サイバー脅威の傾向
・IOCの信頼性が低下
脅威存在痕跡(Indicators of Compromise:IOC)は、これまでマルウェアの特徴を共有し感染を検知する有効な手段だったが、今年、GReATが標的型攻撃を行う犯罪グループ「ProjectSauron」を発見したことで状況が変わった。同グループを分析する中で明らかになったマルウェアプラットフォームは、すべての機能が標的ごとに変わるため、IOCは別の標的を見つけ出す手段としての信頼性が低下し、YARAルールなど別の手段との併用が必要になる。
YARAは、悪意のあるファイル、システムまたはネットワーク上での不審な活動のパターンのうち、類似性があるものを発見するためのツール。YARAルールを利用することで、関連するマルウェアサンプルの発見、グループ化や分類によって繋がりを導き出すことができる。マルウェアファミリーの確立、ほかの方法では気づけない可能性のある攻撃グループを発見できる。
・一過性の感染が増加
2017年は、感染したマシンの初回の再起動で消え去るメモリ常駐型マルウェアの出現を予想している。このマルウェアの目的は感染の継続ではなく、スパイ活動と認証情報の収集になる。攻撃者は、発見されることを避けるために、マルウェアを機密性の高い環境に展開すると考えられる。
GReATのシニアセキュリティエキスパート、ファン・アンドレス・ゲレーロサーデ氏は、「こうした傾向は犯罪者側からすると飛躍的な進歩ではありますが、セキュリティ業界には打つ手があります。それは品質の高いYARAルールの採用です。リサーチャーはYARAルールを活用することで、企業の隅々にまでスキャンを実施し、休止中のバイナリの特徴を検査・特定するとともに、マシンのメモリをスキャンして既知の攻撃の断片を探し出すことが可能になります」と述べている。
サイバー脅威の予測
・偽旗作戦によってアトリビューションが困難に
国際関係においてサイバー攻撃の問題が浮上し、報復などの政治的な行動指針を決定する上で、攻撃の実行者を特定するためのアトリビューションが重要な課題となるだろう。アトリビューションを追求すれば、インフラや独自ツールを公開市場で投げ売るサイバー犯罪者や、オープンソースの商用マルウェアを選択する犯罪者が増加するリスクがある。当然ながら、偽旗作戦として知られる、アトリビューションを誤認させる手口の利用が拡大し混乱を招く恐れもある。
・情報戦争の増大
2016年は、攻撃目的で窃取された情報が白日の下に晒される事態を、全世界が真剣に受け止めるようになった。2017年も同様の攻撃が増加する見込みだ。攻撃者は窃取した情報を改竄したり部分的に開示し、そのようなデータを事実として積極的に認めようとする人々の意思を悪用する可能性がある。
・私的制裁を加えるハッカーの増加
大義を盾として、データ窃取や漏洩を行うハッカーが出現するとみている。
・サイバー妨害工作に対する脆弱性が拡大
重要インフラや製造システムは、依然としてインターネットに接続されており、ほとんど保護されていない場合がある。このようなシステムの破壊や操業を中断させる行為は、高度なスキルを持つサイバー攻撃者にとって、また地政学的な緊張が高まる時期においては抗しがたい魅力があるものと考えられる。
・スパイ活動がモバイルデバイスを標的に
モバイルを主な標的とするスパイ活動が増加するだろう。背景にはセキュリティ業界の現状として、モバイルOSにフルアクセスするフォレンジック分析が困難なことが挙げられる。
・金融攻撃の商品化
2016年のSWIFTに対するハッキングに倣って、攻撃の「商品化」が起きると予測している。攻撃専用のリソースが闇市場のフォーラムで、もしくはas-a-service形態で販売される可能性がある。
・電子決済システムへの不正アクセス
電子決済システムの普及が進むにつれて、犯罪者の関心も高まっていくと予測している。
・ランサムウェアの「信用」の崩壊
ランサムウェア攻撃は、引き続き増加するとみている。程度の低い犯罪者がこの分野へ参入する中で、金銭の支払いによってデータが取り戻せるという、被害者と攻撃者間の奇妙な信頼関係が崩れると考えている。攻撃者への金銭支払いを考えている人にとって、転換点となる可能性がある。
・過密状態のインターネットにおけるデバイスの完全性
セキュリティ保護が施されていないIoTデバイスが次々に市場に投入され、さまざまな問題が発生している。このような状況下で、私的制裁を加えようとするハッカーが自らの手で問題に対処するべく、可能な限り多くのデバイスを利用できないようにするリスクがある。
・サイバー犯罪者を惹きつけるデジタル広告
デジタル広告での利用が拡大しているトラッキングやターゲットツールが、今後1年の間、活動家や反体制派とされる人々の監視に使われるようになるだろう。同様に、広告ネットワーク(IPアドレス、ブラウザーのフィンガープリンティング、閲覧の傾向やログイン選択性の組み合わせによって詳細なターゲットプロファイリングが可能)も、高度なサイバースパイグループが自身の最新のツールキットを保護しつつ、標的を正確に攻撃するために利用する可能性もある。
なお、「2017年サイバー脅威の予測」全文は、英語と日本語(PDF)がカスペルスキーのニュースリリースのページから見ることができる。
