“Top Cybersecurity Trend Predictions for 2024: BeyondTrust Edition” October 30, 2023 by Morey J. Haber、Christopher Hills、James Maudeより
2023年の最終コーナーを曲がる今、この1年間に形成されたサイバーセキュリティのトレンドを検証し、今後のトレンドに向けた計画を開始する時期が来ています。毎年恒例のサイバーセキュリティ・トレンド予測の今回は、2024年の主な予測を共有するとともに、今後5年間で定着すると予想できる、新たなトレンドを垣間見てみます。
まず最初に、現在私たちがどの地点に位置しているかを簡単に考えてみましょう。人工知能(AI)は2023年に本格的に到来しました。特に、生成型AIはChatGPTが世界(および職場)に嵐のように押し寄せて一大フィーバーを巻き起こしました。ビジネスの運営の多様な側面でAIが広く受け入れられ、コーディングから会計まで職場の生産性に多くの向上を約束していますがサイバー脅威に関連する情勢も変わることになります。
2024 年以降のサイバーセキュリティ環境に影響を与えると予測される開発については、以下をお読みください。 今年の予測は「AI版」であるかのように聞こえるかもしれませんが、心配しないでください。執筆者たちは依然、全員人間です。 (私たちはそう思っています。)
2024 年のサイバーセキュリティのトレンド
1. AI脅威の進化
AIの進展は2024年も通して継続すると予想されますが、AIの脅威の進化は次の3つの急速な段階で展開することも予想されます。
パートI – AI脅威行為者が登場
人間の脅威の行為者はAIの能力を取り入れて一層強化されるでしょう。これらの能力は、攻撃者が行使できるリーチと技術的な能力を急速に拡張する力として機能します。
私たちはすでにAIを利用してランサムウェアやマルウェアが生成されるのを目撃していますが、それがビジネスのサイバー脅威として完全に試されていることはまだありません。生成AI (ChatGPTなどの技術)は、次に来るもの、つまり特定の狭い領域に焦点を当てる弱いAI(狭い AIとも呼ばれます)への道をすでに開いています。2024年には弱いAIが繁栄し、脆弱性の発見や保護側の検出の回避といった特定領域で脅威の行為者に優位性をもたらすと予想されます。
また、より広範で人間に近い知能を提供する 強いAIによる大幅な成長も期待されています。 強いAI は、汎用人工知能 (AGI) または人工超知能 (ASI) とも呼ばれます。これは、自律してエンドツーエンドのサイバー攻撃を実行できる、コンピューターベースの攻撃者の出現につながる可能性があります。
強いAIは1人の脅威の行為者が大きなグループとして行動することも可能にします。これは、かつて他の人間が提供していた技術的スキルに取って代わるものであり、同時に攻撃者には、旧来の人間だけの脅威行為者に対して闇市場でスピードと規模の競争上の優位性が生まれます。
パート II – 新たなAI脅威ベクトルの出現
AIは、フィッシング、ビッシング、スミッシングなどの既存の攻撃ベクトルを引き続き強化します。また生成 AI自体の出力結果の品質に基づき作成される新たな攻撃ベクトルも作成されます。
生成 AI は、2000年代初頭のドットコム (.com) 時代と同じように世界に破壊的な影響を与えるでしょう。AIはインターネットそのものと同じくらい革命的になることを主張する人もいます。
脅威行為者は常に新しい技術を悪用する手段を見つけてきました。この可能性を示す初期の兆候のいくつかは、主な定期刊行物からのフェイクニュース記事、偽の訴訟事件、認識された組織からの偽の発信や発表の形ですでに具体化されています。これらは、ビデオ、音声、広告、さらには偽の歴史や偽の製品の発表の形で実現し、何が本物で何が詐欺であるかを区別することがより難しくなる可能性があります。
パート III – AI コード アシスタントがさらなる脆弱性をもたらす
AIアシスタントの導入が増えると、おそらくソフトウェア開発で直感に反してより多くのエラーが発生するでしょう。 つまり、ソースコードにセキュリティ上の脆弱性を作ってしまいます。
