2017年、攻撃者は引き続き人間性につけ込み、マルウェアをインストールや送金をさせ、情報を盗みに出るでしょう。人々を標的にする三大侵入経路、メール、ソーシャルメディア、そしてモバイルアプリ全体で、技術や行動に大幅に変更を加えてきます。
高度な脅威の量は下り坂になる見込み
2016年は毎週のように、Lockyランサムウェアを配信するメールキャンペーンの新しくて前代未聞の極端な例が見られました。 こういったキャンペーンは全世界で何億もの潜在的な被害者を標的にし、配信率が低くとも、何千ものメッセージが確実に標的に届くようにしています。 しかし、セキュリティベンダーとリサーチャーが新しい技術やペイロードを監視して分析するという攻撃者のリスクも増しています。 そのようなキャンペーンを隠すための非常に高度なフィルタリング技術がどんどん組み込まれるにもかかわらず、エクスプロイトキットアクターも、規模が大きければ、利益と同じだけ多くのリスクを抱えることをわかっていました。
2017年には、小さいものが、新しい大きなものになると弊社は予測しています。非常に洗練された脅威攻撃者は小規模で、標的をもっと絞ったキャンペーンに戻り、マルウェアペイロードを配信するでしょう。 大量のメールキャンペーンは継続されると思われますが、すぐに使えるランサムウェアの変種を配信する圧縮された実行ファイル(JavaScriptなど)のような「便利な」ペイロードになるでしょう。一方で小規模で標的をもっと絞ったキャンペーンは数も複雑さも増すと思われます。 エクスプロイトキットはその近年のトレンドとなっているように、小規模な動作から地域特定型への移行を続け、リサーチャーやベンダーから監視されにくい活動ができる地域に焦点を当てるでしょう。
悪意のあるマクロがとうとう勢力を失う
昨年、弊社は2015年に行われた大量の悪意のあるマクロキャンペーンは2016年半ばまでに消失するだろうと予測しました。 この予測が広い意味で当たり、6月のNecursボットネットの停止状態に続いて起きた大規模なキャンペーンの頃までには、JavaScriptや、Lockyや他の圧縮実行ファイルの添付キャンペーン(Dridexアクターの支援による)は、大部分が悪意のあるマクロを含む添付ドキュメントに取って代わられていました。 しかし、悪意のあるマクロは依然として、小規模でもっと集中したキャンペーンで広く使用され、Dridex、Ursnif、Vawtrakといったバンク型トロイの木馬、また2016年後半には、キーロガーやRATからダウンローダーや情報を盗むスティーラーまで、様々な種類のその他のペイロードを配信しました。 マルウェアサンドボックス回避の継続的なイノベーションにより、このようなマクロ攻撃が新たに活動しするようになりましたが、2017年の4月までにはこれらの方策は、このようなキャンペーンでROIを生成する有効度を推進するに十分ではなくなるであろうと弊社は予測しています。 圧縮されたJavaScript(js、wsf、hta、vbs)攻撃は継続されると思われますが、圧縮された実行ファイルと同程度の低価値の範囲を占めることになるでしょう。 同時に、サイバー犯罪者はスピアフィッシングキャンペーンの自動化を改良し、規模を大きくした「個別」のキャンペーンに拡大し、メッセージの信憑性を高めるために、身元を確認できる個人の詳細をさらに追加しています。 エクスプロイト駆動型のドキュメント攻撃は再び突出することなさそうです(次のセクションをご覧ください)。替わりに攻撃者は、さらに猛烈にソーシャルエンジニアリングを感染チェーンの中心として焦点を置いています。ドキュメントに組み込まれた実行ファイルをユーザーがクリックするように促し、また添付ファイルとして配信された合法なアプリケーションや、合法なホスティングサービスおよびファイル共有サービスへのリンクとして見せかけたり、見慣れたWindowsユーザー体験の一部に見せかけたりして、悪意のあるペイロードをインストールするようにユーザーを騙して行います。
エクスプロイトキットは「ヒューマンキット」に道を譲るか
名前がニュアンスを示すように、エクスプロイトキットは、確実に効果的なセキュリティの弱点(エクスプロイト)の有効性を備えており、被害者になる見込みがある者のコンピュータを標的にできます。 この観点で言うと、開示された脆弱性と、それを標的にしたあらわになったエクスプロイトというさらに重要な部分のどちらの合計数でも、過去数年で着実な減少が見られたため、このサイバー犯罪者のツールキットのビジネスモデルにリスクがあることを表しています。 新しいセキュリティ上の弱点となる脆弱性が段々不足し、また組織とユーザーが一貫性をもってパッチを適用しており、ブラウザとオペレーティングシステムではセキュリティの向上が見られ、攻撃者が複数のセキュリティ上の弱点を連鎖しなければならない必要性が生じ、2016年中のエクスプロイトキットの状況崩壊は、脅威アクターがエクスプロイト型攻撃の新しい現実を認識した中の一部として見られます。事実上でセキュリティの弱点となる寿命は短くなっており、マルウェアを配信する媒体として信頼が落ちてきているという点です。 悪意のあるマクロがついた添付ドキュメントの形のソーシャルエンジニアリング型の攻撃の大半が、PDFやOfficeドキュメントによるエクスプロイト駆動の攻撃に取って代わられた時点で、2015年にはメールの状況で類似した状況を弊社は既に見ています。
