ソフォスは12月8日、日本市場向けに「2022年版ソフォス脅威レポート」を公開した。同レポートでは、ITセキュリティに影響を及ぼすランサムウェアサービス、コモディティマルウェア、攻撃ツール、クリプトマイナーなどの最新動向を振り返るとともに、2022年に組織が直面すると考えられるセキュリティの脅威と傾向が解説されている。
なお同レポートの執筆には、ソフォスの脅威解析センターであるSophosLabsのセキュリティ調査担当者やSophos Managed Threat Responseの脅威ハンター、ソフォスのインシデント対応チームであるRapid Responseチーム、Sophos AIチームが関わっている。
同日に開催された記者説明会では、2022年のサイバーセキュリティにおける脅威の傾向が8つ示された。
ランサムウエアの脅威は衰えを見せない。ソフォスのRapid Responseチームの報告によれば、2020年から2021年のインシデント対応の79%がランサムウエアによるものだったという。
ソフォス セールスエンジニアリング本部 シニアセールスエンジニアの杉浦一洋氏は、「2021年は日本でも被害が報告されるなど、ランサムウエアの脅威にクローズアップされた年だった。従来は攻撃者が独自のランサムを作ってサーバー攻撃を仕掛けていたが、2021は攻撃に必要な要素を借りる、またはツールを使うなど、モジュール構造に移行した1年だった」と振り返った。
ランサム攻撃のためのさまざまな要素をサービスとして提供するRaaS(Ransomware as a Service)の提供と利用が広がるとともに、利用者側に攻撃のためのプレイブック(ルールブック)が提供されることで、今後は類似したランサム攻撃が繰り返し行われるようになる、とソフォスでは予想する。
「ブラックホールがあらゆるものを引き寄せるように、RaaSの利用が他のサイバー脅威を引き込み、相互に確立した大規模なランサムウエア配信システムを構築する流れも起こってくるだろう」と杉浦氏。
2020年から2021年に主流となったランサムウエアとしては、Conti、REvil、Ryuk、Ragnarokなどの名前が挙がった。2021年の攻撃の傾向としては、大規模配信を実施しながらも、特定のマルウェアバンドルで攻撃する標的を慎重にフィルタリングしながらピンポイントで狙うハイブリッド攻撃が特徴的だったという。ソフォスでは、2022年もこの攻撃が続くと予測する。
ランサムウエアによる被害といえば、攻撃者によるファイル暗号化と身代金要求のことを指すのが一般的だが、昨今ではユーザーを標的にした恐喝戦略も広がっているという。例えば、データを盗んでオンラインで公開する、データ侵害を第三者に通知する、内部関係者を募集して協力させる、フィッシング攻撃でバックアップを削除するなどが挙げられた。
同レポートではこのほか、IT管理ツールやインターネットに接続している脆弱なサービスを標的とした大規模攻撃やCobalt Strike Beacon、Mimikatz、PowerSploitなどの攻撃シミュレーションツールを利用するケースが増加すると指摘している。また、同社がVMware ESXiのプラットフォームを標的とするランサムウエアに遭遇したことから、2022年にはクラウド、Webサーバー、仮想サーバーで利用されるLinuxベースシステムやLinuxベースのIoTデバイスなどが標的となるケースが増加するとも予測する。
モバイルやSNSを使った詐欺は、個人と組織双方の脅威だという。宅急便や通販会社を詐称して、メールやSNSでURLを案内、不正アプリをダウンロードさせるなどは典型的な手口だ。ただ、杉浦氏は、「日本のキャリアのセキュリティチェックは海外に比べて厳しく、海外の事例が当てはまるとは限らない」と述べた。
サイバーセキュリティへのAIの応用が広がるのと同時に、サイバー攻撃者によるAIの悪用も進むとソフォスは予測する。今後数年間で、AIを悪用したフェイク情報キャンペーン、ソーシャルメディアプロファイルの偽装、水飲み場攻撃のためのWebコンテンツ、フィッシングメールなどが進行し、将来的にはディープフェイクビデオや音声合成技術などが攻撃に利用されるようになるという。
杉浦氏は、「多層防御の導入と、テクノロジーと人間の専門知識を組み合わせた年中無休の対応を実施するほか、パスワードや多要素認証といったど基本事項を強化し従業員の教育を行うなど、セキュリティ対策の基本的な推奨事項は変わらない。だが、AIの新しいイノベーションに対応する必要はある。また、人のリソースは限りがあるので自動的に防御できる体制を構築し、セキュリティ対策で人手が欠かせない業務に人的リソースを集中さるなどの見直しが求められる」と指摘した。