Threatscape Predictions for 2019 by Michael Rosen / 2018年12月18日より
侵害がより頻繁に、より一般的に、そしてより劇的に発生すると思われます
セキュリティ業界が従来の攻撃手法を排除する方法を見いだす分、新たな攻撃手法が出現するでしょう
人工知能(AI)と機械学習(ML)は、攻撃者と防御者の両方の掛け金を増やすでしょう
防御側の「ゼロトラスト」と「PEBKAC対策」の加速が促進されます
この時期には多数の予測ブログが書かれますが、締めくくりに、エッグノッグ(北米でクリスマス時期によく飲まれる、ミルクベースの甘い飲み物)をもう一杯いきましょう。
今回ご紹介する予測は、Bromiumの多岐の部門に所属する有識者やリーダーらによるものです。彼らの協力に感謝を表します。Bromium の研究部門では、ハードウェア隔離によるセキュリティという独自の利点を踏まえて水晶玉を磨き、2019年に向けてのサイバー脅威情勢を以下のように予言しています。
侵害の損害意識が11桁まで上がる
来年は、世界的に一層厳しく(中でも特にGDPR(General Data Protection Regulation、EU区域の一般データ保護規則))なる報告と通知の要件に起因して、侵害事例の記録的に最も注目に値する年になるでしょう。 多数の組織が、7桁、8桁、さらには9桁に及ぶ罰金額と相まって、目を見張るほどの数の被害者数が報告されることになると予想します。 マリオットでのハッキング事件 – 最大5億人の顧客の個人情報漏洩を含む – は、数百万ドル規模の罰金を含め、GDPRによる最初の試練になるかもしれません。 こうしたことから、侵害事件に大幅な量的増加が起きていると思われるかもしれませんが 、単に義務化された報告のせいかもしれません。
ブラウザ攻撃の復活
ブラウザ攻撃は消滅しません。 よりセキュアな新しいブラウザであっても、実りの少ない、昔ながらのIE FlashやJavaScriptの悪用といった技術的な遅れを狙った攻撃から、より洗練された攻撃や、新しいゼロデイへの流れが見られます。より高度な機能がブラウザに追加されるにつれて、マイクロソフトがWindowsセキュリティ機能の面で追いつくことができなくなり、ブラウザにおける新たなセキュリティ競争に拍車がかかりました。Chromeは依然として非常に安全なブラウザと言えるものの、悪用可能なバグや脆弱性が他のブラウザでも徐々に増え始めると予測しています。Microsoftが最近オープンソースのChromiumを支持して独自のEdgeテクノロジーを放棄したことが発表され、将来開発陣の関心が薄くなれば、Edgeはより攻撃対象にされやすくなる可能性があります。 それでも、大多数のマルウェアはブラウザの悪用を経由よりも、ダウンロードされたコンテンツや添付されたコンテンツ内からの侵入が続くでしょう。
ファイルベースのマルウェアは進化し続けます
ファイルベースのマルウェアが、Webダウンロードや電子メールの添付ファイルを介した攻撃の最大の源であり続けると予想されます。より多くの顧客がオンライン版のOfficeやGoogle Docに移行して、特にMicrosoftがOfficeから起動されたマクロやプロセス(例えばPowerShellなど)に対する保護を適用するため、2019年がOfficeドキュメントが攻撃経路としての重要性が下がりはじめる年になると、非常に慎重ながら予測します。これまで「仕様通り」と見なされてきた脆弱性で、機能を無効化する事で是正するもの(たとえば、今年のOfficeドキュメントからのDDEの削除)などと共に、ユーザがセキュリティ機構の中でもっとも無防備な存在であり続けるでしょう。危険な機能を削除するために、以前は「設計どおりに動作する」と見なされていた少なくとも1つの「脆弱性」(たとえば、今年のOfficeドキュメントからのDDEの削除)では、ユーザーはセキュリティチェーンにおける最も弱いリンクです。 マルウェア作成者たちは、2019年の後半には出現するであろう、新たな攻撃手法の開発に躍起になることでしょう。
ハードウェアの脆弱性
2018年はハードウェアを対象にしたハッキングの年だと感じさせました。Intel、AMD、Microsoftをはじめとする多数の関係団体が、多大な注目を集めいていた緊急パッチに費用を投じたり、処理パフォーマンスが犠牲になったためです。SpectreとMeltdownは史上最も高くつく脆弱性となりました。AppleとAmazonに影響を与えたとされているSupermicroのチップへの攻撃説は、ーー部分的には信用できない説でしたが、ーーハードウェアへの脆弱性の意図的な埋め込みは、国家レベルでの資金提供を受ける攻撃者にとっては可能性の範囲内であることも明らかにしました。より多種のハードウェアベースの攻撃が顕在化し、新種のものと歴史的なものの両方の欠陥が露呈し、業界は国際的なサプライチェーンや諜報機関からの悪意のあるインプラントに対してより敏感になります。
サプライチェーンと買収の中に潜む脆弱性