スタンフォード大学の研究者達は、AIアシスタントを使用してコードを作成する開発者が、AI アシスタントに頼らない開発者よりも、セキュリティの脆弱性を引き起こす可能性が高いことを示す調査結果を発表しました。
開発者が作業を容易にして生産性を向上させるために設計されたツールを採用し続けることで、安全でない可能性のあるソースコードがクラウドサービスに送信されることになり、これによりソースコードレベルのリスクを発生させます。これらのツールの使用が増えると、AI によって生成された、意図しない脆弱性や構成ミスがソフトウェア製品に導入され始めることになります。
誤りを含むオンラインコード・サンプルでトレーニングされる生成AIモデルは、ソフトウェアの脆弱性の原因となる、人的エラーではなく機械エラーを引き起こします。
2. 専用アプリケーションが絶滅への道を歩み始める
生成型AIが私たちが愛する専用のアプリケーションやアイコンを時代遅れにする現象が2024年から起こり始まるでしょう。
AIを支持してモバイルデバイスのアプリケーションやマーケットプレイスストアを廃止すると、コラボレーションが起きる可能性があります。生成型AIは既に、完全な旅程を構築し、信頼性のある接続に基づいて事実データのステータスを伝え、口頭または書面の要求に基づいて情報を動的に表示できることを証明しています。
このような柔軟性と力を持つAIがあれば、銀行業務、旅行、情報検索のための専用アプリケーションは、ゼロトラストなどの概念を使用して信頼性のある接続が確立されれば、時代遅れになる可能性があります。「私の銀行明細は何ですか」、「私の旅行を予約してください」、または「私の会社の最後の10件の販売を取得してください」などの問いかけは、すべて現実のものになるかもしれません。実際、アプリケーション自体が、ブラウザーと同様に、結果を提供する共通インターフェイスへの信頼を構築するコネクターになる可能性があります。
これが生成型AIの未来です。必要なすべては、標準インターフェースを使用して音声コマンドで実行できます。これにより詳細なアプリケーションのための複雑なユーザーインターフェースの概念が、結果重視で機能固有のものになる可能性があり、大きなモバイルデバイスの画面の必要性が時代遅れになるかもしれません。
3. VOIP と POTS の廃止 — UCS が未来
2024 年には、POTS (Plain Old Telephone System)、長距離電話料金、デスクトップ電話の最後の終焉が到来します。専用のVOIP (Voice Over Internet Protocol) も遠くない将来には姿を消すでしょう。
POTSの終わりは驚くべきことではありません。 20年前からその衰退は予測されていました。現在、VOIPへの置き換えを避けているPOTSシステムはほとんどありません。今日、ほとんどのPOTSシステムは、TCP/IPを使用して電話を転送するためのさまざまな技術を利用した物理的なスマートフォンに置き換えられています。
初期のVOIPシステムには、オンプレミスのVOIP実装を外部のPOTSに通信するために複雑なゲートウェイ技術を備えていました。その後、クラウドが登場しました。組織がサービス品質の設定に基づいてデータ、ストリーミング、および音声通話をサポートするのに十分なパイプ (インターネット帯域幅) があれば、VOIPをクラウドから管理できました。
現在、それはすべてユニファイド・コミュニケーション・サービス (UCS) とアプリケーションに変わりつつあります。 Microsoft Teams、Zoom、Ring Central などはコミュニケーションを次のレベルに引き上げ、専用電話による通話はほぼ時代遅れになりました。スマートフォンのアプリケーションを使用してコンピュータで電話に応答できるため、専用のVOIPとPOTS の必要性はほぼなくなりました。 実際、電話番号も問題となり、メールアドレスやエイリアスによって、完全に難読化されるのは時間の問題です。
そして最後に、通信が専用のアナログ システムに依存しなくなったことにより、かつて安全な通信媒体と考えられていたものを侵害する脆弱性、ハッキング、悪用に晒されることが予想されます。
4. サブスクリプションの過多: そのためのサブスクリプションがある!
