パロアルトネットワークスは12月18日、記者説明会を開催し、脅威インテリジェンスチーム Unit 42のアナリストである林薫氏が、2018年のセキュリティ脅威の傾向、2019年のセキュリティ脅威予測を紹介した。

  • パロアルトネットワークス 脅威インテリジェンスチーム Unit 42 のアナリスト 林薫氏

2018年のセキュリティ脅威の傾向

2018年の傾向については、クラウド脅威解析サービス「WildFire」、10月に買収したクラウド環境で包括的な可視化や脅威検出を提供する「RedLock」の実データをもとに分析が行われている。

最も脅威の検出数が多かった国はITに関わるさまざまな企業、サービス、施設が集中しているアメリカだった。これに、日本、ブラジル、イタリアが続いている。林氏は日本、ブラジル、イタリアで脅威が発見されている背景には、不正送金を狙うばらまき型攻撃の発生があると指摘した。

  • 国・地域別 脅威の検出数

2018年のセキュリティ脅威の主な傾向としては、次の3点が紹介された。

  • メールによる文章ファイルを使った攻撃
  • ランサムウェアから仮想通貨採掘への移行
  • 商用マルウェアとビジネスメール詐欺

メールを用いた攻撃は古くからあるが、いまだに主流だという。メールを用いた攻撃としては、2016年までは実行ファイルを添付した攻撃が多かったが、2017年以降はOfficeファイルなどの文章ファイルを用いた攻撃に移行しているという。

この移行の背景には、「メールに添付された実行ファイルは危険だという認識が広がったこと」「文章ファイルを用いた攻撃は、マクロや脆弱性を悪用できるほか、次のステージをコントロール可能」といったことがある。

ランサムウェアから仮想通貨マイニングへの移行は、仮想通貨のレートの下落を境に見られている。マルウェアに感染した端末を悪用した不正な仮想通貨マイニングは、「被害が発見されにくい」「仮想通貨のレートの上昇によりスケールしやすい」といったメリットがあるという。今後は、仮想通貨の価値によって、攻撃者は戦術を変えてくることが予想される。

そして2018年は、商用マルウェアを用いたビジネスメール詐欺(BEC)が増加したことがわかっている。林氏によると、高機能で解析が難しいマルウェアが低価格または無料で入手可能で、多くの攻撃者に悪用されているという。その代表的な例に、3万以上の商用マルウェアを用いたナイジェリアのBECが挙げられるが、同社は国内でも商用マルウェアを使った攻撃を25万回以上検出している。

2019年のセキュリティ脅威予測

同社は、2019年のセキュリティ脅威予測として、次の5点を挙げている。

  • 仮想通貨を狙った攻撃の継続
  • 見えない攻撃の拡大
  • 日本国内における破壊型攻撃
  • 流出した個人情報の悪用
  • クラウドにおけるインシデントの増加

「見えない攻撃」には、エンドポイントとネットワークの2カ所における「不可視化」が含まれる。エンドポイントにおいては、ファイルスキャンを回避するため、マルウェアの実態がない「ファイルレス攻撃」が増えている。

ネットワークにおいては、「SSL/TLSへの移行」「モジュールの暗号化」「ステガノグラフィの悪用」「正規サイトの悪用」により、検出の回避が行われている。ステガノグラフィはデータを隠蔽する技術であり、サイバー攻撃においては画像に不正なコードを隠すために用いられている。

こうした「見えない攻撃」は、エンドポイントとネットワークを俯瞰してみないと発見できなくなっており、対策としては、ネットワーク・エンドポイントの双方で一貫した監視とポリシーの適用が必要とされるという。

「破壊型攻撃」は国内ではまだ目立っていないが、2019年には日本で国内外から関心を集める社会的行事、国際会議、スポーツ大会が開催されることから、破壊型攻撃が実行される可能性があるという。

これまで、エネルギー、電力、銀行といった社会インフラを提供する企業が破壊型攻撃を受けている。攻撃者はターゲットに到達するため、サプライチェーンの弱い部分を狙うことがあるため、サプライチェーンが自社の要求するセキュリティ水準を満たしていることを確認することが対策の1つとなる。

「認証情報」は変更可能であるのに対し、「個人情報」は名前や生年月日など変更できないものが多いことから、林氏は「流出したデータが蓄積され、攻撃者がそれらを分析することで、個人を特定する情報や嗜好・行動パターンを把握し、より効率的な詐欺や不正アクセスなどの攻撃に悪用されるかもしれない」と指摘した。

対応策としては、文字列パスワードだけでなくサービス提供組織の用意する指紋認証や多要素認証など複数の認証方式を取り入れ、流出した情報だけでは本人確認が成功しないようにすることがある。

林氏は、「クラウドサービスにおいては、オンプレミスと異なるセキュリティ対策が必要だが、現状としてはあまり進んでいない」と指摘した。実際、クラウドに不慣れなユーザーの設定ミスなどにより、世界中で情報漏洩が発生している。こうした状態は、今後もクラウドのユーザーが増えることから続くことが見込まれ、被害も長期化することが考えられるという。

RedLockのデータをもとに分析したクラウドセキュリティの傾向としては、以下の5点が明らかになっているという。

  • クラウドセキュリティの傾向