7つの脅威予測、ランサムウェアにも変化か
説明会の冒頭では、昨年10月にMcAfee EnterpriseとFireEyeの統合により設立された新法人について、本年1月19日にSymphony Technology Group(STG)から新社名が「Trellix(トレリックス)」と発表されたことに触れた。アメリカで法人設立後、最適なタイミングで各国でも立ち上げていくという。日本でも当面はMcAfee Enterprise、FireEye両社でビジネスを継続しながら、状況を見てTrellixの日本法人を正式に設立するとしている。
セールスエンジニアリング本部 本部長 櫻井秀光氏
そして、McAfee Enterpriseの櫻井秀光氏から本説明会の主題であるMcAfee EnterpriseとFireEyeによる「2022年の脅威動向予測」について解説が行われた。はじめに、「2021年の脅威動向予測」として下記6つについて「実際に起こったものもあれば、これから起こりうるものもある」と振り返る。
- 増殖するサプライチェーンバックドア技術
- 家をハッキングしてオフィスをハッキング
- クラウドプラットフォームへの攻撃が高度に進化
- 新たなモバイル決済詐欺
- Qshing:ウィズコロナ時代のQRコードの乱用
- 攻撃経路として悪用されるソーシャルネットワーク
今回、2022年の脅威動向予測として、同社リサーチ部門の研究した予測結果に基づいた7点が順番に紹介された。
予測1:拡大するソーシャルメディア経由の脅威
昨年の予測「攻撃経路として悪用されるソーシャルネットワーク」と関連した予測であり、攻撃を仕掛けるためにLinkedInやFacebook、TwitterなどのSNSを通じて、企業や政府機関の上層部と信頼を築こうとする犯罪者が増加するという。たとえば、ヘッドハンティングなどを装ったり、ターゲットが興味を示しやすいメッセージやファイルを送ったりして接触しようとしてくる。櫻井氏は、「一見すると、知らない人からメッセージが来たらわかると感じるかもしれませんが、攻撃者もターゲットの周囲にいる人間から近づいており、ある程度共通の友人を抱えた上で申請をしてきます。そうなると、知人が多いため許可しても良いと思ってしまうなど、本物か偽物かを見分けることが難しくなっているのです」と説明する。
こうした手法は国家ぐるみのスパイ組織だけでなく、金銭的利益を目的とした犯罪者にも使用される経路になっていくという。SNSを利用している人は、友達申請のリクエストを承認する前に、その人が本当に知り合いなのかしっかりと確認することが重要だとアドバイスが送られた。
予測2:国家に雇われたサイバー犯罪者が暗躍
次に挙げられたのは、国家に雇われたサイバー犯罪者の暗躍。ターゲットとしている国の知的財産やビジネスインテリジェンスを入手して、サイバー戦争で有利に立つための情報を窃取しようと試みているという。この国家間のサイバー戦争において、一般のサイバー犯罪者を間にかませることで首謀者である国を隠ぺいすることが増えると予測されている。
既に中国やロシア、北朝鮮、イランなどの国々も攻撃を行いたい敵国に対して、フロント企業を利用して攻撃を行うなどしているという。フロント企業は国家からサイバー犯罪を請け負うが、金銭を獲得するためにもランサムウェアやトロイの木馬攻撃などを実行しており、国は目をつむっているのが現状だとしている。つまり、防御側からすると、国家ぐるみの攻撃か金銭目的なのかがわからなくなっているのだ。
たとえば、トロイの木馬を仕掛けたときに、得られた認証情報を金銭目的に利用することもあれば、国へ渡すことこともある。そのため、「ターゲットとなる企業は脅威インテリジェンスはもちろん、どのような戦術があるのかを把握した上でプロアクティブな対策がとれるようにすることが大切です」と櫻井氏。攻撃の目的は異なれど対象にしているのは、重要機密が含まれたデータである。そのため、どのようなものが重要データで、どこに含まれているかを把握すること。そして、ランサムウェア攻撃を受けても復旧できるだけのバックアップの仕組みなどを用意しておくべきだという。
予測3:RaaSエコシステム内の攻防により勢力均衡が崩壊
ランサムウェアを開発運用するグループ、デリバリするグループ、企業との交渉役を担うグループなど分業化したRaaS(Ransomware as a Service)のエコシステムが存在しているが、その均衡が崩れるのではないかと予測されている。
エコシステムの中には、金銭の公平な分配が行われていないと不満をもつグループも。特に、コロニアル・パイプライン社を標的とした攻撃を契機にランサムウェアを締めだす運動も活発化しており、ランサムウェアの開発者にとっても活動維持が難しくなってきているという。
RaaSのエコシステムが崩れることによって、攻撃手法やモデル自体が変わってくるとして櫻井氏は、「ランサムウェアは変化を遂げてきましたが、再びエコシステムに頼らない形ですべてを一貫して行うという、昔の時代に戻る可能性もあり得ます」と説明する。