多くの組織にとっては、ハードウェアを対象にしたハッキングの脅威は、より差し迫った取り組むべき問題があるため、関心事としては小さなものです。第三者による攻撃の増加は、複雑なサプライチェーンの方がハッカーらにとって攻撃対象の余地を拡げる中で、組織が直面する脅威の1つに過ぎません。Ticketmaster(組み込みのサードパーティ製チャットボット)やUnder Armour(MyFitnessPalコネクテッドトラッカーの取得)でわかる通り、組織によるデータへのアクセスや管理が困難な、サプライチェーンに起因するリスクが高まっています。サードパーティのサービス、プラグインを使用する場合、またはMarriott Internationalの場合は侵害された組織を買収すること( 国家的な攻撃になる可能性があります)が、第三者が侵害のリスクを高める可能性があります。 来年はサプライチェーンに起因するさらなる障害が発生する可能性があります。それでも、組織は価値の高い資産を保護しなければいけないのに、検出のみに依存し続けています。
エクスプロイトキットが再度氾濫
ブラウザのセキュリティが向上し、文書ファイル関連の脆弱性が鎮静化に伴い、2019年にはエクスプロイトキット(ハッキングツール)が復活すると予測しています。 サービスとしてのマルウェアと標準化がすすむクライムウェアの共有がこの傾向を加速するでしょう。 昨年は攻撃者の多くの活動でクリプトジャックが採用されていましたが、暗号通貨の下降により流れが逆転しました。 私たちはエクスプロイトキットの増加を確認しています。Falloutのような新しいキットが急速に – ランサムウェア他、望まれないペーロード(マルウェア本体部分)を配信するために – 定着して、部分的には2018年前半に発生した2種のゼロデイによって促進されました。 多くの組織が今年の初めに感じていたMeltdownとSpectreパッチの負荷感は、パッチ管理に対する積極性をそいでしまい、既知のエクスプロイトに対する脆弱性が高まる結果になっています。2018年4月、IEのゼロデイが2年以上ぶりにもたらされました。今年は2回のFlashゼロデイが発生しました。これらはすべてエクスプロイトキットによって積極的に配信され、典型的な、オンラインバンキング狙いのトロイの木馬とランサムウェアを送りつけました。新たなFlashのゼロデイが登場しており、まもなくエクスプロイトキットに統合されるでしょう。 MicrosoftがAttack Surface Reductionのような取組みでOfficeを強化するにつれて、攻撃者は他の攻撃方法に注目し、エクスプロイトキットの需要が高まるでしょう。IEとFlashは市場シェアが低くなっているため、エクスプロイトキットが偽のアップデートなどのソーシャルエンジニアリング手法を使用するように進化することも予想されます。
新たな攻撃対象領域が出現
ブラウザが(概ね)安全になり、Officeドキュメントが最終的に安全になるか、少なくとも費用対効果的に悪用が非効率になると、攻撃者は、恐らくは侵害されたアプリケーションや、インストーラなどを使う他の手段を模索しはじめるでしょう。 Webサイトがパッケージ管理ツールなどを用いたハッキングなどで侵害され、改ざんされたインストーラのダウンロードを介するなどが企業に侵入する主な方法になりつつあります。このように不正コードを用いる攻撃は、企業が運営するWebサービスに改ざんされた依存関係を送り込むことなどで、組織を直接標的にするためにも使用される可能性があります。
人工知能と機械学習が主流に
人工知能(AI)と機械学習(ML)の普及率が著しく高まるでしょう。当社内の識者の一人によると、近い将来、あらゆる攻撃の80%に及ぶ割合でAIが含まれると予測しており、これにはさまざまな種類のマルウェアが混在する、革新的な次世代マルウェア(使えるものはなんでも使うタイプを含む)で、各々の被害者の最も防御力の低いエントリポイントを見つけるAIと組み合わせたものも含みます。 私たちは、確立されたセキュリティベンダーと新興企業による防御側の大規模な取組みに加え、攻撃側によるAI / MLの使用の増加(彼らは防御側よりも早く革新する)を見込んでいます。
フィッシング攻撃がより身近に、より個人的になる
スピアフィッシング攻撃は、ますますカスタマイズされ、標的を定められ、洗練されたものになります。 最近のInPageにおけるバッファエラーの脆弱性(CVE-2017-12824)は、攻撃者が高度なツールや、ゼロデイ、複数の経路や段階をもつ攻撃をした場合、検出されずにすむことを示しています。個人単位にパーソナライズされた攻撃は、対象者にメッセージが本物であることを信じさせて、彼らがリンクをクリックしたり添付ファイルを開くと、攻撃者は完全に制御を奪い取ります。ファイルレスで難読化されたマルウェア本体や、隠蔽されたC&C通信のためのドメイン指向の技術、さらに水平方向の移動などを駆使して、目標に到達するまでこれらを隠します。こんにちのドライブバイダウンロードやSPAM /フィッシングによる世界規模の電子メール送信をはるかに超える、マイクロターゲット型の垂直型攻撃が考えられます。私たちはオンラインバンキング詐欺ツールのEmotetを、検出ベースのツールの層を回避する、鮮度の高い種類の代表格として追跡していますが、一方で他者もこのアプローチを模倣するでしょう。マルウェアを大規模に一括して再パッケージすると、被害者全員が独自のマルウェアを受け取ってしまい、ハッシュベースの検出ツールや分析がまったく役に立たなくなるようになるかもしれません。
