ウェブルートでは、お客様を最新の脅威から守るため、サイバーセキュリティの最新動向に基く対策を行っています。年末に向けて、ウェブルートのセキュリティ専門家が挙げる 2019 年のサイバーセキュリティ動向予測の中から、注目すべき項目をまとめました。来年は、どのような脅威や変化に備えるべきでしょうか。
日本国内の無料Wi-fiの需要増加
「日本国内では携帯キャリア大手3社が利用料金の値下げを発表しており、今後通信料の値下げにより、新規契約台数が増えると考えられます。また、2019年にはラグビーワールドカップ、2020年東京オリンピック・パラリンピックなど世界最大級のスポーツイベント、さらに2025年には大阪万博が開催されるため、無料Wi-Fiの需要は増加すると考えられ、利用者情報を守る安全な無料Wi-Fiが求められます。」
ウェブルート日本法人、池田憲司
ラグビーワールドカップ、2020オリンピック・パラリンピック、さらに2025年大阪万博開催など、日本は海外から、もしくは国内からの来場者に向けて、サービスや設備の増設を考えなければなりません。その中には、会場だけではなく、町や都市インフラとしての安全な無料Wi-Fiの提供は最も重要な課題と言えます。以前のソチやリオで行われたオリンピック大会では、公共無料Wi-Fiアクセスポイントのなりすましや無料Wi-Fiネットワークに接続したデバイスがハッキングされるといったニュースが続出していました。これらに対して日本政府は、無料Wi-Fiアクセスポイントの設置やネットワーク上のユーザー情報漏洩の防止策を強化することが今後の重要課題であることを認識しなければなりません。
GDPR(EU 一般データ保護規則) の罰則
「米国を拠点とする大手テクノロジー企業がGDPRの罰則により大きな打撃を受けるでしょう」–
ウェブルート、アソシエイト顧問弁護士、Megan Shields
GDPR(EU 一般データ保護規則) が2018年 5 月より欧州において適用が開始され、義務となったプライバシー保護を実施しようと多くの企業が慌てふためきました。データ保護監督機関 (GDPR コンプライアンスを監督する統括組織) も、こうした事態を見込んで、ビジネスが新しい規則に対応する時間を与えたように思われましたが、その期限はもう過ぎたようです。欧州データ保護の監督者である Giovanni Buttarelli 氏は、10 月にロイターとのインタビューで、近い内に制裁金や業務停止などの罰則を適用されるだろうと述べています。GDPR のプライバシー保護責任は今や、何百万人、何億人のユーザーを抱える大企業から中小企業まであらゆるテクノロジー企業の義務としてのしかかっており、コンプライアンス違反時には多額の制裁金が科される可能性があります。
GDPR 違反の制裁金の額は各事例の詳細によりますが、最高で全世界での年間売上高の 4%、または 2,000 万ユーロのどちらか高い方が科されます。たとえば、30 億人のユーザーに影響を与えた 2013 年の Yahoo の不正アクセス事件当時に GDPR が適用されていたと仮定すると、8,000 万ドルから 1 億 6,000 万ドルの罰金を課されていた可能性があります。また Buttarelli 氏は、データ保護監督機関の裁量で、個人データの取り扱いを禁止する可能性についても言及しており、この禁止事項の適用を受けると、企業が EU 内でのデータフローが事実上差し止められることになります。
AI による破壊的イノベーション
「AI の導入が進むと、社会的知能や創造力をあまり必要としない職業がどんどん自動化されていきます。同時に、ソーシャル エンジニアリング攻撃もますます高度化していくことでしょう」
ウェブルート、製品戦略担当シニア ディレクター、Paul Barnes
第 4 次産業革命が到来し、市場もその影響を感じ始めています。機械学習アルゴリズムや AI 応用プログラムは、すでにトップ業界に浸透し、破壊的イノベーションを引き起こしています。世界大手の金融機関でも、業務のさまざまな側面に AI が取り入れられています。こうしたプログラムの多くは、自然言語処理を使用しており、顧客対応業務にも導入しやすく、生産性の向上を推進しています。
リスク面では、新しい音声操作技術やフェイス マッピング技術をその他のAI技術と組み合わせたソーシャル エンジニアリングが新しく編み出されており、政治運動ばかりか政策立案者までも直接狙ったスピア型フィッシング攻撃に使用される可能性が出てきています。
ランサムウェアは下火になり、クリプトジャッキングが増加
「不特定多数を狙ったランサムウェア攻撃は減少傾向です。ランサムウェアはなくなりませんが、ランサムウェアのような動作に対するエンドポイント ソリューションの防御が効果的になってきているため、マルウェア開発者は、よりターゲットを絞り込んだ攻撃か、より気付かれにくい暗号通貨マイニングの手口に手法を変えることでしょう」
