Trellixは1月18日、2023年に注意すべき重要なサイバーセキュリティの動向をまとめた「2023年脅威動向予測レポート」を発表した。

同日には記者向け説明会がハイブリッド形式で開かれ、地政学リスクやソフトウェアの脆弱性、人工衛星やそのほかの宇宙上の資産へのハッキングなど、11の脅威予測が示された。

  • 2023年の脅威予測まとめ、出所:Trellix

    2023年の脅威予測まとめ、出所:Trellix

【関連記事】
≪その対策、危険じゃない?SMSで届く詐欺「スミッシング」の正しい対策法≫
≪大津赤十字病院のバックアップ基盤から学ぶ医療機関のランサムウェア対策≫

地政学リスクを背景にした偽情報拡散やハクティビストに注意

予測1が「地政学とグレーゾーンの対立」で、Trellixは地政学的な動機のサイバー攻撃や偽情報の拡散活動が2023年も拡大すると予測する。

  • 予測1:地政学とグレーゾーンの対立

    予測1:地政学とグレーゾーンの対立

2022年はハクティビスト(個人の社会的・政治的な声明を打ち出すためにハッキング活動を行うハッカー)の活動が活発化した。ハクティビストは地政学的な動機のサイバー攻撃に一定の手応えを得ており、今後、ロシアや北朝鮮を支援するハクティビストによる日本への攻撃も増大し得るという。

Trellix 執行役 セールスエンジニアリング本部 シニアディレクターの櫻井秀光氏は、「地政学上の動向に関連してどのような攻撃者がいるか、過去にどんな被害があったかについて参照し、攻撃が実行された際に適切に対処できる体制を整備してほしい」と述べた。

  • Trellix 執行役 セールスエンジニアリング本部 ディレクター 櫻井秀光氏

    Trellix 執行役 セールスエンジニアリング本部 ディレクター 櫻井秀光氏

予測2が「ハクティビズムが表舞台に」で、プロパガンダを原動力とした個人が緩やかに組織化し、サイバー攻撃によって主張の表明を継続・拡大させていくと予測する。従来、サイバー攻撃者は「金銭目的の攻撃者」と「国の支援を受けた攻撃者」に大別されたが、Trellixでは「ハクティビストを第三の勢力と見なして警戒を高めるべき」と考えている。

  • 予測2:ハクティビズムが表舞台に

    予測2:ハクティビズムが表舞台に

予測3が「ソフトウェアの“知られたくない秘密”の増加」だ。2021年末にApache Log4jの脆弱性が見つかったことで、攻撃者はさまざまなソフトウェアに潜む潜在的な脆弱性の有効さを再認識。そうしたソフトウェアの脆弱性の探索が、2023年はより活発になると予想する。

特に注意を払うべき対象が、主要・著名なソフトウェアと同等レベルのセキュリティ対策を行えていないOSS(オープンソースソフトウェア)だ。ユーザーは使用しているOSSの脆弱性情報を注意深く収集する必要がある。

  • 予測3:ソフトウェアの“知られたくない秘密”の増加

    予測3:ソフトウェアの“知られたくない秘密”の増加

フィッシングの対象はTeams、Slack、Zoomにも拡大

予測4が「未成年によるサイバー犯罪の活発化」だ。幼少期からコンピュータやスマートフォンと共に育った現在の10代、20代の若者から技術的に秀でた人材が多く現れている。そうした若者が犯罪組織に雇われる事例がすでに発生しており、今後も増加することが見込まれる。

  • 予測4:未成年によるサイバー犯罪の活発化

    予測4:未成年によるサイバー犯罪の活発化

予測5が「ソースコード分析による攻撃者特定の精度が低下」だ。サイバーセキュリティの研究者やアナリストなどは、マルウェアサンプル(マルウェア検体)を用いたソースコード分析によって攻撃者特定を試みる。だが、近年ではマルウェア開発の分業が進み、攻撃者特定が困難になってきているという。

櫻井氏は、「複数の開発者からのコードが組み合わさることで攻撃者の傾向を類推しにくく、事前対策を講じることも困難になる。マルウェア感染後の挙動といった特徴的な情報を活用して、攻撃者特定の精度を維持・向上させる必要がある」と語った。

