脅威の状況によって、次に何が起こるかは誰にもわかりません。しかし、私たちは 2023 年を振り返り、注目すべき変化と関係要因の動きを特定し、データに基づいて2024 年にどんな脅威が襲ってくるのかを予想しました。
プルーフポイントの脅威リサーチのリーダーであるダニエル・ブラックフォード(Daniel Blackford)、アレクシス・ドライス-ジョンカス( Alexis Dorais-Joncas)、ランディ パーグマン(Randy Pargman)、リッチ ゴンザレス( Rich Gonzalez)らは、2024 年予測に関してのディスカッションを行いました。サイバー犯罪、APT(Advanced Persistent Threat:高度標的型攻撃グループ)、脅威検出のスペシャリストである彼らと、この1年で学んだこと、そして今後の展望について評議し、工知能(AI)からLOLBin(Living Off the Land Binaries: OSにすでにある機能を用いた攻撃)、脆弱性の悪用からランサムウェアまで、さまざまなトピックに触れました。さまざまな意見が交わされ、その中でも注目に値するテーマがいくつかありました。脅威に完全に予想することはできませんが、1日あたり数百万件のEメールの脅威データに基づき、1年分の攻撃者の活動を振り返ることで、2024年に影響をおよぼす事柄を高い信頼性で予測することができます。
1. 今後も普及し続けるQRコード
2023年はQRコードの年でした。QRコードを用いた攻撃は目新しいものではありませんが、その数はここ1年で急増し、多くの認証情報フィッシング攻撃やマルウェア攻撃のキャンペーンで使用されました。その背景には様々な要因がありますが、製品の説明書からレストランのメニューまで、あらゆるものをQRコードでスキャンすることに人々が慣れてきたことが影響しています。そのため、攻撃者はそれを悪用するのです。プルーフポイントは最近、この脅威に対する防御を強化するため、新しいインラインサンドボックス機能を発表しました。しかし、プルーフポイントの脅威リサーチャーは、QRコードは今のところ、一般のサイバー犯罪者が活用している段階であり、まだ国家を後ろ盾にするAPT攻撃者は本格的にQRコードを利用していないと指摘しています。(ただし、APT攻撃者の中には、彼らの攻撃においてサイバー犯罪ツールを持ち込む者もいるため、彼らがQRコードを利用したフィッシング攻撃を始める可能性もあります)。
2. ゼロデイとNデイの脆弱性を悪用
プルーフポイントの脅威リサーチャーが実施したディスカッションでは、既知の脆弱性と未報告の脆弱性の両方が、攻撃者の活動において創造的に利用されているというテーマが一貫して扱われました。APT攻撃者は、一般公開されたWebメールサーバーを悪用する TA473 から、メールセキュリティ ゲートウェイ アプライアンスのゼロデイを利用し、最終的にユーザーに物理的なハードウェアの取り外しと再インストールを強いるスパイ行為まで、多種多様な脆弱性を悪用していました。2023年春に発生したMOVEitファイルの転送サービスの脆弱性は連鎖的な影響を及ぼし、2023年秋に発表されたScreenConnectの欠陥は、いずれも正式に公表される前に悪用されました。プルーフポイントは、脆弱性の悪用は今後も続くと予測しており、その一因として、防御力の向上により、マクロ化された文書などの旧来の手法があまり役に立たなくなったこと、また、かつてはAPTの領域でしかなかったサイバー犯罪者が、現在では莫大な資金力を利用できるようになったことが挙げられています。プルーフポイントの脅威リサーチャーは、サイバー犯罪の攻撃者が創造性を発揮するのは、防御側が攻撃者に対して攻撃のコストを課していることの表れだと述べています。
3. 継続的な予期せぬ行動の変化
サーバー犯罪の情勢は極めて混沌としています。最も巧妙な攻撃者の戦術、技術、手順(TTP)は変化し続けています。Qbotのような巨大ボットネットの法執行機関によるテイクダウンから、検知機能の向上や自動化された防御に至るまで、攻撃者に課せられるコストにより、攻撃者、特にサイバー犯罪者は、何が最も効果的かを見極めるために定期的に行動を変えることを余儀なくさせています。例えば、最近プルーフポイントは、404 TDSやKeitaro TDSなどのトラフィック配信システム(TDS)、URLショートカット(.url)やSVGファイル(.svg)といった、これまでの攻撃ではあまり観測されなかったユニークなファイルタイプ、複数の新しいマルウェア ローダーや情報窃取ツール、DarkGateのような古いマルウェアが人気の高いペイロードとして再登場するなどの利用が増加していることを確認しています。また、DarkGateのような旧式のマルウェアが人気の高いペイロードとして再登場しています。サイバー犯罪を狙う攻撃者は、防御側の動きにあわせて攻撃行動を変化させるため、2024年にはさらに多くのTTPの実験が行われることが予想されます。
4. 人工知能(AI)
攻撃者は、企業が現在模索しているのと同様の方法で、AIをワークフローに組み込む方法を模索するでしょう。一般的には、AIが作成したフィッシングメールやコンテンツが懸念されていますが、悪意のある言葉、感情、トーン、件名などを検出するツールは、人間と同様にロボットに対しても有効であるため、そのような脅威の影響はごくわずかでしょう。影響が大きいのは、全体的な効率を向上させるためにAIツールを使用するということです。例えば、良性の会話から始まる情報操作や不正行為の拡大、知識のギャップを埋めるためのコーディング アシスタントの使用、悪意のあるコンテンツの迅速な作成などがあります。プルーフポイントでは、当社の脅威調査ツールボックスの中で最も効果的なAIツールの1つに、マルウェアのクラスタリングエンジンであるCamp Discoがあります。プルーフポイントのデータサイエンティストは、Camp Discoのバックボーンとして機能するマルウェアフォレンジック用のカスタム言語モデルを作成しました。
5. コミュニティの共有はコミュニティの防衛
プルーフポイントのEmerging Threatsの最大の魅力の1つは、新しいマルウェア、TTP、インフラ、パケットキャプチャ(PCAP)、フィッシングキットなどに関する情報を共有するコミュニティから得られる素晴らしいサポートです。また、プルーフポイントの脅威解析ブログは、プルーフポイントソリューションの膨大なデータから得られた最新の洞察を共有する手段としても機能しています。脅威の状況が変化し続け、新たな脅威、エクスプロイト、テクニックが出現する中、サイバーセキュリティのコミュニティは、集団で情報を共有し、攻撃者から防御し続けています。2024年には、このコミュニティの考え方がこれまで以上に重要になるでしょう。そしてプルーフポイントもコミュニティの一員として、コミュニティ全体の防御力の向上に貢献したいと思います。