェア市場へ容易に参入できるようになった。それまで犯罪者は、自らランサムウェアを開発し、それを使って稼いでいたが、RaaSでは、サービスとしてランサムウェアを提供し、稼いだ身代金を関わった犯罪者で分けるのだ。

ところが、莫大な収益が生まれる中で、公平なシェアを得られていないことに不満を持つ層が出現し、RaaSモデルが崩れ始め、サブグループが異なるアプローチを始めた。その結果、大手のRaaSファミリーが活動を停止し、従来のプロセスと目的とは異なる方向への攻撃が出てきている。

4つ目がスキルの低いオペレーター向けのランサムウェアだ。RaaSのパワーバランスのシフトや目的の変異により、スキルの低いアフィリエイト（運び屋）が台頭。これによって、RaaSの管理者と開発者から軽視されていたアフィリエイトが、攻撃オペレーションの中で担当領域を拡大、またアフィリエイト同士が結託してより強力化している。

APIをターゲットにした脅威も増大

5つ目がAPI（アプリケーション・プログラミング・インターフェース）のリスクの増大だ。現在、最新の5GモバイルアプリケーションやIoTアプリケーションなどでAPIが使用されることにより、全インターネットトラフィックの80％以上がAPIを活用するサービス向けの通信になっており、それに伴いAPIをターゲットにした脅威も増大している。

櫻井執行役によれば、「APIは信頼できる経路とされているので、ガバナンスやセキュリティ対策レベルが甘くなりがちで、APIの設定ミスによる意図せぬ情報流出の発生や乗っ取り、シャドーインフラ化など多くのリスクが想定される」そうだ。そこで、API向けの効果的な対策手法を実装し、ゼロトラストコンセプトに則ったアクセスコントロールを行うことが重要とのことだ。

6つ目がコンテナ環境の悪用の拡大だ。コンテナ環境への攻撃が成功することにより、エンドポイントリソースが乗っ取られて、クリプトマイニング、シャドーリソースのスピンアップ、データ窃取、攻撃者の足場としての悪用などにつながる恐れが出てくる。そのようにならないように、コンテナ環境の設定ミスに対する継続的な監査、イメージの安全性チェック、管理者権限の制御等の実装により、コンテナ環境に対しての脅威への適切な緩和策の実装が重要だという。

そして、7つ目がゼロデイとその対策の浸透だ。ゼロデイとは、セキュリティホールが発見されて日から、その脆弱性を解消するための対処方法が確立される日までの期間のことだが、2021年は悪用されたゼロデイ脆弱性の数が過去最悪を記録した。しかも、脆弱性が公開されてしばらく経っても、パッチ未適用のシステムが大量に存在するケースが見られたという。

「脆弱性を悪用されるまでの時間が短縮されるなか、迅速にパッチを展開するというマインドセットがより重要になる」と櫻井執行役は強調する。

いずれにしても、企業の信頼性を維持するためにも、セキュリティ観点でのガバナンスの確立、自社の脆弱な点を監視する組織や仕組みの導入などの重要性がますます高まっている。