2021年に注目すべき7つのセキュリティ予測
使い古された言い回しですが、2020年は他の年とはまったく異なりました。セキュリティチームが2021年に向けて準備を行う際には、攻撃者がどのように戦略を進化させるかその脅威を予測し、そして私たちはそれにどのように対応すべきかを考え、備えることが重要です。2020年3月、多くの組織は新型コロナウイルスの感染拡大の脅威の中でビジネスの継続性を維持しながら、多くの従業員が一度にリモートワークへ移行するのに対応しなければなりませんでした。しかし、2021年はどうなるのでしょうか?脅威の状況が変化し続ける中で、戦略をどのように変更していけば良いのでしょうか?
以下は、私たちが予測する2021年のトレンドです:
#1:ランサムウェアはOneDriveやSharePointだけでなく、S3やAzureなどのクラウドリポジトリを攻撃に利用する
ランサムウェアは、今でも多くのCISOを悩ませ続けています。サイバー犯罪者にとって実績のある金儲けの手段として、ランサムウェアは発展しています。ランサムウェアを用いた攻撃者は、新しい恐喝の方法を編み出し、暗号化するだけでなく、盗んだ情報を漏えいすると脅して恐喝手段を編み出しました。
一方で、新型コロナウイルスの感染拡大によってクラウドの採用が急速に加速したため、2021年はランサムウェア攻撃もクラウドに向かうと予想されます。現在、多くの企業が機密データのかなりの部分を外部のクラウドベースのリポジトリに格納しています。しかし、これらのデータストアはセキュリティ機能からは見えにくいことが多く、攻撃者が暗号化できないように保護されていない、あるいはバックアップされていないといったことがよくあります。セキュリティの専門家は、2021年にはランサムウェアがこれまでよりもクラウドストレージを狙い、被害を最大化し、レバレッジを高めて利益を増やすと考えています。
#2:マルウェアは、引き続きシステムの脆弱性よりも「人」の脆弱性を利用し、LOLBinを使う
サイバー攻撃の大部分はEメールによって開始され、マルウェアのほぼ100%が侵害の第一歩をユーザーのアクションに頼っています。もちろん攻撃者は他の経路(パッチが適用されていないVPNゲートウェイなど)で侵入できることも理解しています。しかし、セキュリティ担当者の努力の結果、インターネットに接続されるシステムの脆弱性が少なくなっていることが影響し、この経路での侵入は昔よりもはるかに困難になっています。その結果、攻撃者は攻撃をより脆弱な人間に向け、何らかの行動を起こさせてシステムを侵害するという手法をとるようになりました。ワンクリックでマクロを有効にするだけで十分なより簡単な手法があるため、わざわざ最新のOSやブラウザからの侵害を試みる難しい技術を編み出す必要はないのです。
さらに、プルーフポイントでは、攻撃者が侵害後の活動のために「ファイルレスマルウェア」を使い続けると予測しています。攻撃者にしてみれば、マルウェアの検知を回避するための最善の方法は、マルウェアを使用しないことです。その代わりに、攻撃者は引き続き、システムにもともと備わっているバイナリを活用する環境寄生型の攻撃LOLBins(Livingoff the land Binaries)やLOLScripts(Livingoff the land Scripts)を利用してシステムを侵害し、データを盗んだり損傷を及ばせるだろうと予測します。企業は初期の侵害を阻止し、PowerShellなどのツールの使用を可能な限り制限することで、これらのLOLBinの悪用を検知して防止することが重要です。
#3:ビジネスEメール詐欺(BEC)の成長は鈍化するが、サイバー犯罪による損失の最大の原因となり続ける
すでに大きな問題となっているビジネスメール詐欺(BEC)は、さらに悪化するでしょう。毎年数十億ドルの被害が出ているBEC詐欺は、サイバー保険の請求要因の大半を占めており、攻撃を開始するハードルが非常に低いため、攻撃者にとっては魅力的です。その結果攻撃者は、ユーザーアカウントを侵害して正規のユーザーに”なりかわる”という追加の手順を実行することで、「収益の可能性」と成功率を高めるためにさらに努力を惜しまない可能性があります。FBIはすでにサイバー犯罪による損失の大部分がBECによるものと報告しています。また、BECの攻撃者は使用する攻撃ツールを増やして、クラウドアカウントや組織につながるサプライヤーやベンダーなどを侵害し、その正規のアカウントを悪用してさらに本丸へのビジネスメール詐欺を繰り広げるため、それらを阻止することは非常に困難です。
