サイバーセキュリティ3つのトレンドとCISOのためのセキュリティリスクの軽減戦略（前編）

サプライチェーン攻撃やランサムウェアなど、サイバー攻撃による事業活動への被害が相次いでいます。今組織には求められているのは、プロアクティブなセキュリティ戦略の確立です。本記事では、トレンドマイクロのThreat IntelligenceのVPであるJon Clay、Chief Cybersecurity OfficerのEd Cabreraの解説をもとに、最新のサイバーセキュリティの3つの動向を説明します。

動向① 新たな標的：
DevOpsとソフトウェアサプライチェーンハードウェアのサプライチェーンに関連するリスクが、セキュリティチームの懸念事項だったことは皆さんも覚えていることでしょう。当時は、チップが改ざんされていないことを確認するために、どこで開発されているか確認する必要がありました。現在は攻撃の対象がソフトウェアへとシフトしています。ソフトウェアサプライチェーン攻撃です。

数年前には会計ソフトウェアの更新機能をランサムウェアNotPetyaが悪用し、攻撃の拡散を図りました。最近ではKaseya社のクライアント管理サービスが狙われ、同社の顧客への攻撃に利用されました。トレンドマイクロでは、ここ数年マネージドサービスプロバイダ（MSP）が多数標的となる事例を確認しており、この傾向は2022年以降も続く可能性が高いと予測しています。

サイバー犯罪者が、ソフトウェアサプライチェーンを標的にするのは、攻撃対象を広げることで、攻撃の成功率をあげるためです。ソフトウェアの開発サイクルを見たとき、オープンソースコードの作成・構築やテスト、本番前環境での展開やステージング、そして本番環境への展開まで、多くの攻撃リスクが存在しています。

開発のライフサイクルを通じて、開発者がさまざまなツールやサービスを利用することで、攻撃対象領域は広がっていくのです。さらに、DevOpsの開発環境であるパイプラインは最重要部にアクセスするためのキーといえるため、攻撃者はKubernetesのような人気のある開発ソフトウェアを標的にする可能性が高くなります。

動向② 進化し続けるランサムウェアトレンドマイクロによるグローバル調査で、ランサムウェアによる脅迫額が2020年に倍増しており、さらに調査対象の9割以上が、自社がランサムウェアの被害を受けることを危惧していることがわかりました※。
※More C-Suite Engagement Needed in 2022 to Mitigate Cyber Risk（2022/2/2）
https://newsroom.trendmicro.com/2022-02-02-More-C-Suite-Engagement-Needed-in-2022-to-Mitigate-Cyber-Risk
BUSINESS FRICTION IS EXPOSING ORGANISATIONS TO CYBER THREATSA Global Study
https://www.trendmicro.com/explore/en_gb_trendmicro-global-risk-study

ランサムウェアの攻撃者は攻撃ターゲットを、個人ユーザからより多額の身代金を要求できる企業や組織へとシフトしています。最新のランサムウェア攻撃は、従来の国家的なAPT攻撃を模倣したものになっています。高確率で多額の身代金を受けとれるように、サイバー犯罪者は二重、三重、さらには四重の脅迫をします。

単一の脅迫：暗号化　二重の脅迫：窃取情報の暴露　三重の脅迫：DDoS攻撃　四重の脅迫：顧客や利害関係者と直接やり取り

また、組織のネットワーク内で正規のツールを使用することで、データ窃取前の検知を回避する環境寄生型（living off the land）攻撃も増えています。こうした攻撃は、より正当な動きに見せかけるため、通常は業務時間中に行われます。

昨今の傾向として、ランサムウェアの報酬に暗号資産が不可欠になっている点があげられます。暗号資産はその匿名性ゆえ、追跡が困難であり、犯罪者にとっては迅速かつ簡単に報酬を得ることができる方法です。実際、ランサムウェアの被害者が支払った暗号資産の金額は、2019年から2020年にかけて311%と急増しています。このデータから、暗号資産による報酬獲得というランサムウェアの新しい仕組みが成功しつつあることが伺えます。
※Chainalysis The 2021 Crypto Crime Report　2021/2/16
https://go.chainalysis.com/rs/503-FAP-074/images/Chainalysis-Crypto-Crime-2021.pdf

しかし、暗号資産は非常に不安定で、価値が散発的に上下することは明らかです。トレンドマイクロでは、今後、暗号資産の価値の急落に呼応して、ランサムウェア攻撃や暗号資産採掘（不正マイニング）のクリプトマイニング攻撃が増加すると予想しています。暗号資産の価値が下がるほど、より多くの攻撃を行い、利益を生む必要があるからです。さらに重要なことは、暗号資産が下がったタイミングで、攻撃者が買いを入れることができてしまうということです。

動向③ サービスとしての犯罪
（Crime as a Service：CaaS）の拡大
標的型攻撃の増加は、Ransomware as a Service（RaaS）の増加と関係しています。RaaS提供者は、買い手である実際の攻撃者（アフィリエイトと呼ばれる）に、ランサムウェアの攻撃機能を販売、レンタルするサービス提供者です。RaaSは、増加の一途をたどるCaaSの一部であり、CaaSには、このほかにネットワークへのアクセス権を販売するAccess as a Service（AaaS）のサービス提供者も含まれています。

CaaSが増加し、サイバー攻撃は高度に専門化された熟練の攻撃者だけのものではなくなり、攻撃はコモディティ化しました。時間とお金があれば誰でも、攻撃に必要なコンポーネントを購入して、成功確率が高く、多額の報酬が期待できる攻撃を実行することができます。この典型的な例が、2021年のコロニアル・パイプライン社のインシデントです。同社が操業停止に追い込まれたランサムウェア攻撃は、RaaS提供者から攻撃機能を購入したアフィリエイトによるものでした。

後編では、これらのサイバーセキュリティ動向を踏まえた、リスクの軽減策について解説します。