脅威リサーチ

2022年の予測:拡大する攻撃対象領域を標的にする脅威

投稿者 Derek Manky | 2022年1月24日

FortiGuard Labsによると、2022年はサイバー犯罪の件数が飛躍的に増加し、特にランサムウェアが増加して、かつてないほど多くの攻撃者が標的を見つけようと活発に活動するようになることが予想されます。あらゆる攻撃対象領域が攻撃の標的になり、ITチームは多様な攻撃手段からの保護に追われることになるでしょう。これが極めて困難なのは、組織において環境や働き方のハイブリッドへの移行が進み、より多くのAIやMLベースのテクノロジーが採用され、新たな接続オプションの開発や、ビジネスに重要なアプリケーションやデバイスのクラウド接続によって、攻撃対象領域が拡大しているためです。サイバー脅威という観点から未来を予測することで、脅威を阻止する可能性を最大限にすることができます。

攻撃のフレームワーク:左から右へ

攻撃は多くの場合に、MITRE ATT&CKフレームワークなどの攻撃チェーンの観点から、「左側」と「右側」の脅威に分けて議論されます。「左側」はすなわち攻撃前の活動で、計画、開発、武器化の戦略などがこれに該当します。サイバー犯罪者は、新しいテクノロジーや拡大するネットワーク環境のエクスプロイトにあたり、偵察やゼロデイ機能の発見にこれまで以上に多くの時間と労力を費やすようになることが予想されます。

図1:MITRE ATT&CKフレームワークの「左」と「右」

攻撃チェーンの「左側」の活動が強化されるだけでなく、CaaS(Crime-as-a-Service:サービスとしての犯罪)市場の拡大で、「右側」に該当する新たな攻撃が開始される可能性も高くなるでしょう。ランサムウェアなどのMaaS(Malware-as-a-Service:サービスとしてのマルウェア)の販売に加えて、フィッシングやボットネットのaaS(as-a-Service)を含む新しい犯罪ソリューションや攻撃で侵害された標的へのアクセス権の販売も増加することが予想されます。

新たな攻撃が増えることも予想されます。組織は、Linuxプラットフォームなどが新しい攻撃ベクトルの標的になることを想定し、対策を講じる必要があります。Linuxは今でも、ほとんどのネットワークの多くのバックエンドシステムで動作していますが、ハッカーにほとんど無視されてきました。しかしながら、Vermilion StrikeなどのLinuxベースの新しい攻撃がすでに確認されており、Cobalt StrikeのBeacon機能の不正目的での実装があれば、検知されることなく、リモートアクセス機能を使ってLinuxシステムを標的にできます。

Microsoftは、Windows 11へのWSL(Windows Subsystem for Linux)の統合を積極的に推進しています。WSLは、Linuxバイナリ実行ファイルをWindowsでネイティブ実行するための互換性レイヤーであり、WSLを標的にする不正テストファイルの活動がすでに確認されています。これらのファイルは、ローダーとして機能し、その多くに不正ペイロードが含まれていますが、ペイロードをWSLシステムにインジェクションする機能はありません。Linuxプラットフォーム用に記述されたボットネットマルウェアが増加しているため、攻撃対象領域がネットワークエッジへとさらに拡大することになるでしょう。これまでサイバー犯罪者が見落としていたエッジデバイスを標的にする活動がさらに増加することが予想されます。

上空からの攻撃

衛星ネットワークを標的にする新しいエクスプロイトが来年のいずれかの時期に登場することが予想されます。衛星インターネットの大手プロバイダーがすでに数社あり、衛星基地局が衛星ネットワークへの入口となって、サイバー犯罪者を含むすべての人、すべての場所の接続が可能になるため、多くの脅威がそこに隠れ潜む恐れがあります。同時に、攻撃を仕掛けることができる端末も数百万台にまで増加することになるでしょう。衛星ネットワークを標的とする新たな脅威がすでに確認されており、その1つであるICARUSは、世界中のどこからでも衛星に直接アクセスできることを悪用して、多くの場所から攻撃を仕掛ける概念実証DDoS攻撃です。

最大の標的は、衛星ベースの接続をビジネスに利用している組織、重要なサービスをリモートに提供している組織、さらには、移動中のクルーズ船や貨物船、飛行機などの顧客にサービスを提供する組織です。ランサムウェアなどの他の攻撃も間違いなく追従するはずです。

小規模の攻撃としては、暗号ウォレットを標的にする攻撃者によるデジタル窃盗の増加も予想されます。金融機関は暗号化や多要素認証を採用することで、電信送金を標的にするほとんどの攻撃を防止できていますが、多くのデジタルウォレットは保護されることなくノートPCやスマートフォンに置かれています。デジタルウォレットを標的にする新種の攻撃がすでに確認されており、新たに見つかった偽のAmazonギフトカードジェネレータは、デジタルウォレットを標的にし、被害者のウォレットを攻撃者のウォレットに置き換えるというものでした。また、ElectroRATの場合は、ソーシャルエンジニアリングに、Windows、Linux、macOSなどの複数のOSを標的にするカスタム暗号通貨アプリケーションと新しいリモートアクセス型トロイの木馬(RAT)を組み合わせることで、デジタルウォレットを標的にします。デジタルウォレットによる購入を採用する企業が増加していることから、保存されている暗号クレデンシャルを標的にしたり、デジタルウォレットを流出させたりするマルウェアが増加することが予想されます。