プリンターをリモートで使用する権利から、スマートホームテクノロジーや私たちが当たり前だと思っているソーシャルメディアのアカウントに至るまで、単純なアイテムすらサブスクリプションが必要になることが予想されます。
私たちは子供の頃、「何か気に入っていて、お金に余裕があるなら、それを買ってもいいよ」という言葉を聞いたことを覚えています。1980年代にクレジットカードが誰でも簡単に利用できるようになると、何百万人もの人々がクレジットで製品やサービスを購入する方法を学びました。信用が払える価格の境界を変えた一方で、これらの購入はすべて永続的なものでした。 あなたはそれらを購入して、所有していました。
2024年も、引き続き電子決済が現金に取って代わり続けるでしょうが、ものを完全に購入して所有するのではなく、サブスクリプションを通じてライセンスを付与することが増えていくでしょう。内蔵車載ドライブレコーダーを動作させたい場合、アプリケーションの最新バージョンを入手したい場合、または追加料金なしで配信サービスを希望する場合は、サブスクリプションベースになります。 実際、私たちが過去に購入したアイテムの多くは、サブスクリプション経由でのみ入手/使用できるようになるでしょう。
ここで考慮すべきなのは、サブスクリプションのライセンスにおける隙間や契約の解除がデータの損失(隙間期間)や、後のデータ侵害の対象となる、情報のアーカイブ化を引き起こす可能性があることです。サブスクリプションの意図的な終了に伴いデータの削除を要求することは、ユーザーが契約期間中に保存されたデジタル情報に対抗する最善の手段かもしれません。
5. ジュースジャッカー*はUSB-Cの標準化を悪用する
2024年はUSB-Cが普及し、USB-Aが置き換えられ、接続のためにコネクタを何度も裏返す必要がなくなる年となるでしょう。
地域ごとの新たな法律と高速充電およびデータ転送の可能性に続く形で、モバイルフォンからコンピュータまで、あらゆる機器がUSB-Cに切り替わるでしょう。1年の間に、旧式で一方向のUSB-Aコネクタは、飛行機から目覚まし時計まで、徐々に取り除かれていくことが予想されます。
どこでも同じ標準のUSBコネクタを使用することで互換性が確保され、世界中で同じ電源コネクタを使用することに近づき、独自のコネクタで発生する電子ごみを大量に削減するでしょう。
脅威の観点からは、ジュースジャッキングや物理的な接続に関連する他の攻撃ベクトルの増加も予想されます。脅威行為者が狙うべき唯一の接続タイプが一つだけになることで、ハードルががかなり低くなります。
*空港など公共の場でモバイル機器を充電するために接続することでデータを詐取する者
6. ランサムウェアのマッピングを悪用する
攻撃の焦点は、恐喝用のデータから販売用の悪用可能なデータに移ることが予想されます。悪意の行為者は、データに対する身代金の恐喝自体を実行する代わりに、ビジネスに関する悪用可能な攻撃方法や脆弱性情報を販売することに重点を置くでしょう。
この過去の年の間に、攻撃の目的は、個人を特定できる情報や保護されるべき医療情報からスパイウェア、マルウェア、ランサムウェアに進化してきました。ランサムウェア攻撃が持ち出されたデータを身代金要求の手段として利用するケースが見られました。
2024年には、攻撃の目的がAIと結びつくと、脆弱性特定可能情報と特定情報の悪用への更なるシフトが予想されます。マルウェアを注入してビジネスを身代金要求のために人質にすることで手を汚す(および検出のリスクを冒す)のではなく、脅威の行為者は企業内の脆弱性、エクスプロイト、アイデンティティ、権限、およびセキュリティ状態といった販売可能なデータを利用することが増えるでしょう。
こうした新たな目的を持った攻撃者は、誰かを侵害に導く可能性のあるデータ、または組織に侵入する可能性のあるデータをターゲットにします。監査人がセキュリティ慣行をレビューして、何を修復する必要があるかを指示するのと同様に、攻撃者はどのように攻撃される可能性があるかのリストを作成して、その情報を身代金の一部として利用し、その意図を証明するために存続します。
7. サイバー保険の標準化
サイバー保険は、個々のブローカーが独自の要件やチェックリストを持っているのではなく、プロバイダー全体でより標準化されるようになるでしょう。
サイバー保険は過去3年間にわたって成熟し続けています。AI、世界紛争、5G接続など、テクノロジーとリスクが急速に多様化と進化をし続ける中、サイバー保険会社は新しい特定のカテゴリーを採用することで対応しています。 たとえば、「戦争行為」は現在、保険契約や保険会社全体で広く採用されています。
