【来年を占う】2019年のセキュリティ脅威の動向
トレンドマイクロは、2019年の国内外における脅威動向を予測したレポート「2019年セキュリティ脅威予測」を公開。これによれば、三つの要因により、七つの脅威予測が考えられるという。来年に向けての頭の整理として、その内容を確認していくことにする。
2019年ハイライト
1. AIによるセキュリティ対策を回避する攻撃や、AIを悪用したサイバー攻撃の登場
2. 「テレワーク」の普及が法人セキュリティにおける新たな弱点に
3. 「ソーシャルエンジニアリング」が再び攻撃の中心に
この記事の目次
セキュリティ脅威の要因
1. AIによるセキュリティ対策を回避する攻撃や、AIを悪用したサイバー攻撃の登場
セキュリティベンダが、AIや機械学習をセキュリティ対策に活用していることに対し、サイバー犯罪者は、これらのセキュリティ対策を回避する手法を巧妙化させている。巧妙化の例としては、マルウェア自体のファイルを作成せずに不正活動を行うファイルレス活動、実行ファイルではないスクリプトやマクロの使用、電子署名付きマルウェア、正規クラウドサービスの悪用などがあげらる。AIや機械学習を活用したセキュリティ対策は、正規ツールが行う仕組みや、マルウェアが行う不正な動作などを学習した上で新たな脅威を特定する。2019年は、さらなる手法の巧妙化と組み合わせにより、AIや機械学習によるセキュリティ対策の回避が更に活発化することが考えられる。また、2019年はAIや機械学習を悪用したサイバー攻撃が登場する可能性もあるという。例えば、ユーザからの質問に自動応答するチャットボットを悪用したサポート詐欺の登場や、標的とする企業や組織に属する人の動きをAIを活用して予想し、攻撃に利用することが考えられる。
2. 「テレワーク」の普及が法人セキュリティにおける新たな弱点に
「テレワーク」の普及と共に、コラボレーションツールをはじめとした法人組織での様々なツール導入やクラウドサービスへの移行が進む中、サイバー犯罪者は、テレワークで使用するクラウドサービスの認証情報を狙うフィッシング詐欺や、テレワークで使用するツールの脆弱性を悪用する攻撃を行うことが考えられる。在宅勤務が増加することにより、法人組織を狙うサイバー犯罪者が、よりセキュリティ強度が低いホームネットワークを経由して企業を攻撃することが考えられる。
3. 「ソーシャルエンジニアリング」が再び攻撃の中心に
サイバー犯罪者には、様々な攻撃手法の選択肢があるが、利用者や業務端末を狙った攻撃の中で脆弱性を攻撃するために使われるエクスプロイトキットのようなシステムの弱点を利用する攻撃手法は、利用者側の行動変化やソフトウェアベンダによる対策の向上により効果が薄れている。
以前は、WindowsやWindowsで動作するアプリの脆弱性を狙うことで大多数の利用者を攻撃対象にすることができたのだが、現在では1種のOSが大多数のシェアを占めるような状況ではなくなっていることも背景にある。このため、サイバー犯罪者は、人間の心理的な弱点を悪用する「ソーシャルエンジニアリング」を悪用した攻撃を拡大し始めている。トレンドマイクロの調査データによれば、システムの脆弱性を狙う脆弱性攻撃サイトへのアクセス数は減少傾向にあり、人を騙すソーシャルエンジニアリングの代表であるフィッシング詐欺サイトへのアクセス数が増加傾向にあることを確認しているという。
調査データでは、脆弱性攻撃サイトへのアクセスブロック数は、2017年1年間では約110万件であったのに対し、2018年1月から9月までの集計では、約26万件と大きく減少している。2015年のレベルから考えれば、ほぼ駆逐したといえるような状況である。しかしながら、その動きとは逆に、フィッシング詐欺サイトへのアクセスブロック数は、2017年1年間で約7,300万件だったのに対し、2018年1月から9月の集計では、約2億1千万件と約3倍に増加している。この傾向は、2019年にますます加速していくものと推測され、人を騙す「ソーシャルエンジニアリング」がさらに拡大する危険性がある。