コアからエッジへ

ネットワークを標的にする攻撃が今後も増加し、OT(オペレーショナルテクノロジー)システムを標的にする攻撃もさらに増加することになるでしょう。CISA(米国のサイバーセキュリティ・インフラセキュリティ庁)は最近のレポートで、重要インフラストラクチャを標的にするランサムウェア攻撃が増加しており、「オペレーショナルテクノロジー(OT)の資産や制御システムに対するランサムウェアの脅威の増加が証明された」と報告しています。ITとOTのネットワークのコンバージェンスが進んで、一部の攻撃では、リモートワーカーの自宅の侵害されたネットワークやデバイスを経由してOTシステムを標的にできるようになっていることで、このような増加に拍車がかかっています。

OTシステムへの攻撃は、かつてはICSやSCADAのシステムの高度な専門知識を持つ脅威アクターに独占されていましたが、高度に専門化された機能やツールもダークウェブで購入できる攻撃キットに追加されるようになったため、技術力がはるかに劣る攻撃者であっても攻撃を開始できるようになりました。

ネットワークにおいては、エッジベースの新たな課題も明らかになっています。「環境寄生型」は、侵害された環境の既存のツールセットや機能をマルウェアや脅威アクターが活用する手法であり、この手法であれば、攻撃やデータ流出が通常のシステム活動のように見えるため、検知を逃れることができます。環境寄生型攻撃が効果的なのは、正規のツールを利用して不正活動が実行されるためです。エッジデバイスがさらに強力になり、より多くのネイティブ機能を備え、当然ながらより多くの権限を持つようになると、「環境寄生型」の新たな攻撃が登場することになるでしょう。これらのエッジ環境寄生型マルウェアは、検知を逃れつつ、ローカルのリソースを利用してエッジでの活動やデータを監視し、重要なシステム、アプリケーション、情報を盗み、乗っ取り、さらには身代金も要求するようになるでしょう。

拡大する攻撃対象領域にどのように対処するか

このような新たな脅威に対抗するには、セキュリティに対する包括的で統合型のアプローチが必要です。ポイント製品を廃止し、統合ソリューションとしての相互運用を導入場所に関係なく可能にするセキュリティデバイスに置き換えることが必要です。それらは、データやトランザクションをエンドツーエンドで追跡できる統一されたポリシーで、すべてのユーザー、デバイス、アプリケーションを保護する必要があります。さらには、一元管理によって、一貫した方法によるポリシーの適用と構成やアップデートの迅速な提供を実現し、クラウド環境間やクラウド環境内を含む、ネットワークのあらゆる場所で発生する疑わしいイベントの収集と相関付けを一元化します。

Linuxやこれまでは注目されることの少なかったデバイスの保護を強化し、これらのデバイスを標的にする脅威の保護、検知、レスポンスを可能にするツールを導入することが、組織に強く求められています。Windowsベースのシステムのアップグレード、あるいは衛星ベースの接続の追加といった新しいテクノロジーの採用にあたっては、セキュリティ最優先のアプローチを採用し、正しく保護されることを確認してからネットワークに追加する必要があります。さらには、振る舞い分析を導入して、「左側」の脅威を検知する必要もあります。初期の偵察やプローブの段階で攻撃を発見してブロックすることで、脅威をよく理解し、攻撃チェーンの後半で発生する問題を防止できるようになります。

セキュリティツールの選択にあたっては、既知と未知の両方の脅威を足場が確立されたり不正ペイロードを受け取ったりする前に検知して防止し、活動中の脅威へのリアルタイムのレスポンスが可能であることを条件にします。さらには、AIや機械学習の機能をネットワークに広く展開して正常な振る舞いの基準を明確にすることで、変化に対する瞬時のレスポンスを可能にし、高度な脅威がペイロードを実行する前に検知して無効化する必要もあるでしょう。膨大な収集データを相関付けることで、悪意のある振る舞いを検知する機能も不可欠であり、これには、脅威フィードや攻撃プロファイルを利用して、攻撃が発生する可能性の高い場所を予測し、それらの防御をプロアクティブに強化する機能が含まれます。また、デセプションなどの他の先進テクノロジーを採用して、パッシブネットワークをアクティブ防御システムに変えることを検討する必要もあるでしょう。

脅威が衰える気配はまったくありません。ネットワークやセキュリティの正しいツールを今すぐ採用し、次世代の脅威からの保護を可能にしない限り、必要とされる重要な変更をすぐに行うことはできません。幅広い展開、密接な統合、動的な自動化に加えて、優れたパフォーマンスとハイパースケーラビリティを提供するセキュリティシステムでなければ、今日のビジネスの遂行に必要な手段を保護することはできません。サイバーセキュリティメッシュアーキテクチャに基づくセキュリティ ファブリックプラットフォームを採用して、常に進化する脅威に対抗する必要があります。

「2022年のサイバー脅威予測」の全文をこちらからお読みいただけます。

詳しくは、フォーティネットのFortiGuard Labs脅威リサーチ / インテリジェンス部門、およびFortiGuardセキュリティサブスクリプション / サービスのポートフォリオをご参照ください。

FortiGuard Labsによる2022年の脅威予測のビデオ(英語)

FortiGuard Labsが、脅威予測レポートを発表し、2022年以降の暗号ウォレットから衛星インターネットまでのあらゆる標的に対するサイバー攻撃を予測しました。