エフセキュアは12月15日、同社のセキュリティエキスパートによるサイバー脅威を取り巻く環境に関する2020年の総括と2021年の予測についてのコメントを発表した。

IoTデバイスへの攻撃が増加の見通し

まず、F-Secure Consulting プリンシパルセキュリティコンサルタントのTom Van de Wiele (トム・ヴァン・デ・ヴィーレ)氏はIoTデバイスへの攻撃がさらに増加すると指摘。インターネット接続デバイスのセキュリティとプライバシーに対処する効果的な品質管理対策が浸透するまでは、今後1~3年の間に別のワームやMiraiのような攻撃が発生し、定期的に再発すると考えられるという。

2021年に向けて、IoTデバイスの透明性(通信先や送受信するデータ)に関しては大きな変化はなく、ユーザーがスマートデバイスを購入する際、攻撃者がデバイスやユーザーのデータ/プライバシーに対して、どのようなレバレッジをかけることができるのかを知らないことは懸念されているが、こうした状況は今後何年も継続すると予測している。

IoTは何年にもわたりプライバシーに大きな影響を与え、データ漏洩による個人情報盗難のリスクを高めており、デバイスメーカーはユーザーに関して情報を入手できる立場にあり、メーカーはこれらの情報をもとに新たな収益源やビジネスを開拓することができる。

EU(欧州連合)のような機関は、マイクのデフォルトでのオフ設定など、プライバシーに関する法律を施行しようとしているが、ソフトウェア開発プロセスの大部分は、どのような技術が使用され、どのように使用され、どのくらいの期間サポートされ、どのような情報が収集されて第三者に送信されるのかについて、何の透明性もないままに行われている。

そして、DDoSボットネット運用者は脆弱性を抱える特定のブランド/モデルのデバイスの数の多さにつけ込んで大規模なボットネットを構築して、破壊的なオペレーションのために使用するサイバー攻撃者たちに販売していくことになるという。

続いて、戦術防衛ユニット リサーチャーのMaria Patricia Revilla Dacuno (マリア・パトリシア・レヴィラ・ダクノ)氏はランサムウェアを使用する新しい攻撃が登場すると予測。今年の大きな出来事の1つは「Buer」と「BazarLoader」という、Ryukランサムウェアを展開するための新しいローダーの登場を挙げている。

Emotetの威力の大きさが実証されたことが、新しい「ローダー・アズ・ア・サービス」につながったと推測され、Emotetが侵害されたWebサイトを使用していたのに対して、新しいローダーはペイロードを配信するためにGoogle Docsなどのクラウドストレージを使用している。2021年にはランサムウェアを使用するサイバー犯罪者に対して新しいツール/サービス提供の増加が見込まれている。

また、パスワード保護された悪意のある添付ファイルを利用するキャンペーンが観測されているが、サイバー攻撃者たちはこの手法を使用して、悪意のある添付ファイルがサンドボックスによる自動分析を受けないようにしたり、セキュリティツールによるスキャンを受けないようにしたりしている。この手法は今年のEmotetキャンペーンにも使用されたが、2021年以降は同様の手法を用いた攻撃が増加することが予想されている。

リモートワークの脆弱性を狙う攻撃が増加

そして、F-Secure Consulting セキュリティコンサルタントのVic Harkness(ヴィク・ハークネス)氏はリモートワークにおけるシステムの不備/デバイスの脆弱性/対人関係の希薄さを突いた攻撃が増加すると想定。リモートワークが奨励されている中、企業は新しいワークスタイルに対応していくことを余儀なくされているが、技術的/社会的レベルの両方において大きな攻撃可能領域を生み出しており、今年はランサムウェア攻撃が増加する結果となった。

コロナ以前にリモートワークに対応できていなかった企業が付け焼き刃で実施したリモートアクセスは、攻撃者が内部ネットワークに侵入するための演習場と化しているものの、企業内の対人関係の希薄さが一因となっている可能性がある。

リモートワーク環境においては自社の技術サポート部門の担当者だと名乗る人物が本物かどうか、判断が難しくなるケースが出ており、大きな変化が生じるタイミングは攻撃者にとっては大きなチャンスとなり得るという。「オフィスへの出社の際は、このリンクをクリックして個人情報を入力のうえ、出勤日をお知らせください」や「社員のリモートワークの状況を把握するため、このツールをインストールしてください」など、攻撃者たちはさまざまな罠を仕掛けてくることから、リモートワークがニューノーマルとなるまでは攻撃者は社員を操り、安全でない行動を取らせ、自分たちに有利な状況を作り出していくことが予想されている。

戦術防衛ユニット シニアマネージャーのCalvin Gan (カルビン・ガン)氏は、新型コロナウイルスの感染拡大/ロックダウン/リモートワークなどの要素により、働き方改革が着々と進んでいる中、Eメールは依然としてマルウェアの主要な感染経路となっており、特に個人所有のデバイス(PC、スマートフォン、タブレット) が業務に使用される場合、ソフトウェアの脆弱性が悪用され、さらにメール経由での感染が広がる可能性があると指摘。

より多くのCVE(共通脆弱性識別子)が発行され、ショッピングアプリや配送追跡アプリなど、多くのコンシューマが使用するソフトウェアの脆弱性が発見されることを期待しているとともに、セキュリティリサーチャーはサイバー犯罪者より先にこうした脆弱性を発見/修正することにより注力していくことが想定されている。

加えて、F-Secure Radar ソリューションディレクターのTeemu Myllykangas(テーム・ミリカンガス)氏は、2021年になっても多くの企業はパンデミックの初期に急遽採用したしたリモートワークの制度を、少なくとも部分的には維持しようとしていくものと考えられるとの認識を示す。

このような状況下で、新しい手法や技術を導入しても上手くいくことはほとんどなく、2021年に攻撃者は企業がまだ対処できていないリモートワークにおけるセキュリティの脆弱性を悪用する方法を模索している可能性が高い。今後の攻撃に対処するうえで、企業はアプリケーションとデータを保護し続けるために、新しい分散型ネットワークとクラウドの導入を推進し、適切にセキュリティを担保していく必要があるという。

政府などが法的手段でランサムウェアとの戦いに積極的に関与

そのほか、MDR シニアレスポンス調査官のCallus Roxan (カルム・ロクサン)氏は、近年のランサムウェアの進化の大半は技術的な進化ではなく、ランサムウェアとデータの流出を組み合わせて攻撃者が収益源を多様化/最大化するなど、運用面での進化だとしている。

2021年には多くの政府/司法機関がこうした動きを追い、法的手段を用いてランサムウェアとの戦いに積極的に関与していくことが予想されている。また、特にいくつかの業種が攻撃者の標的となることが考えられ、例えば機密性の高いデータを扱う企業(法律関係など)や、製造業などランサムウェアの被害を受けやすい業種が想定されている。

また、企業のランサムウェア対策費が増加していくため、当局はより高い意欲を持って攻撃に対処しようとするのことが予想されるが、サイバー犯罪のエコシステムは分散化され、さまざまな断片化された性質を持っているため、標的型攻撃に対してはどのような対策を講じても完全に防ぐことは難しい。

例えば、攻撃者への身代金の支払いを制限しようとする取り組みは、響きのいい措置ではあるが、企業が直面するビジネス上の現実とサードパーティが身代金支払いのエージェントとして介在可能であることから、このような戦略の有効性は疑問視されるものになるという。