2021年は、あらゆることがエスカレートした年でした。新型コロナのパンデミックは、より多くの人々を引き裂き孤立を招き、善悪の分別に対して何が正しいのか大きな不安を引き起こしました。サイバーセキュリティでは、ランサムウェアに対して経済的な拡大の波が押し寄せたことで脅威アクターの数が急増し、サイバースペースを利用して政治的な影響力を拡大させる国家が増え、また、ソフトウェアの脆弱性も確実に増加しています。これらの複合的な要因により、より容易にセキュリティ侵害を行うことが可能となり、セキュリティを確保することが困難になりました。
では、2022年は、どのようなことが起きてくるのでしょうあか?昨年のブログ(英語)で予測した内容は、現実とそれほど遠くはありませんでした。そこで、今年もこの新たな年の到来を期に、SentinelOneの最高レベルの研究者とソートリーダに今一度集まってもらい2022年に起こりうる状況について考えを巡らせてもらいました。
ランサムウェアのピークはまだ到来していません
ランサムウェアの攻撃者は、昨年1年間を通じてひとかけらの良心の呵責もなく活動を続けてきました。 2021年に大きく注目を集めた攻撃では、攻撃者が莫大な利益を得る可能性があることが世に示されました。 2022年には、log4jのように非常に重大な脆弱性が悪用できるようになることが予想されます。数え切れないほど多くのシステム環境でこの脆弱性が露出されており、攻撃者のツールセットが大幅に強化されているので、何度となくニュースを賑わすこととなるでしょう。
昨年は、Rust and Go プログラミング言語で記述されたマルウェアの利用が拡大し加速しました。この方法の主な利点の1つは、当然、クロスプラットフォームの互換性です。最近の例としては、BlackCat / AlphaVMランサムウェア、RansomEXXランサムウェア、 ElectroRATなどがあります。これらの脅威の大部分がマルチプラットフォームとなっている傾向があります。2022年には、より多くの新しいクロスプラットフォームマルウェアファミリーが出現することが予想されます。
引き続き医療機関(病院、医学研究施設、民間クリニック)がターゲットとなっていくのは深刻な問題です。多くの攻撃者が、表面的には、医療分野を標的の中心にした攻撃を避けていくと主張していますが、現実には、彼らははるかに利己主義的です。ランサムウェアは、これらの環境に感染をして、時には人命さえも犠牲にすることがあります。 2022年には、治安に影響があるかどうかにさえ関係なく、組織を標的とした攻撃的で悪意のあるランサムウェア攻撃が行われる可能性がある点を覚悟しておいてください。
また、これらの攻撃グループの正体が掴みにくくなっています。新しい罰則や制裁を回避しようとして、さまざまなグループが頻繁にブランド変更行うことで、外部から自らを隠しています。( SentinelLabs シニアスレットリサーチチャーJim Walter)
政府支出や犯罪者の逮捕によってサイバー攻撃を回避することは不可能
多くの企業が数百万ドルという大金を費やしているにもかかわらず、ランサムウェア攻撃の数は着実に増加しています。米国政府が状況を改善するためにランサムウェアタスクフォースを編成し、ランサムウェアギャングのREvilのメンバーと思しき人物など犯罪責任を負う一連のサイバー犯罪者達を逮捕しましたが、それだけでは対策が不十分であることが示唆されています。
直近では、米国国務省が「DarkSideランサムウェアの亜種である多国籍組織犯罪グループで指導的地位を保持している主要な人物や活動拠点のの特定につながる情報に対して」最大1,000万ドルの報奨金を提供しています。 DarkSideは、ロシア連邦との間で正式には直接的な繋がりがありません。しかし、ロシア連邦政府からの明らかな暗黙の承認を得ることで、ロシア国内での活動が可能となっていました。国務省が資金を投じて、外交やその他の手段を使って、国境を越えた組織犯罪行為者を特定し裁判にかけていく現在の状況には、並行して軍事行使の選択肢を強く望んでいるという背景が強く表われています。
2022年も年間を通じて継続的に行われるであろうランサムウェア攻撃により、政府支出や犯罪者の逮捕によってサイバー攻撃は回避することが不可能であることが証明されることとなるでしょう。私たちは考え方を変えなければなりません。私たちにとっての問題を問題視するのではなく、問題そのものに対する考え方を変える必要があります。重要なのは私たちにとっての問題ではありません。つまり、攻撃者が何を重要な問題だと捉えているかを考えなければならないということです。