ウェブルート脅威研究主任アナリスト Eric Klonowski
ランサムウェアが完全に消滅する可能性は低いものの、減少傾向にあることは間違いありません。暗号通貨の普及、そしてクリプトマイニングに必要な大量の計算処理能力への圧倒的な需要が主な原因です。ランサムウェアに比べてリスクの低い代替手段としてハッカーたちがこれに飛び付き、クリプトジャッキングの出現につながりました。
今やあちこちで頻出しているクリプトジャッキングは、無防備なシステムにソフトウェアを注入し、その潜在的な処理能力を使って暗号通貨を採掘するという手口です。リソースを盗むというこの手口では、システムの処理速度は低下するものの、ユーザーに気付かれない程度であることがほとんどです。最近では、ヨーロッパの水道システムのネットワーク上でクリプトマイニングが行われていたことが発覚し、重要なシステムを襲うクリプトジャッキングがもたらす深刻な影響が浮き彫りになりました。検出された攻撃が 2018 年上半期だけで 141% 増加していることからも、この傾向は 2019 年に入っても続く見込みです。
ターゲットを絞った攻撃
「よりターゲットを絞った攻撃が増えるでしょう。2018 年は、ランサムウェアの勢いが、クリプトマイニング攻撃やバンキング型トロイの木馬に押され、ある程度衰退しました。Dridex グループに見られるように、よりターゲットを絞った、計算高い手口で被害者を陥れる攻撃が増え続けるでしょう。クリプトジャッキングとランサムウェアのどちらが優勢になるかは、暗号通貨 (一番有名なところでビットコイン) の価格によりますが、稼ぎのよい仕組みを考えると、クリプトマイニングが使われ続けることになるのではないでしょうか」
ウェブルート高度脅威研究アナリスト Jason Davison
サイバー犯罪の中でもクリプトジャッキングばかりが話題に上る一方、計算高く、高度にターゲットを絞ったランサムウェアもニュースになっています。今やサイバー犯罪者たちは、バックドア アクセスを使って事前にシステムを調査し、攻撃を検出するために配備されている特定のアンチウイルス アプリケーションに見つからないように暗号化したランサムウェアを使うようになっています。
こうしたターゲットを絞った攻撃(標的型攻撃)の格好の標的となるのが、幅広い人口からの機密データを大量に扱う政府機関や医療システムです。こうした攻撃は通常、身代金の額をはるかに上回る被害を引き起こします。米国ジョージア州のアトランタ市は現在、1,700 万ドルの被害額の対応に追われています。51,000 ドルをビットコインで支払うようにという犯人の要求を、市が拒否したのです。
民間企業も標的にならないわけではありません。とあるビール醸造所を狙った最近の Dharma Bip ランサムウェア攻撃では、犯人が同社の求人広告を国際的な求人サイトに掲載し、威力の高いランサムウェア ペイロードを埋め込んだ履歴書の添付ファイルを送信するという手口が使われました。
ゼロデイ脆弱性
「脆弱性を狙った攻撃にかかるコストがここ 10 年間で劇的に高騰したため、ゼロデイ攻撃による被害件数 (またそれに関連する個人データの漏洩) は減り続けるでしょう。もちろん犯罪者たちは、最も価値の高いターゲットに使おうとこの手口を温存していますが、Shadow Brokers のような事態はなくなるでしょう。数々の漏洩は、こうしたユーティリティ (またはおそらくそれらが残されている場所) へのアクセスについて、内部に緊急の注意を促したのではないでしょうか」
ウェブルート脅威研究主任アナリスト Eric Klonowski
ゼロデイ攻撃を効果的に行うためのコストは上昇しており、そうした攻撃に対する需要も今まで以上に高くなっていますが、ウェブルートでは、大きな話題になるような不正アクセスは減少すると予想しています。大規模なソフトウェア システムの防御力が高まるとともに、価値の高いソフトウェアの脆弱性を特定するために必要な専門知識の量も増えています。脆弱性発見コミュニティ「Zero Day Initiative (ZDI)」などの組織がこうした脆弱性をハッカーから守る取り組みを進め、政府機関や情報機関もサイバー戦争に備えてセキュリティ脆弱性に関する情報を蓄積させており、来年はゼロデイ攻撃が少なくなる可能性が高いでしょう。
しかし、ゼロデイ脆弱性が最初に発見されてから一般に公開されるまで、平均で 6.9 年かかっていることを考慮すると、単にまだ発表されていないだけであるという可能性も否めません。
脅威から身を守るためには、何よりも、サイバーセキュリティ問題が発生すると同時に最新情報を入手できるよう、常に注意を払うことが重要といえます。
本記事は2018年11月27日更新の米Webroot Blogの和訳です。
原文: What’s Next? Webroot’s 2019 Cybersecurity Predictions
Recent Comments