2017年、エクスプロイトキットはだんだんとソーシャルエンジニアリングに焦点を合わせて、同様の進化を取るであろうと予測されます。EKやマルバタイジングを使用するものも含め、洗練されたグループがエクスプロイトへのフォーカスを減らし、人間性を欺くことに努力を費やすでしょう。 エクスプロイトキットはユーザーを騙してマシンを感染させるための技術の拡張ツールセットを伴う「ヒューマンキット」になるでしょう。悪意のあるペイロード、マルバタイジングやクリックベイトを餌に釣られたユーザー、また2016年中にも見られた「個別」のメールキャンメーンで検知されたようなもっともらしい個人宛のメールが感染の原因となります。 同時に、エクスプロイトキットは消えることはありませんが、替わりに、パッチの適用が従来から遅く、リサーチャーの監視がそれほど激しくない地域のクライアントを標的にして、焦点をもっと絞ってくるでしょう。 新しいEKアクターは、開示されているものやゼロデイを問わず、使える脆弱性の中でも価値が最も高いもの引きだす機能をもって、なお市場に入ってくるでしょう。
BECは進化し続け、大損害は続く
2015年半ばから、ビジネスメール詐欺(BEC)が組織に対する主要な脅威となり、最近の推定によると30億ドル以上の被害額になっています。 ビジネスプロセスおよび規模の大きな組織の財務管理が向上しているため、非常に規模の大きいBECの被害の個人的なケースは減っているものの、BEC全体の損害は増えるでしょう。 企業では、送金プロセスの制御を確立することで、ビジネスプロセスが変わり、2015年と2016年にあった目を見張るほどの個人損害はほぼなくなるでしょう。 残念ながら、こういった変化は全世界共通ではありません。北アメリカやヨーロッパの主要なビジネス環境以外では、こういった移行を実行する個人ならば可能なこととなります。 制御を向上して整備している地域では、中小ビジネスはこのような攻撃の影響を依然として受けやすく、総体的な損害負担の増加を見られます。 さらに、弊社は2016年初めに目立った「W2 request」キャンペーンに類似したBEC攻撃の時期的な変種を引き続き検知していますが、これらは比較的頻度は低いままです。
アングラーのフィッシングが完全自動化に
昨年、アングラーのフィッシングが、標的の広がり、またそれが使用するソーシャルエンジニアリング技術の深さともに成長しました。 しかしこういった攻撃はエクスプロイトやフィッシングツールキットに共通して見られるような自動化のレベルには達していません。2016年、コピー&ペーストのエラーや、文法やスペルのミス、メッセージに使われた間違ったブランド名、その他、人間が手作業で行っている印となる共通する間違いが未だに見受けられます。 2017年は、攻撃者は自動化と、攻撃技術を向上させるために自然言語処理(NLP)の簡単なレベルを実装してくると弊社は予測しています。 自動化が増えることで、攻撃者が標的をブランドに拡張し、各キャンペーンでメッセージを送れる被害者の数を拡大してくることを、弊社は監視する必要があります。 攻撃者は常に製品ローンチに気付く能力を示しており、ソーシャルサポートチャネルにたくさんのコミュニケーションが予想される時に彼らのキャンペーンをローンチできます。拡張可能なリソースが多いことから、弊社はこれが2017年には増えると予測しています。
ソーシャルメディアを介した攻撃のペースは増え続け、新しいフロンティアを開拓
ソーシャルメディアの過度な成長により、ソーシャルメディアプラットフォームに見られる攻撃の同様な急速成長に、同時進行するソーシャルメディアを侵入経路として使用する攻撃の進化も伴って、新しい道を切り開いています。 ソーシャルメディア上の攻撃はかなり高い率のROIを提供するため、弊社は攻撃の成長率が2017年には高まることを予想しています。 特に、2017年に弊社が予測していること:
- ソーシャル詐欺とフィッシングにおける対前年比100%以上の成長
- ソーシャルメディアスパムにおける対前年比500%以上の成長
- 詐欺行為と偽造ソーシャルアカウントを使用した偽造行為の著しい増加