サイバー攻撃者側の土俵で私たちが勝利するために何が解決策となるのか、批判批評的に考えていく必要があります。従来の考え方から一歩踏み出さないと、一線を越えることはできません。既成概念を捨て、マシンとマシンを戦わせる時が来ているのです。 ( SentinelLabs チーフセキュリティアドバイザー Morgan Wright)
ソフトウェアの相互依存関係が最大の課題
2020年末のSolarWindsのインシデントに始まり、2021年の終わりに発見されたLog4j2の脆弱性に至るまで、大きく警鐘が鳴らされてきた中で、ソフトウェアの相互依存関係こそが深刻な盲点であり、サプライチェーン攻撃で主要な攻撃ベクトルとなっています。
広く利用されているソフトウェアコンポーネントが、そのままの状態でセキュアな可能性は、低いと言えます。セキュリティに対して最善が尽くされていたとしても、モジュール、プラグイン、パッケージや、その他のユーティリティコードを開発して共有する開発者が、セキュリティに重点を置くことなどめったにありません。その上、殆どの場合、企業だけでなく連邦政府においても、ネットワークに接続されるすべてのソフトウェアをテストして評価できる能力は限られています。
2022年には、絶好の機会とサイバー脅威の両方が訪れることでしょう。つまり、サイバー資産全体のテクノロジーと可視性で問題に対処するか、あるいは、Sunburstや、Log4j2のような次なる「普遍的な脆弱性」をつくような巧妙な国家主導型のサイバー攻撃に悩まされ続けるのか。それは、過労に苦しむSOCチームやシステム管理者の考え方次第なのです。( SentinelLabs 創設者および成長戦略担当VP Migo Kedem)
高度な標的型攻撃(APT攻撃)の本格化
サイバーセキュリティ研究に従事していると、ついつい派手で革新的なサイバー攻撃に夢中になりがちです。つい忘れてしまいそうになることは、「APT攻撃」という表現が、世界中の大多数の国の政府機関で確実に定着している情報収集活動を遠回しに言っているだけだということです。つまり、この四半世紀近くにわたって、広く知られているいくつかのAPT攻撃が、継続的に行われてきているのです。
攻撃を仕掛けてきているのは、決して憧れの的となるような戦闘服姿の天才ハッカーではなく、官僚組織に属した国家主導型の攻撃者であり、一般的な研究者の想いとは裏腹に、大それた目的など持っていないのです。
昨年、国家主導型の攻撃者が学んだことは、(少なくとも活動の初期段階においては)投資対収益率の向上が必然であるという、既にわかりきった大したことのない実に平凡な公式です。別の言い方をすると、感染ベクトルが、Cobalt StrikeのJavaScriptローダーなどの電子メール(コストゼロ)や、Metasploit(コストゼロ)だとすれば、被害者側で検証や、セキュリティソリューションによる監視、基本的な収集の開始、第2段階のツールの展開が可能になっても、攻撃者にとって損失がないのです。たとえ何を継続し、収集していたとしても、攻撃が成功した途端に投資対収益は急上昇します。
ゼロデイ攻撃でも、カスタムツールでも、売名行為の愉快犯でもないのに知的財産を盗取するような他のAPT攻撃を隠れ蓑として「通常のビジネス」に紛れ込んで仕舞えば、より簡単に攻撃が成功してしまいます。夜更かししてまで、そういった攻撃者を追跡してブログに書いて商売にする脅威ハンターなど多くはいません。
2022年は、サイバースパイのような、より平凡な側面に巻き込まれていくのではないかと懸念しています。( SentinelLabs プリンシパルスレッドリサーチャー Juan Andres Guerrero-Saade)
継続して横行する民間諜報機関
昨年、民間スパイ企業への注目が高まったことで、そのような企業の多くが挫折の局面に立たされることとなるでしょう。しかし、だからと言って需要が大きく利益の高いそのようなビジネスの成長が阻止されるわけではありません。実際にはほとんど影響を受けることなく世界中で、新規またはあまり報告がされていないSurveillance-for-Hire(雇用者による個人情報調査)の技術とリソースを販売している企業をリサーチャーが発見できることとなるでしょう。
2021年には、政府の制裁や否定的なメディアによる報道により、ロシアのPositiveTechnologies、シンガポールのComputer Security Initiative Consultancy、イスラエルのCandiru、そしておそらく最も有名なNSO Groupなどの有名企業のビジネスが台無しにされました。しかし、これらの企業や別の新たな企業が、企業ブランドの変更や企業分割、新たな利益の機会を求めた進化を遂げていくことでしょう。2022年にこの種の企業が消滅するということはないでしょう。
( SentinelLabs シニアスレッドリサーチャー TomHegel)
複雑な依存関係を持つエンタープライズクラウドのセキュリティ
