コンプライアンス
「ディープフェイク」による詐欺やサプライチェーン攻撃に警戒:2020年の脅威動向を予測
2019年が脅威の転換期となり、2020年以降のサイバーセキュリティはより一層多面的と予測されます。例えばサイバー犯罪者の動機や手口から、技術の進歩や全世界の脅威インテリジェンスまで、多岐にわたる分野の分析が重要になっていくでしょう。トレンドマイクロでは、当社のセキュリティ専門家によるこうした分析の結果をもとに、2020年のセキュリティ脅威予測を行いました。
今年のインシデント事例などを振り返ってみると、2019年が脅威の転換期となり、2020年は新たな脅威の10年を迎える節目になると考えられます。2020年以降のサイバーセキュリティはより一層多面的となることが予測され、例えばサイバー犯罪者の動機や手口から、技術の進歩や全世界の脅威インテリジェンスまで、多岐にわたる分野の分析が重要になっていくでしょう。 トレンドマイクロでは、当社のセキュリティ専門家によるこうした分析の結果をもとに、2020年のセキュリティ脅威予測を行いました。
1.企業を狙う新たな手口は「ディープフェイク」による詐欺
2019年も引き続き「ビジネスメール詐欺」といった法人組織を狙う詐欺の被害事例が公表されています。2020年以降、サイバー犯罪者は従来の詐欺手口に加えて、「AI(人工知能:Artificial Intelligence)」を使った新たな手口によって、より巧妙に法人組織を騙そうとしてくるでしょう。すでにこの手口による被害は発生しており、海外のエネルギー企業では、AIを使用して企業の経営幹部の音声を模倣するサイバー犯罪者によって、約2,600万円を詐取されたことが報道されています。 今後、巧妙な騙しの手口であるAIを活用した「ディープフェイク」が、企業の従業員や業務手順を欺くために利用されると考えられます。この手口は従来のビジネスメール詐欺などにも導入されることが予測されますが、特に電話・ビデオ会議・メディア出演が多い経営幹部などがなりすましの標的とされるでしょう。
2.外部委託やテレワーク等の促進に伴いサプライチェーン攻撃のリスクが増加
2019年には法人組織が利用するソフトウェアの配信システムが侵害され、それを悪用したサプライチェーン攻撃が報じられました。サイバー犯罪者は2020年も、こうしたサプライチェーンを侵害し、そこを起点に標的組織に侵入するような攻撃を仕掛けてくることが予測されます。 主なリスクとしては2つ想定され、1つ目は「働き方改革」に伴うテレワークの環境です。一般的に、従業員の自宅や公共のワークスペースのネットワーク環境は、法人のIT担当者では管理できない領域があるため、サイバー犯罪者はこうしたテレワーク環境の弱点を狙ってくるでしょう。そして、そこを起点に標的組織への侵入を試みてくることが考えられます。 2つ目は昨今の様々な企業活動がクラウド化やアウトソーシングに依存している現在、特にマネージドサービスプロバイダ(MSP)を侵害して標的企業に侵入する手口が懸念されます。実際に、サイバー犯罪者が米国の歯科医院用のソフトウェアのインフラにランサムウェア攻撃を仕掛け、数百規模の歯科医院のコンピュータに影響が出た事例が報道されています。MSPのように顧客と信頼関係にあるような組織は、サイバー犯罪者にとって一度侵害できれば、そこを起点に顧客である標的組織への侵入や影響を与えることが容易となります。今後、こうしたMSPを狙うサプライチェーン攻撃には警戒が必要です。
3.クラウド移行やコンテナ利用の増加で高まる設定ミスと脆弱性のリスク
現在多くの法人組織で、クラウドへのシフトやコンテナ技術の活用が進んでいます。その一方で、ユーザの設定ミスやクラウド・コンテナ環境で稼働するアプリケーションの脆弱性に起因する情報漏えいやマルウェア感染といった被害を受ける法人組織が増加するでしょう。 また今後クラウド環境では、既定のサーバ要件を気にすることなく、稼働に必要なリソースを動的に利用できる「サーバレス環境」の活用が進むと見られます。しかし、サーバレス環境でも、古いライブラリを包含している脆弱性やユーザの設定ミスなど、ユーザ側で検討しなければならないセキュリティは存在します。サーバレスの活用が進むことで、開発・運用のプロセス上にセキュリティ担当者が介在せず、アプリケーション開発者のみで完結してしまうケースが多くなると考えられます。このような環境下で、セキュリティレベルを維持するには、セキュリティチェックを自動で行い、リスクの発見に気づけるような体制が重要となるでしょう。
4.法人のセキュリティ対策の鍵となる「MITRE ATT&CK」と脅威インテリジェンス
攻撃者の手法や戦術の分析をもとに作られたフレームワーク「MITRE ATT&CK」は、今後セキュリティの評価に関して業界レベルで総合的な枠組みを提供していくことになります。これからは多くの法人組織が、MITRE ATT&CKのフレームワークによって、脅威モデル、セキュリティ製品、組織リスクなどを評価することになるでしょう。 また、法人組織では脅威インテリジェンスがこれまで以上に重要となってきます。サイバー犯罪者の攻撃はより綿密に計画され、広範囲への影響を意図し、さらに多様な戦術が駆使されることが予測されます。こういった攻撃に対してプロアクティブに対応していくためには、脅威インテリジェンスを用いた相関関係の分析や総合的な視点が重要であり、Security Operation Center(SOC)の分析チームのようなセキュリティ専門家の役割も、これからはより一層重要になってくるでしょう。 その他、トレンドマイクロが予測する2020年の脅威動向の詳細は以下のレポートをご一読ください。
