カスペルスキーは11月22日、Kaspersky Labのグローバル調査分析チーム(GReAT)がまとめた年次のサイバー脅威動向レポートで、2017年のサイバー脅威の傾向と予測を発表した。
サイバー脅威の傾向として「IOCの信頼性低下」と「一過性の感染増加」をあげている。IOCの信頼性低下では、脅威存在痕跡(Indicators of Compromise:IOC)は、これまでマルウェアの特徴を共有し、感染を検知する有効な手段だったが、今年はGReATが標的型攻撃を行う犯罪グループ「ProjectSauron」を発見したことで状況が変化した。
同グループを分析する中で明らかになったマルウェアプラットフォームは、すべての機能が標的ごとに変わるため、IOCは別の標的を見つけ出す手段としての信頼性が低下し、YARAルール(悪意のあるファイル、システムまたはネットワーク上での不審な活動のパターンのうち、類似性があるものを発見するためのツール)など別の手段との併用が必要になるとしている。
また、一過性の感染増について2017年は感染したマシンの初回の再起動で消え去るメモリ常駐型マルウェアの出現を予想しており、このマルウェアの目的は感染の継続ではなく、スパイ活動と認証情報の収集だと分析。攻撃者は発見されることを避けるために、マルウェアを機密性の高い環境に展開すると考えられるという。
GReATのシニアセキュリティエキスパート、ファン・アンドレス・ゲレーロサーデ(Juan Andres Guerrero-Saade)氏は「こうした傾向は犯罪者側からすると飛躍的な進歩ではありますが、セキュリティ業界には打つ手があります。それは品質の高いYARAルールの採用です。リサーチャーはYARAルールを活用することで、企業の隅々にまでスキャンを実施し、休止中のバイナリの特徴を検査・特定するとともに、マシンのメモリをスキャンして既知の攻撃の断片を探し出すことが可能になります」と述べている。
サイバー脅威の予測では「偽旗作戦によりアトリビューションが困難」「情報戦争の増大」「私的制裁を加えるハッカーの増加」「サイバー妨害工作に対する脆弱性が拡大」などを挙げている。
偽旗作戦によるアトリビューションが困難になることについては、国際関係においてサイバー攻撃の問題が浮上し、報復などの政治的な行動指針を決定する上で、攻撃の実行者を特定するためのアトリビューション(属性、帰属)が重要な課題となる。
アトリビューションを追求すれば、インフラや独自ツールを公開市場で投げ売るサイバー犯罪者や、オープンソースの商用マルウェアを選択する犯罪者が増加するリスクがあり、偽旗作戦として知られるアトリビューションを誤認させる手口の利用が拡大し、混乱を招く恐れもあるという。
情報戦争の増大に関しては、2016年に攻撃目的で窃取された情報が白日の下に晒される事態を全世界が真剣に受け止めるようになり、2017年も同様の攻撃が増加する見込み。攻撃者は窃取した情報を改竄したり部分的に開示し、そのようなデータを事実として積極的に認めようとする人々の意思を悪用する可能性があるとしている。
私的制裁を加えるハッカーの増加は大義を盾として、データ窃取や漏洩を行うハッカーが出現することが想定されている。サイバー妨害工作に対する脆弱性が拡大については、重要インフラや製造システムは依然としてインターネットに接続されており、ほとんど保護されていない場合がある。このようなシステムの破壊や操業を中断させる行為は、高度なスキルを持つサイバー攻撃者、また地政学的な緊張が高まる時期においては抗しがたい魅力があるものと考えられるという。