2019年のサイバーセキュリティ環境予測

本ブログは、英語版ブログ「https://www.proofpoint.com/us/threat-insight/post/cybersecurity-predictions-2019」の翻訳です。

概要

Proofpointでは毎年、脅威環境に影響を与える可能性があるトレンドやイベントについての予測を発表しています。2019年は、暗号通貨市場の暴落によって攻撃者による金銭の移動（そして盗難の）方法が変わるでしょう。また、電子メール詐欺の手法がIDの偽装から盗まれたIDの利用に移行することで、攻撃がより効率的になると共に、脅威の検出が困難になると考えられます。さらに、攻撃者は正規のインフラストラクチャの不正利用を加速し、法規制と防御技術が新しい機能やターゲットへの対応に追われる中、国家が支援するアクターは活動を活発化させるでしょう。ソーシャルメディアによる脅威とコンプライアンスリスクが増大し、脅威アクター（攻撃者）はフィルタリングとターゲティングの能力を向上させ、深く潜行して攻撃を行い、収益を増やすでしょう。

攻撃者は量よりも質に重点を置くようになる

2016年と2017年の脅威環境の特徴は、悪意を持った大規模な電子メール攻撃でしたが、そのうち最大のものは一握りの有力なアクターによるものでした。それとは対照的に、2018年は最大規模のLockyランサムウェア攻撃を行ったアクターがその直後に中規模のリモートアクセス型トロイの木馬（RAT）攻撃を行うなど、攻撃が細分化し、さまざまなダウンローダー、バンキング型トロイの木馬あるいはInfoStealerがランサムウェアにとって代わりました。脅威アクターは、長期間にわたって収益をもたらす可能性のある「高品質の感染」に注力しはじめたため、規模を求めるゲームはほぼ終わりました。

「高品質の感染」（セキュリティベンダーや研究者に気づかれることなく、特定のマルウェア要件に合致した地域のみに感染する）を実現するためには、フィルタリング技術および防御を回避する技術の向上が必要です。Proofpointは、2019年にはURL攻撃および中間マルウェアを経由した攻撃において、より効果的で広範囲なフィルタリングが増えると予測しています。2018年に観測されたsLoadなどの洗練されたマルウェアやSocGholishのような感染チェーン、サンドボックスや研究用ソフトウェアの有無、地域、言語、タイムゾーンその他の属性に基づいたフィルタリングも引き続き利用されるでしょう。

ソーシャルエンジニアリングとクレデンシャルフィッシングがマルウェア攻撃を上回る

2019年には、スマートフィルタリングと巧妙なソーシャルエンジニアリングの組み合わせにより、マルウェア攻撃における感染の質と有効性が向上するでしょう。さらにProofpointは、マルウェア攻撃を上回る規模でソーシャルエンジニアリングとクレデンシャルフィッシングが引き続き増加すると予想しています。クレデンシャルフィッシングの成功によって、侵害されたアカウントの供給が増え、それらを悪用した攻撃が増加することが見込まれます。これは、2018年にすでに観察されているトレンドです。

同時に、攻撃者はMicrosoft OneDriveやGoogle Driveなどの正規のインフラストラクチャの不正利用を拡大するでしょう。正規のドメインを使ったリンクはソーシャルエンジニアリングの信頼性を向上させるだけでなく、正規のサービスを利用することで防御システムが攻撃を検出することが難しくなります。

Windowsセキュリティメカニズムの抜け穴を見つけ、悪意のある添付ファイル攻撃で.wizや.pubのような新しいファイル形式を試すことで、脅威アクターはウイルス対策ソフトウェアの監視網をかいくぐることができ、これは2018年も成果をあげました。防御システムを回避する手段としての現時点での有効性を考えると、この傾向は続くと予想されます。

規制の影響が全業種に波及する

GDPR施行後のWHOIS*¹データが益々不足し、その意図しない結果として、2019年はドメインの不正利用が増加するでしょう。データの不足は、ドメインに関連する悪意のある活動や組織的なサイバースクワッティング^*2を識別するのが難しくなることを意味します。その結果、ブランドの所有者は自らの商標権を守り、サイバースクワッティングに対抗するための新しいツールとテクニックを必要とするでしょう。取得に制限の無いトップレベルドメイン（TLD）の供給は増え続けており、テクノロジーと防御プロトコルが法規制とビジネスニーズへの対応に追われる中で、ドメインレベルでのブランドのなりすましがより一般的になると予想されます。

*1 WHOISとは、IPアドレスやドメイン名の登録者などに関する情報を、インターネットユーザーが誰でも参照できるサービス。

*2 企業名、商標、有名人の名前などのドメインを転売目的で登録・保有すること。

しかし、ソーシャルメディアがビジネスコミュニケーションおよびマーケティングのためのツールとして成熟するにつれて、特に金融業界において、新たな法規制は監視およびコンプライアンスソリューションへの投資を加速させるでしょう。一例を挙げると、企業はソーシャルメディアにおけるFINRA^*3違反についてますます神経を尖らせており、2019年には法規制に対応するためにポリシーとテクノロジーの両方の面で対応を進めるでしょう。