残念ながら、サイバー保険業者ごとにリスクを異なる重み付けをしています。しかし攻撃者は、あなたが個人経営の店であろうと、数十億ドル規模の企業であろうと気にしません。 彼らはただチャンスを見ているだけです。
2024 年には、サイバー保険に対する中核的な制御またはフレームワークベースのアプローチがさらに増えることが予想されます。 この進化により、プロバイダーはサイバーポリシーに関連するリスクと責任を軽減する際に、あらゆる脅威に対して標準化できるようになります。
今後5年間のサイバーセキュリティの見通し
1. マルウェアの時代は終わりを迎える
クラウドアプリやSaaSアプリが新たな定番となれると、ID侵害が最も重要な手法になるでしょう。ほとんどの対話型の侵入には、ソフトウェアのエクスプロイトやカスタムマルウェアではなく、侵害されたIDやネイティブツールが関係します。
脅威の行為者が重大なゼロデイ脆弱性を発見して悪用したり、カスタムビルドのマルウェアを使用したりする時代の残りは短くなりつつあります。マルウェアを使用すると監視にひっかかるノイズが発生し、より高性能な検出ツールで検出される可能性が高くなります。検出を回避するために、脅威の行為者はアイデンティティとそのアクセスを悪用して、ネイティブ ツール、API、および Living-off-the-land (LotL) タイプの攻撃でのアクセスを使用してマルウェアを使用しないように努めます。
侵害されたIDと、マルウェアを使わない侵入という強力な組み合わせは、攻撃者を特定するために自社環境でマルウェアやコードのエクスプロイトを探すことに慣れた組織にとっては、大きな課題となります。この進化で、IAM チームとセキュリティチームのコラボレーションを向上させる必要性が加速します。最終的には、アイデンティティリスクの発見と、侵害を示す可能性のある逸脱を検出するために通常のアクティビティのベースライン化を試みることに焦点を当てたアイデンティティ中心への移行になります。
2. 照準を合わせるAIサプライ チェーン
国家レベルの脅威では、AIサプライチェーンを悪用し、後で悪用する可能性のある弱点を導入することに焦点を当てます。
たとえば、AIコードアシスタントは、トレーニングデータやドキュメントに微妙な脆弱性を追加する可能性があります。この効果は、AIアシスタントを直接ターゲットにすること、またはオンラインで誤った情報を拡散して、AIアシスタントによって入力されることで実現できます。これにより、コーディング効率を向上させるために設計されたツールによってコードに脆弱性が自動的に入力される可能性があります。
その一方で、組織がAI テクノロジーへの依存度を高めるにつれ、社内の機密データのレビューのために、AIサービスにデータを送信することが増えています。このデータにより、AIインフラストラクチャが非常に重要なターゲットとなるでしょう。このリスクを解決するのは難しいでしょう。企業は従業員が使用しているAI ツールを常に把握できるとは限りません。特に機密性の高い社内文書の文法チェックを実行するなど、従業員が自分の仕事を自動化するためにAI ツールを使用している場合はそうです。
3. カムバックスペシャル – ヴィンテージ・テック・リターンズ
ノスタルジックなエレクトロニクスの「モダン・ヴィンテージ」復活を期待してください。 言い換えれば、ヴィンテージの体験を提供しながら、最新の接続性とコンポーネントを備えた新製品が期待できます。
古着であれ、家具であれ、レコードであれ、私たちはアンティークに自然に愛情を抱き、過去と再びつながりたいという願望を持っています。 ほとんどのビンテージ電子機器は実用的ではありません。 結局のところ、今日の消費者は、過去数十年にはほとんど考慮されていなかったインターネット接続やその他の基本機能に組み込まれたサポートを期待しています。 そうは言っても、いくつかのカテゴリの電子デバイスはこの型を打ち破っています。 古いビデオ ゲーム、カメラ、一部の電子玩具は今でも消費者を喜ばせています。
今後5年以内に、さらに多くの懐かしい電子機器が再び登場することが予想されます。多くは古いリリースのレプリカに近いものになりますが、今日の視聴者にとって接続やその他の「必須」コンポーネントのサポートにより最新化されています。 このテクノロジーを統合すると、古いテクノロジーに対する新たな攻撃ベクトルとなる最新の脆弱性、不具合、ハッキングが発生する可能性もあります。
4. 最新の脅威に対抗するために進化する ID トラスト チェーン
ID検証サービスが、ID ベースの脅威の増加に対応する緩和戦略として登場します。