  • 予測5:ソースコード分析による攻撃者特定の精度が低下

    予測5:ソースコード分析による攻撃者特定の精度が低下

予測6が「サイバー戦争の進展に伴い、重要インフラに対する世界的なサイバー脅威が差し迫る」だ。Trellixでは、戦争目的でのIoT機器の乗っ取りによる大規模なDDoS攻撃を危惧する。その上で、NIST(米国国立標準技術研究所)フレームワークのような業界標準に準拠した対策をインフラ関連企業に求める。

  • 予測6:サイバー戦争の進展に伴い、重要インフラに対する世界的なサイバー脅威が差し迫る

    予測6:サイバー戦争の進展に伴い、重要インフラに対する世界的なサイバー脅威が差し迫る

予測7が「コラボレーションが増えれば、フィッシングも増える」だ。メールやSMSだけでなく、Microsoft Teams、Slack、Zoomなど複数のコミュニケーションツールが業務で利用されるようになった中で、それらのツールにもフィッシング対策を拡大していく必要がある。

クラウドベースのサービスにCASB(Cloud Access Security Broker)のようなクラウド監視ソリューションを導入する技術的な対策に加え、「Teamsにこんなメッセージが届いたら注意してください」といった啓発をするなど人的な対策も重要になる。

  • 予測7:コラボレーションが増えれば、フィッシングも増える

    予測7:コラボレーションが増えれば、フィッシングも増える

IoT機器やWindowsドメインの脆弱性が引き続き狙われる

「Alexa、ビットコインのマイニングを始めて」と題した予測8で、TrellixはIoT機器を利用したクリプトマイニングの活発化を予想する。PCと比べてIoT機器やスマートデバイスでは適切なセキュリティ対策が行われていることが少なく、エージェント型の対策を導入するのが難しい。

稼働済みのIoT機器には、NDR(Network Detection and Response)による不正通信の検知が有効な対策となる。また、新たに製造するIoT機器に対しては、設計時にセキュリティ対策を実装するセキュリティ・バイ・デザインが求められる。

  • 予測8:Alexa、ビットコインのマイニングを始めて

    予測8:Alexa、ビットコインのマイニングを始めて

「宇宙のハッキング、ここからが本番」とした予測9では、人工衛星やその他の宇宙上の資産への侵害の増大が挙げられた。2022年にはロシアがウクライナに侵攻した際に衛星インターネットモデムがサイバー攻撃を受けた。

人工衛星など宇宙上に存在し通信を行う機器は、設計初期段階でサイバーセキュリティ対策を実装できていないという。宇宙開発が進む中で、そうした機器が重要インフラとして利用されるにつれ、サービスの提供事業者やユーザーがランサムウェアの対象となることも将来的に起こり得る。

  • 予測9:宇宙のハッキング、ここからが本番

    予測9:宇宙のハッキング、ここからが本番

「これ、私の番号だから、よかったら電話してね」と題した予測10では、リバースビッシングの被害の増加が今後も継続するという予測が語られた。リバースビッシングとは、EメールやSMSを通じて指定された番号(攻撃者)へ電話するよう誘導する攻撃手法だ。

「メールに短い文章と電話番号のみが記載されているリバースビッシングは、URLを基に安全性をチェックする主要なメール対策をすり抜けてしまう。個人的な観測範囲では、日本での被害事例は見られていない。ただ、WhatsAppやGoogleレビューなど幅広い媒体からの誘導が発生しているので注意が必要だ」と櫻井氏。

  • 予測10:「これ、私の番号だから、よかったら電話してね」

    予測10:「これ、私の番号だから、よかったら電話してね

最後に、予測11で「Windowsドメインに対する攻撃が大規模化」が挙げられた。Windowsドメインの乗っ取りは、攻撃対象の企業・組織のネットワークの乗っ取りをほぼ可能にするため、2023年もドメイン権限昇格の新たな脆弱性の発見とそのための攻撃が拡大すると予測している。

引き続き、ドメイン関連の脆弱性が報告された場合、迅速なパッチ適用が初歩的でありつつも重要な対策となる。

仮に脆弱性を突かれて攻撃されてしまっても、侵入成功後のラテラルムーブメント(水平移動)やデータ窃取などを検知することが可能な、EDR(Endpoint Detection and Response)、UEBA(User and Entity Behavior Analytics)、NDR、DLP(Data Loss Prevention)などのソリューションを、攻撃後の挙動を検知するセンサーとして導入しておくことをTrellixは推奨する。

  • 予測11:Windowsドメインに対する攻撃が大規模化

    予測11:Windowsドメインに対する攻撃が大規模化