Ransomwareはよりスマートに、より的が絞られる
私たちはブラウザやファイルのダウンロード/添付ファイルにランサムウェアが見られ続けることを予期しています。 多くの場合、防衛回避機能を新たに備えたダウンロード機構がこれまでの暗号化機能を送り続けますが、マルウェア側の革新も予想されます。成功率を向上させるためにAIを使用することが増えています。ランサムウェアは、単にバックアップから文書を復旧させるだけではなく、より多くの犠牲を払うように企業やその顧客に関する機密情報を含む情報の漏洩や、脅迫されたことの公表などを含むdoxing(いわゆる”晒し”)と組み合わせることが増えると予測されています。ランサムウェアは、オンデマンドサービスを介してコモディティ化されて、今後増加するであろうオープンスタンダードのツールでの共有がなされるでしょう。最後に、我々は暗号化マルウェア(ランサムウェア)への関心が暗号通貨の価格を追従すると予想しています。 Bitcoinの価値が下がり続けると 、サイバー犯罪者はランサムウェアからオンライン銀行対象のトロイの木馬など、利潤を得る他の方法に移行するでしょう。
クレデンシャルフィッシング:ハッキング不要
クレデンシャル(認証ID)フィッシングは、企業内で広く行われているフィッシング対策トレーニングにもかかわらず、簡単で安価で、成功率が高いため、ほぼ確実に増え続けるでしょう。 被害者がWebサイトやアプリケーションを偽造するように王国への鍵を喜んで渡してしまうので、ハッキングやネットワーク侵入は必要ありません。二要素認証やスマートカードの普及が進む各国政府機関にはあまりあてはまらないものの、企業に対するクレデンシャル詐取攻撃は、二要素認証の導入の難しさと標準化の欠如が100%の採用を妨げているため、継続するでしょう。
政府はゆっくり、痛みを伴う移行を実施
政府機関では、ノートPCなどのモバイルデバイスは比較的少数で、基本的に組織ドメイン下の固定されたエンドポイント向けを対象にネットワークセキュリティに何十億ドルもの資金を投入してきました。モバイルデバイスは、物理的に建物内にあるデバイスと比較して、例えVPN使用が強制されるとしても、本質的には安全性は、はるかに下がります。来年は、モバイルとクラウドが公共部門での舞台の中心に来るでしょう。政府機関は、コスト削減のために積極的にクラウドに動かしてきたため、クラウドでのセキュリティ対策へ引き続き努力を続けます。政府機関のセキュリティモデル(アクセス、ログ、バックアップ)の違いや、クラウドテクノロジとプロセスの採用速度の低下は、米国国家地理空間情報局での最近のAmazon Web Serviceの設定もれによる「S3バケットリーク」のような、クラウドセキュリティの継続的なエラーにつながります 。
防御側もやり方を強化する
特に大規模な組織では、確認なき信頼はしない事を前提とした「 ゼロトラスト 」ネットワークアプローチが根付いて強化され、アプリケーションレベルにまで達しています。企業は自社のネットワークについて最悪の事態を想定し、サーバー/クラウド管理コンソール、特権ユーザーが操作するワークステーション、Webサービス、機密文書や顧客データベースなど、最も貴重なIT資産に追加のセキュリティ対策を適用することを選択します。 価値の高い資産へのアクセスをセグメント化し 、 重要なアプリケーションを隔離することで、ネットワーク、サーバー、またはエンドユーザーのデバイスが侵害を受けたとしても、攻撃者らが機密データを閲覧したりアクセスしたりできないようにします。 PEBKAC、Problem Exists Between Keyboard And Chair[問題はキーボードと椅子の間–つまりユーザ–に存在する]は依然最大のリスクであり、組織がユーザーの故意または不注意のいずれかで危害を引き起こす能力を剥奪することを余儀なくさせます。 メールの添付ファイルや、ダウンロード、およびフィッシング攻撃によるクレデンシャル詐取と悪意のあるコンテンツ配信は、これまで同様に引き続き活発になり、攻撃側が検出機能を回避するための武装競争の継続的な拡大につながります。
今年もお疲れ様でした。
サイバー犯罪が休みになることは決してないので、単にお店を閉めて一息つくことはできません – 実際、休暇時期は歴史的に攻撃が増加する傾向が見られます。しかし今夜、あなたは別の未来を想像するかもしれません:あなたのシステムとネットワークを襲う、いかなる脅威に対しても耐久性をもち、仮想化ベースのセキュリティを使用して、重要な価値をもつIT資産 — つまりエンドポイントPCや、ネットワーク、ウェブアプリケーションやデータベース — を、攻撃者の手の届かないところで守れることです。これは単なる夢ではありません。既にBromiumは、これをあなたの新しい現実にするのをご支援することができます!
本和訳文の著作権は株式会社ブロードに帰属します。