年末に入ると、さまざまなセキュリティベンダーがその年のセキュリティ・インシデントを振り返るとともに、翌年に発生する可能性が高いインシデントを予測する。今回、Kaspersky Lab グローバル調査分析チーム プリンシパル・セキュリティリサーチャーのヴィセンテ・ディアス氏に、2017年のセキュリティ業界の総括と2018年の予測を聞いた。今年のサイバー攻撃で受けた被害を教訓として、来年に備えたいものだ。

  • Kaspersky Lab グローバル調査分析チーム プリンシパル・セキュリティリサーチャーのヴィセンテ・ディアス氏

最も重要な2017年の脅威は「脆弱性とエクスプロイト」

ディアス氏は、2017年の総括において最も重要なこととして「エクスプロイトと脆弱性」を挙げた。まだ認知されていない脆弱性を悪用する「ゼロデイ攻撃」の破壊力が大きなことは言うまでもないが、攻撃者はゼロデイの脆弱性を用いたエクスプロイトを隠し持っており、状況に応じて、エクスプロイトを使い分けるようになってきているという。 

具体的には、既知の脆弱性や容易なテクニックが再利用される傾向が高いが、レベルの高い攻撃に行う時にゼロデイの脆弱性をベースとしたエクスプロイトを使うのだ。

なお、攻撃者にとっても未知の脆弱性の場合、エクスプロイトが実環境で発見されるのは、脆弱性の公開から2週間程度後だという。

ディアス氏は、脆弱性に関する重要なイベントとして、ランサムウェア「WannaCry」による被害を挙げた。この攻撃はLazarus APTグループによるものと言われているが、その被害は世界中に広がり、大きな注目を集めたことは記憶に新しい。

ただ、いまだにその目的は明らかにされていないが、ディアス氏は「WannaCryはエクスプロイトの実験だったところ、制御できなくなり、被害が広がったのではないかと推測できる」と語った。

  • 「WannaCry」に感染した端末の画面

さらに、ディアス氏は脆弱性に関する重要なイベントとして、APTグループによる金融機関への攻撃の流行を挙げた。Lazarusの一部門であるBlueNoroffは、金銭の取得を目的としており、一貫して金融機関を攻撃しているという。これまでに、ポーランド、メキシコ、台湾の銀行への攻撃が明らかになっている。

このトレンドは継続することが見込まれているが、ディアス氏は「金融機関への攻撃が必ずしも金銭目的ではないケースも存在する。例えば、顧客情報が盗まれた可能性もあり、注意が必要」と指摘した。

また、ディアス氏は、ランサムウェアについて「ランサムウェアは身代金を取得するマルウェアと言われているが、身代金が目的と見せかけて陽動作戦の一環として用いられるケースも見られる。ランサムウェアは侵入の証拠を抹消するためにも利用されている」と話した。

  • 金融機関への攻撃の概要

2018年に発生が予測される脅威は?

続いて、ディアス氏は2018年の予測について説明した。具体的に、同社は、以下のことが2018年に発生する可能性があると予測している。

  • サプライチェーン攻撃の増加
  • モバイル・マルウェアの高度化
  • BeEFと似たWebプロファイリングによる侵害の増加
  • 高度なUEFI(Unified Extensible Firmware Interface)攻撃
  • 破壊型攻撃の継続的な増加
  • 暗号の危機
  • 電子商取引のIDが危機的状況に
  • ルータとモデムに対するハッキングの増加
  • 社会的混乱の媒介

モバイル・マルウェアについては、「多くのAPTにおいて高度なモバイル・マルウェアが発見される」「攻撃の増加」「検知能力の向上による既存の攻撃の発見」が予測されるという。

「これから、埋め込み型マルウェアが増えてきて、メディアや国家が狙われるケースが増えるだろう。また、マルウェアを用いた攻撃のうち、高度でコストがかかっているものは検知できていないものがあるだろう」とディアス氏。企業がコストをかけてセキュリティ対策を強化する一方で、攻撃グループもコストをかけて、洗練された攻撃手法を開発しようとしているわけだ。

また、高度なUEFI攻撃については、2018年には、多くのAPTグループがPCのファームウェアであるUEFIを狙うマルウェアを開発して用いることが予測されるという。UEFIの脆弱性を突いて、マルウェアをインストールされると、セキュリティ機能を回避されたり、DoS 攻撃を受けたりする可能性がある。また、UEFIにはパスワードなど重要な情報も保存されており、それらが盗まれるおそれもある。

さらに、ディアス氏は注意すべき予測として、ルータとモデムへのハッキングの増加を挙げた。「ルータとモデムは攻撃ツールとして過小評価しているが、誰もが使っている身近なデバイスであるとともに、通信データがすべて通過するデバイス」と同氏。

その一方で、ルータやモデムはPCやサーバと異なり、パッチが確実に適用されるケースが少なく、監視もあまりされておらず、非常に危険な状況に置かれている。

今年はこうした「IoTデバイス」を狙う大規模な攻撃が話題になり、そのセキュリティ対策の重要性についても論じられることになったが、実際のところ、どこまで対策が講じられたのかはわからない。

以上のように、2018年は、今年発見された脅威がパワーをアップした状態で、攻撃を繰り広げられることが予測されるようだ。攻撃を受ける前に、いま一度、自社のセキュリティ対策を見直してはいかがだろうか。