- ソーシャルメディアアカウント、偽造モバイルアプリ、不正ウェブサイト、なりすましメールを使用する統合的な詐欺技術の著しい増加
2017年に特に照準となっているソーシャルメディアプラットフォームのひとつはSnapchatです。 Snapchatは今話題沸騰のソーシャルネットワークやコミュニケーションのプラットフォームのひとつですが、まだ今のところは攻撃者は主要な攻撃を継続してこのプラットフォームに実装していません。 2017年には、メジャーなキャンペーンの数が大きな成功を収めるか、あるいは、概念実証(POC)コードが使えるようになり、プラットフォームの大きなセキュリティの脆弱性が見つかるだろうと予測しています。
加えて、ソーシャルな支払いプラットフォームがおそらく、2017年には持続的な攻撃に遭うでしょう。 現在のソーシャルメディアプラットフォームがどんどん高度になるにつれ、その多く(Facebook、Wechat、Line、他)は支払いサービスをローンチしています。 このようなサービスは、それらのプラットフォームのエコシステムの機能が充実してくるほど、取引の数も増加しています。 2017年には、このエコシステムの強化と取引量が、ハッカーの気を引き、脆弱性の面でも、ソーシャルエンジニアリングの観点でも、支払いプラットフォームは標的型攻撃になりやすくなるでしょう。
モバイルの脅威: ランプの精がやってくる
2016年はモバイル脅威の状況における分岐点の年となりました。人気アプリの悪意のあるコピー版のリスクや、認可のないアプリを配信するサイドローディングの使用の増加、またモバイルデバイスの標的型攻撃ツールの手に入りやすさが連動して、モバイルデバイスやそれを使う人間はPCと同じように攻撃に対して脆弱だという延々と続く疑念を取り払いました。こういったリスクは未だによく理解されていないため、もっと疑念は薄らいでいるでしょう。 2017年には、Pegasusモバイルデバイス攻撃キットと付属する「Trident」脆弱性のようなゼロデイ攻撃は、反対制派を標的にするを国家支援型のアクターに限られなくなり、会社や個人に影響するようになるでしょう。 これらやその他のツールを利用して、サイバー犯罪者はどんどんSMSやiMessageシステムを使って悪意のあるURLやゼロデイ攻撃すら配信してくるでしょう。 これらは、銀行アカウントパスワードやデビットカードのフィッシングなど、従業員や経営側への攻撃も含め、広範囲にわたるようになり、また標的化を増すでしょう。 同時に、悪意のあるリスクの高いアプリのカテゴリは拡張されて詐欺アプリを含むようになり、ユーザーは社交上、意図された会社からではないアプリをインストールするように操作されてしまいます。 こういったアプリはモバイルデバイスを感染するように設計されているか、単純に合法的な会社のブランドを使ってユーザーを騙して不正なクレジットカード購買を行わせたり、不正な広告をクリックさせたりして利益を得るために設計されています。
国家が支援する攻撃は増加し、ハッキングとデータ漏洩を越えて拡張
新しいアメリカ大統領政権により、取引から防衛まで、様々なエリアのアメリカの政策の分野に数多くの未知の部分がもたらされています。 次回のフランスの選挙や、他のヨーロッパ諸国の選挙も、似たようなレベルの不確実性をもたらす可能性があります。 その結果、2017年は、国家支援型のサイバー攻撃と、特に、様々な国からアメリカ政府の各所を標的とする複雑なステルス侵入(APTともいう)が、比較的静かな中国の国家支援を受けたアクターによる新しいアクションも含め、再開することを弊社は予測しています。 11月9日に報告されたキャンペーンが示しているように、メールは引き続き第一の侵入経路としてデータにアクセスしそうな個人や組織を標的にします。これは、外国は新しいアメリカやヨーロッパ政権の外交上また取引交渉の政策や計画を理解し、予測するために役立つでしょう。 さらに、国家支援型のサイバー攻撃の性質は、機密情報の盗用や業界のスパイ行為を越えてかなり拡大します。 ドキシング、データ盗用、気まずい状況になる内容の開示、既に数カ国で提示された偽情報の効果を使って、サイバー攻撃を使用して情報を盗むよう仕掛ける政府が増えるようになり、ソーシャルメディアやニュースアウトレットを活用して国家の不和や混乱を起こし、互いの関心の発展を妨げる可能性を帯びています。 ソーシャルメディアの分野では、国家支援型のネタが使われ反体制や批評の標的にしており、中央および東ヨーロッパではある実践が既にきちんと記録され、アメリカでの選挙前の数ヶ月間にアメリカでもその証拠が見られています。 2017年は、これがもっと広く採用され、もっと積極的に様々な国家アクターが公開討論や政策に影響を与えるために行うと見られます。