<データ出展:トレンドマイクロ・脆弱性攻撃サイトへのアクセスブロック数の推移(2018年は1月~9月のデータ)>
<データ出展:トレンドマイクロ・フィッシング詐欺サイトへのアクセスブロック数の推移(2018年は1月~9月のデータ)>
また、これまで、人を騙すフィッシングの攻撃経路は電子メールが中心だったが、SMSやメッセンジャーソフトなどを経路とするものも増加傾向にある。狙われる情報は、クレジットカードやネットバンキングの情報に加え、様々なクラウドサービスのアカウントが対象になるケースも増えているという。あわせて、クラウドサービスと紐づいている携帯の電話番号を乗っ取る「SIMジャッキング」のような詐欺手法も既に登場しているため、更なる攻撃手法の巧妙化が予測される。
「2019年セキュリティ脅威予測」
トレンドマイクロによれば、2019年は以下のようなセキュリティ脅威が発生すると予測している。
<個人利用者における脅威予測>
・脆弱性攻撃に代わり、フィッシングなど「ソーシャルエンジニアリング」手法がさらに台頭する
・「ネットの有名人」が攻撃に利用される
・チャットボットが悪用される
・情報漏えいで窃取された個人情報の大規模悪用が発生する
・セクストーションの事例が増加する
<企業における脅威予測>
・ホームネットワークを利用した在宅勤務が企業のセキュリティリスクとなる
・GDPR規制当局が違反の大手企業に対して世界年間売上総額4%の罰金を課す
・世界のさまざまな出来事がソーシャルエンジニアリングの攻撃に利用される
・幹部より低い役職の社員を狙ったビジネスメール詐欺が登場する
・業務プロセスの自動化に伴い、新たなビジネスプロセス詐欺のリスクが生じる
・「ネット恐喝」 の多様化・拡大化が進む
<社会・政治状況を巡る脅威予測>
・各国で選挙が控える中、フェイクニュース対策が困難な課題となる
・標的型サイバー攻撃の巻き添え被害が各国に波及する
・政府によるセキュリティ関連法案の導入や強化が進む
<セキュリティ業界を巡る脅威予測>
・サイバー犯罪者はより多くの手口を組み合わせて検出回避に利用する
・既知の脆弱性を利用した攻撃が圧倒的多数となる
・AI技術を利用した高度な標的型攻撃が確認される
<産業制御システムにおける脅威予測>
・産業制御システムを狙う実世界の攻撃への関心が高まる
・HMIの不具合はICSの脆弱性の主要因であり続ける
<クラウドインフラにおける脅威予測>
・クラウドへのデータ移行に際するセキュリティ設定の不備によってより多くの情報漏えいが発生する
・クラウドのインスタンスが仮想通貨発掘に利用される
・より多くのクラウド関連ソフトウェアの脆弱性が確認される
<スマートホームにおける脅威予測>
・サイバー犯罪者同士によりIoTをめぐる「ワーム戦争」が勃発する
・スマートヘルスデバイスへの最初の攻撃事例が確認される
MicrosoftがAzure ADなどを推しているように、「ID管理を正しく行うと96%程度の問題は解決し、なりすましの99.9%は多要素認証で防げる」ということをいう人もいるように入口できちんとスクリーニングすると外部からの不正アクセスはしにくくなるため、人をたぶらかす「ソーシャルエンジニアリング」の割合が増えることもうなずける。しかしながら、これらは心理的な隙をついてくるものであり、当事者本人が事前にわかっていれば防ぐことは可能である。(参考記事:【セキュリティ基礎知識】気をつけよう!企業向けフィッシング詐欺)
しかしながら、IoT機器のセキュリティについては、今後、注意が必要と考えられる。今も脆弱なセキュリティしか対応しないIoT機器を踏み台にした被害は拡大の一途をたどっており、スマートホームやスマートヘルスの領域については、踏み台にされないより一層の対策が製造者側の知識として必要となる。
情シスとしては、セキュリティの動向からは、ますます目が離せないことになる。
- 特別記載なき数値はすべてトレンドマイクロ調べ。2018年12月時点。
- TREND MICROは、トレンドマイクロ株式会社の登録商標です。各社の社名、製品名およびサービス名は、各社の商標または登録商標です。