#4:クラウドのアクセス許可やトラストメカニズム(OAuth、SAMLなど)を悪用しMFAを回避するテクニックが増える
多要素認証(MFA)は、エンタープライズシステムへのアクセスを保護するための最良の方法と広く考えられていますが、特効薬ではありません。攻撃者はMFAが主要な障害であることを認識しており、古いプロトコル(最近プルーフポイントの研究者が発見した迂回方法など)の悪用や、新しい攻撃タイプ(OAuthフィッシングなど)によりMFAを完全に回避するメカニズムを構築しました。これはより高度な技術を用いる攻撃者によって、2021年までに特に増加すると予想される傾向です。
#5: オートメーションは追加機能ではなく標準機能になる
セキュリティ人材の不足は数年前から懸念されており、CISOは、十分な人員とスキルを持ったチームの確保と維持に苦労しています。これらセキュリティ部門の機能を継続させるための唯一の方法は、新入社員/異動社員/退職社員のアカウント管理からファイアウォール管理、メトリクスの作成、SOCアラートとトリアージ、DLP調査など、セキュリティ機能の一部を自動化することです。これまでのところ、オートメーションは通常、追加ツールを購入するか、サプライヤーから気軽に導入できる追加機能として提供されてきました。2021年には、自動化がほとんどのエンタープライズセキュリティツールの標準的な「インザボックス」機能となり、多くのCISOにとって、これはすぐに対応してほしいものの一つでしょう。
#6: COVID-19が収束すればセキュリティ予算は元に戻るが、スタッフの配置は今後も課題
(リモートワークやフレキシブルな仕事という選択肢があったとしても・・・)
COVID-19パンデミックの間、多くの組織のリソースは制約を受けています。これにはセキュリティ支出も含まれます。2021年にはこの混乱が「正常」に戻ることを期待すると、これはセキュリティ予算にも反映され、元のレベルに戻ると考えられます。しかし、セキュリティ人材の確保は短期的な問題ではありません。実際、CISO は、成長するチームのためにスタッフを確保するのに苦労し続けることになります。リモートワークや柔軟性の高いポジションを提供することは、あらゆる規模の組織の多くを支援することになりますが、給与の昇給問題は今後も続きます。その結果、多くの小規模で地方の企業では、たとえ完全リモートの多様な人材を採用できたとしても、本当に必要としている質の人材を確保することが難しくなります。
#7: サイバー犯罪者グループ間での協力と相互作用が促進され、攻撃が強化される
サイバー犯罪者が最も利用しているのは、ビジネスメール詐欺(BEC)、Eメールアカウント侵害(EAC)、ランサムウェアの3つです。しかし、BECやEACに特化した攻撃者の多くは、必要なアクセス権を持っているにもかかわらず、ランサムウェアを投下するために最初に侵入する手法として活用されることはありませんでした。同様に、ランサムウェアに特化した攻撃グループは、BECやEAC攻撃をおこなわない傾向があります。
しかし2021年までには、より効果的な攻撃を行い、より高い利益を得るために攻撃者同士が連携を強めると予想されます。例えば、企業がEAC攻撃に悪用され、そのアクセスがその後、ランサムウェアを配信するために別のグループに「売却」されたり、EACグループがスキルアップし、市販のランサムウェアツールを活用し始めたりすることが考えられます。また、より高度なBECやEAC攻撃にも発展することが考えられます。
来年もセキュリティリーダーにとっての課題が続くことは間違いありませんが、仕事に必要な主要なチャネルでユーザーを保護する、「人」を中心としてセキュリティを構築するPeople-Centricのアプローチを活用することが、成功を確実なものにすることにつながります。
来年のセキュリティ施策をたてるにあたり、2020年の脅威を振り返るには、ぜひ「攻撃の最新動向とニューノーマル時代におけるPeople-Centricセキュリティのブループリント」のオンデマンド・ウェビナーをご確認ください。