何年にもわたり、脅威の行為者は人々の身元を偽装して、個人は何年にもわたって自分の身元を変更してきました(つまり、未成年者がアルコールを購入したり、年齢制限のある施設に入ろうとしたりするなど)。 州政府と連邦政府は、個人の身元を積極的に確認する取り組み (RealID) を支援するため、写真、バーコード、ホログラムを備えた強化された運転免許証で対応しています。 実際、一部のソーシャル メディアWebサイトでは、オンラインでのID攻撃ベクトルを防ぐために、これらの形式のIDをアップロードできるようになりました。
しかし、欠けているのは、電子世界における本人確認の普遍的な受け入れです。 組織によっては、電子メール、SMS テキストメッセージ、その他の形式の 2 段階認証を使用してIDを作成または確認している場合があります。 これらのセキュリティ手法は、脅威の攻撃者によって穴を開けられ、ますます失敗しています。
必要なのは、検証を要求するサードパーティソリューションに対して、高い信頼レベルのIDを提供できるID検証サービスです。 これは信用報告サービスによく似ていますが、既存の政府ベースの取り組みと比較すると完全に独立しています。この種のサービスが出現し、合成IDや国家の脅威行為者などの脅威に対する最良の軽減戦略となることが期待されます。
5. AIの進化によりAIガバナンスの移動目標が設定される
AIガバナンスとコンプライアンスの分野は、今後 5 年間で急速に進化すると予想されます。
AIおよび機械学習 (ML) ベースのテクノロジーがシステム、プロセス、製品、テクノロジー全体にその影響を拡大するにつれて、民間および公共部門における人工知能の責任ある規制がますます重視され、組織はこれを遵守する必要性が一層高まります。
規制は、倫理基準とプライバシー基準を確実に遵守するためにAIがどのように構築され、使用されるかに焦点を当てるようになるでしょう。 初期段階では、これらの規制は地域によって大きく異なる可能性があります。これは、地域、業種、政府ごとにAIに許可される範囲を拡大する法律、規制、枠組みの動くターゲットになることが予想されます。
6. リモコンを紛失した…でも誰も気にしない
世界中の多くの言語で最も一般的に話されている発話の 1 つが、間もなく私たちの共有辞書から消えることになります。
「リモコンはどこですか?」 (「ねえ、リモコンはどこ?」「リモコン見たことある?」「@#&*! リモコンはどこ?!」などのよくあるバリエーションです)は、当惑している将来の世代に説明する必要がある概念です。 。
専用の電話アプリケーション、デジタルパーソナルアシスタント、直接音声コマンドの台頭は、物理的なリモコンの終わりを告げています。
電子廃棄物 (e-waste) の最も単純な形態の1つは、テレビ、ステレオ、ファン、その他のスマート デバイスの手持ち式リモコンです。今後5年間で、これらのデバイスは物理的なリモコンを廃止し、専用の電話アプリケーション、デジタルパーソナルアシスタント、および/または直接音声コマンドを介した制御のみが可能になることが予想されます。リモートコントロールは、エンドユーザーが選択したスマートホームテクノロジを使用するか、Bluetooth デバイス (キーボードとマウス) と単純にペアリングするだけで同じ目的を達成できます。
世界が電子廃棄物に苦戦している中、このような簡単な変更により、数トンもの独自のデバイスが耐用年数を経て廃止される可能性があります。これらの変更で、攻撃ベクトルが開かれる可能性もあります。より多くのデバイスが「スマート」になり、接続されるようになり、さまざまなテクノロジーを制御する赤外線ツールが一般的になり、ネットワークまたはBluetooth テクノロジーを使用したアプリケーションに置き換わるにつれ、脅威の行為者がネットワークに侵入する機会が増加します。
2024 年のサイバーセキュリティに積極的に取り組む
これまで何度も述べてきましたが、これは決して古くならないセキュリティ上のアドバイスです。いつの時代であっても、将来に備えて準備をしておくことは、リスク管理の有効性に大きな違いをもたらします。
より積極的なIT セキュリティ体制をとっている企業は、準備が整っていない組織に比べて、より多くの脅威を防止し、潜在的なセキュリティ問題をより迅速に特定し、侵害の被害が少なく、攻撃による被害を効果的に最小限に抑えられることが調査で継続的に示されています。
サイバーセキュリティ体制について積極的に取り組みたい場合は、BeyondTrust に連絡することが出発点として最適です!