*3 Financial Industry Regulatory Authorityの略。米国における金融取引業の自主規制機関。

メール詐欺は多様化し、より洗練されたツールを使用して、より多くのお金がBECアクターに流れ込む

2018年を通じて、ビジネスメール詐欺（BEC）を含むメール詐欺が拡大し、アクターは様々な試みによりテクノロジーを洗練させてきました。メール詐欺のアクターがターゲットを拡大し、その有効性を向上させれば、2019年はこれらの努力の成果を得るでしょう。

特に重要なのは、メール詐欺アクターがIDの偽装（なりすまし）から、侵害されたIDの悪用に移行するだろうということです。BEC攻撃が正規の内部アカウントを使って行われれば、外部タグ付けやDMARCなどの防御策を回避することができます。攻撃者は攻撃を仕掛け、データ侵害によってクレデンシャルを取得し、ブルートフォース攻撃*⁴を行い、クレデンシャルを盗むマルウェアなどによって、侵害されたアカウントの利用を加速するでしょう。

*4 ユーザーのアカウント・パスワードを解読するため、考えられる全てのパターンを試す方法。総当たり攻撃とも呼ばれる。

その一方で、洗練とは無縁と考えられていたナイジェリアのBECアクターが、総額5億ドル近い資金を集めました。これらの資金の少なくとも一部は、より洗練されたツールやテクニックの開発に再投資され、豊富な資金を持つ大規模な犯罪者集団による脅威を増大させるでしょう。ナイジェリア国内外の脅威アクターが2019年にその資金を狙ってメール詐欺市場に参入し、問題の大規模化とBECへのアプローチの多様化が進むでしょう。

Proofpointは長期間にわたってBEC型攻撃の対象となりやすい、複雑なサプライチェーンを持つ業界を観察してきましたが、2019年にはサプライチェーンの脆弱性の悪用がより一般的になるでしょう。より多くの企業が侵害され、サイバー犯罪者が洗練されることで、企業の信頼できるパートナーと主要な外部のステークホルダーをシステマチックに特定することが大規模に行えるようになります。脅威アクターが組織の信頼の輪（Circle of Trust）を理解することで、信頼関係にある外部IDの脆弱性を利用できるようになり、これらのチャネルを通じてより多くのBECメールとマルウェアを送信することが可能になります。

国家が支援する公然とした活動が秘密の作戦に取って代わる

国家が支援するアクターやAPTグループは、ハイプロファイルな攻撃における自らの活動を隠さなく
なっています。2019年には、これらのグループによる攻撃は拡大し続け、国家が支援するアクターは、世界中の不確実な政治情勢の中で公然と活動するでしょう。ヨーロッパ、アジア、北米での地政学的な力関係（ダイナミクス）の変化が、脅威アクターとそれを支援する国家の目的に応じて、民間部門と公共部門の両方で、インフラストラクチャ、コンピュータシステム、データストアなどへの攻撃の激化に繋がるでしょう。

2019年は「ユーザーリスク分析」の年になる

IT組織は、重要なシステムとデータを確実に保護するために、長年にわたってリスク分析を行ってきました。そして私たちは今、それと似た、より洗練されたアプローチを「人」に対して適用するためのデータと分析能力を手に入れました。2019年、組織はターゲットにされる頻度と程度、役割、アクセス、そして露出の程度に基づいて、最も危険にさらされている従業員を特定するために、攻撃者がユーザーをどのように見ているかという「攻撃者の視点」を重視するようになるでしょう。この「人を中心とした視点」により、組織はこれらのユーザーに適切なレベルの保護と緩和策を適用し、最も必要とされる部分にリソースを割り当てることができます。

暗号通貨の混乱はマイナーとランサムウェアへの回帰を生む

2018年は暗号通貨にとっては不運な年でしたが、多くのアナリストは、これが暗号通貨市場に最終的な安定性と持続性をもたらすための大きな混乱の始まりにすぎないと考えています。Bitcoinの価値は下がり続けており、悪質なコインマイニングに関連したネットワークアクティビティも引き続き観測されていますが、暗号通貨が長期的には存続して行くであろうという兆候が見られます。2019年には、これらの通貨の成熟、関連市場の安定化、規制の枠組みの導入、不安定な通貨の市場からの撤退により、独立型のコインマイナーとランサムウェアに回帰するでしょう。

多くのバンキング型トロイの木馬やInfoStealerには、コインマイニングのためのモジュールとウォレットを盗む機能が備わっています。CoinHiveおよび他のWebベースのコインマイナーは、今でもその運用者のために「無料のお金」を稼いでいます。しかし2019年には、暗号通貨関連の活動は劇的に増加するでしょう。これには、犠牲者からBitcoinによって盗むよう普通に設計されたマルウェアのほうが優れた経済性を持つことによる、大規模なランサムウェアの再導入が含まれます。ただし、2016年から2017年にかけてランサムウェアで見られたように、単一のマルウェアファミリが優勢になることはないでしょう。おそらく、バンキング型トロイの木馬がトップにとどまり続け、その中で多くの亜種やファミリーが暗号通貨に関連する機能を追加するでしょう。

結論

2018年にはマルウェア配布、メール詐欺テクニック、ソーシャルメディア防御などに影響を与える脅威環境が急速に変化しましたが、2019年にはさらに大きな変化が見込まれます。GDPR、暗号通貨市場の混乱、そして世界的な政治情勢などはすべて、攻撃者が人々や組織を狙う方法やあらゆる業界の防御戦略の構築において重要な役割を果たすでしょう。