企業においてクラウドネイティブのセキュリティを早急に導入する必要が生じることで、クラウドネイティブサーバー上の顧客データのプライバシーに対する最前線の脅威にどの程度の対応力があるのか試されるようになります。既に大々的に行われている認証情報の窃取がさらに拡大し、セキュリティの低い権限の悪用と、AzureやAWSAPIの認証情報の窃取によるクラウドネイティブのランサムウェアが出現してくることでしょう。
オンプレミスのActiveDirectoryは継続して衰退していく一方で、Azure Active Directoryがメインになっていくでしょう。OktaやJumpCloudのような企業のソリューションがさらに浸透していくにつれて、一度に大量の攻撃対象にアクセスしようと、あらゆるハッカーが虎視眈々と狙っていることに気付かされることでしょう。
防御する側から見ると、APIセキュリティソリューションが必要になってきます。MSSPが脅威ハンターに更に自動化をさせなければならなくなり、XDRの採用が拡大するでしょう。防御する側は、新しいデータソースをカバーすることで、新たなる戦闘条件に対応できるようになります。( SentinelLabs プリンシパルセキュリティテクノロジスト Rafel Ivgi)
エンタープライズのMac(そして、周辺のその他のAppleデバイス)に標的をより絞り込んだ攻撃
当然のことながら、昨年予測したように、セキュリティリサーチャーと脅威アクターの双方によるAppleプラットフォームに対する監視が強化されたため、2021年にはmacOSとiOSの脆弱性が大量に公開されました。2021年に注目の的となったのは、NSOのPegasusのゼロクリックiMessageエクスプロイトです。Appleのコアグラフィックスフレームワークのゼロデイ脆弱性(CVE-2021-30860)が、エミュレートされたコンピューターアーキテクチャ全体の構築に使用されていました。
一方、Macはほとんどの企業で、ネットワークやサーバーインフラストラクチャの中心になったことがないものの、開発者やCレベルの幹部の間で確固たる人気を博しており、攻撃する価値の高いターゲットに関心を寄せる脅威アクターにとって魅力的です。
同時に、iOSとmacOSのセキュリティは、企業を含むAppleユーザーに大きく誤解されています。 Macユーザーでも、マルウェアの検知と保護のためにサードパーティのEDR製品をインストールすることが可能です。しかし、Appleによる「Macは設計上安全です」という強力なマーケティングメッセージに説得されて、ほとんどの人がインストールをしていません。 MacのレガシーAVスキャナーであるXProtectや、攻撃者に定期的に回避されてしまっているGatekeeperやNotarizationテクノロジーで十分だと信じ込んでしまったユーザーが、自分自身と組織を攻撃に対して脆弱なままにしてしまっています。事実、 Appleでさえも、昨年の初めに認めたように、Macに組み込まれた防御機能は十分とは言えません。
最近では、最も多くリソースを持っている脅威アクターである国家主導型の攻撃者でさえもが、反体制派や、ジャーナリスト、政敵を標的にするために、容赦なくリソースを活用してきています。 PegasusのようなNSOスパイウェアを購入する場合でも、 macOS.MacmaのようなMac固有のバックドアを生成する場合でも、これまでのところ、政府(もしくは、その代理人)がAppleのプラットフォームに対する標的型攻撃の主な推進力となっています。しかし、国家主導型の攻撃者の通った道筋には、すぐに犯罪者が続いていっています。
2022年には、これらの3つの要因、つまりは、Appleデバイスの脆弱性への注目の高まり、企業でのMacの幅広い使用、Macは安全でサードパーティによる保護を必要としないという誤った安心感が、より攻撃者にとって価値の高い標的を絞ったAppleデバイスユーザーへの攻撃につながっていくことでしょう 。( SentinelLabs macOSスレッドリサーチャー Phil Stokes)
まとめ
2021年に米国政府はサイバーセキュリティの長年の課題に取り組むために、とても勇敢な努力をしました。しかし、最終的な防衛線となるのは企業自身です。企業は、セキュリティ侵害で信頼と資金を失うようなリスクに自らをさらすことなく、成長と商業的な拡大に総力をあげていく必要があります。2022年に生じる課題が何であろうとも、私たち全員が基本を確実に守っていく必要があります。強力な予防策、明確なインシデント対応とディザスターリカバリー計画、そして最前線で組織を大切にしていくことを忘れないでください!センチネルワンのチーム一同、皆様が良いお年を迎えられることを心から願っています。