Morey J. Haber、BeyondTrust社 最高情報セキュリティ責任者
Morey J. Haberは、BeyondTrustの最高情報セキュリティ責任者です。IT業界での経験は25年以上に及び、Apress社から『Privileged Attack Vectors (2版)、『 Asset Attack Vectors』、『Identity Attack Vectors』という本を3冊出版しています。2018年、BeyondTrustはBomgarに買収されましたが名前はそのまま残りました。彼はもともと2012年、eEye Digital Securityの買収の際にBeyondTrustに加わりました。現在は特権アクセス管理やリモートアクセスソリューションに関するBeyondTrustの戦略を統括しています。2004年、セキュリティエンジニアリングの統括長としてeEyeに加わり、フォーチュン500掲載企業である顧客の戦略的業務に関する協議や脆弱性管理アーキテクチャを担当しました。eEye入社前は、Computer Associates, Inc. (CA)の開発マネージャーとして、新製品のベータサイクルや指定されたカスタマーアカウントなどの業務を担っていました。またその経歴は、飛行訓練シミュレータを構築する政府の委託先における信頼性と保全性に関するエンジニアとして築かれました。ストーニーブルックにあるニューヨーク州立大学の電子エンジニアリング科で理学士の学位を取得しています。
Christopher Hills、BeyondTrust社セキュリティ戦略責任者
Christopher Hillsは、BeyondTrustのチーフセキュリティストとして活動しています。彼は20年以上にわたり、技術ディレクター、シニアソリューションアーキテクト、および高度に機密性の高い環境で活動するセキュリティエンジニアとしての経験を持っています。クリスはアメリカ合衆国海軍の元軍人であり、最近までフォーチュン500の組織でテクニカルディレクターとして特権アクセスマネジメント(PAM)チームを率いていた役職からBeyondTrustに加わりました。現在のポジションでは、彼はチーフセキュリティスト(アメリカ地域)として、顧客、マーケティング、およびエグゼクティブと協力して、先進的なリーダーシップ、市場動向、企業ビジョン、戦略に関する責任をCSOに報告しています。ChrisはBeyondTrustに入社してから、副CTOおよび副CISOの役職も務めています。趣味では、Chrisは家族とボートで過ごすこと、息子のフットボールのキャリアをサポートすること、砂丘やオフロードで過ごすことを楽しんでいます。
James Maude、リサーチ担当ディレクター
James Maudeは、BeyondTrustの英国マンチェスターオフィスのサイバーセキュリティ主任研究者です。James はセキュリティ研究において幅広い経験を持ち、進化するセキュリティ環境における攻撃ベクトルと傾向を特定するために、マルウェアとサイバー脅威の詳細な分析を行っています。 フォレンジックコンピューティングのバックグラウンドと、セキュリティリサーチコミュニティへの積極的な関与でサイバーセキュリティの専門家としての発信をしています。彼は定期的に国際イベントに出席して、ウェビナーを通して脅威と防御戦略について議論しています。