セキュリティ管理のメモ帳

セキュリティに関する備忘録

2023年 セキュリティ脅威予測まとめ

はじめに

 例年、年末から年初のこの時期になると各社セキュリティベンダーから今年の脅威予測が公開されます。今回は、そのまとめとISO 27001:2022で提示されている各管理策とを関連付けて残しておきたいと思います。
 注)なお、本稿は筆者が各サイトの参照と経験に基づき独自に解釈した内容が含まれるため、認識が間違っている可能性があります。(誤りに気付いた方は、コメントいただけると幸いです)

1.人の脆弱性を突く攻撃が増加する

 1) proofpoint3) KnowBe44) Avast で取り上げられている内容を以下にまとめます。

脅威の概要

 紛争、金利上昇など、昨年からの社会情勢の急激な変化が人々の生活にも影響を与えており、そのストレスによる従業者の集中力の低下を狙った攻撃や、不安を煽るような攻撃など人の脆弱性を突く攻撃が増えることが予測される。

関連する管理策の例(ISO/IEC 27001:2022 Annex Aより)

5.3 職務の分離
 担当者に加え承認者などの役割を置くことにより、実行前に異常に気付ける体制を整えます
6.3 情報セキュリティの意識向上、教育及び訓練
 定期的な教育や攻撃メール訓練、直近のソーシャルエンジニアリング手法を紹介する注意喚起などを行うことで、利用者が異常に気付ける感度を高めます。
6.8 情報セキュリティ事象の報告
 各フィルタリングによるブロックや注意喚起などをタイムリーに実施できるように、なりすましメール受信などの事象発生時に、速やかに確実にエスカレーションされる体制を整えます。
8.21 ネットワークサービスのセキュリティ
 DMARC(DKIMSPF)や従業者からの事象報告、IoCなどをトリガーとするメールフィルタリングや警告表示を行うことで、従業者がなりすましメールに接する機会を減らします。
8.23 Webフィルタリング
 レピュテーションスコア、従業者からの事象報告、IoCなどをトリガーとするWebフィルタリングを行うことで、従業者がフィッシングサイトに接する機会を減らします。

2.ディープフェイクのサイバー攻撃への利用が増加する

 1) proofpoint3) KnowBe45) WithSecure6) Check Point10) TrendMicro で取り上げられている内容を以下にまとめます。

脅威の概要

 生体認証突破や偽のソーシャルメディアプロフィールの作成などのなりすましがディープフェイクの利用により巧妙化するため、それを利用するBECや情報の詐取を行う攻撃を見破ることが難しくなる。

関連する管理策の例(ISO/IEC 27001:2022 Annex Aより)

 1項と同じ管理策が有効と思われます。

 他にも、8.3 情報へのアクセス制限、8.12 データ漏洩防止、8.16 監視活動、8.22 ネットワークの分離、8.23 ウェブフィルタリングのような基本的な技術的対策の実施により、攻撃者が最終目的を達成することを防ぎます

3.アカウントの乗っ取りが増加する

 1) proofpoint3) KnowBe47) Barracuda で取り上げられている内容を以下にまとめます。

脅威の概要

 不正に窃取されたクレデンシャル情報がダークウェブ上で安価で取引されており、加えて、MFA Fatigue攻撃やMITMのようにMFAのトークンを窃取することを目的とした攻撃手法も観測されている。乗っ取られたアカウントによるなりすましを技術的に検知することは難しいため脅威アクターが好んで多用する可能性も考えられる。

関連する管理策の例(ISO/IEC 27001:2022 Annex Aより)

5.7 脅威インテリジェンス
 脅威インテリジェンスサービスなどを利用し、自組織に関連するクレデンシャル情報がダークウェブ上で取引されていないことを確認します 。
8.5 セキュリティを保った認証
 FIDO2認証、PKI認証など、フィッシング耐性のあるMFAを利用しトークンの窃取を防ぎます 。
 前回のログイン成功日時や失敗した試行情報を表示することで、システム利用者に対し他人がなりすましてログインした可能性(ログインの試み)に気付く機会を提供します

 他にも、8.3 情報へのアクセス制限、8.12 データ漏洩防止、8.16 監視活動、8.22 ネットワークの分離、8.23 ウェブフィルタリングのような基本的な技術的対策の実施により、攻撃者が最終目的を達成することを防ぎます

4.サイバー犯罪のビジネス化がさらに進み、攻撃が増加する

 1) proofpoint2) FORTINET3) KnowBe44) Avast7) Barracuda9) SOPHOS で取り上げられている内容を以下にまとめます。

脅威の概要

 従来から存在するRaaSに加え、ダークウェブ上で販売される攻撃用ツール・サービスの種類は今後も増え続け、その利用により技術的な知識が無くても容易に攻撃が可能になる。このような脅威アクターの裾野の拡がりに加え、分業による攻撃の効率化もさらに進むため、今後も攻撃は増え続けることが予測される。

◆ ダークウェブ上で提供されるツール、サービスの例)

  • フィッシング、スミッシング攻撃用ツール
  • RaaS、MaaSを含むCaaS
  • 不正窃取したクレデンシャル情報の販売
  • マルウェアの運用方法の提供

関連する管理策の例(ISO/IEC 27001:2022 Annex Aより)

 脅威の内容が攻撃全般と多岐に渡り、ほぼ全ての管理策が関連するため、バランス良く多層的に実装することが有効ですが、攻撃の増加という観点でしいてあげると、次のような効率的な管理策の実施が考えられます。

8.21 ネットワークサービスのセキュリティ
 脅威インテリジェンスプラットフォームなどから情報を取得し、SOARにより処理を自動化することにより人的リソースへの負荷を減らし、タイムリーな対応を行います

5.ランサムウェアによる攻撃が深刻な脅威になる

 1) proofpoint4) Avast6) Check Point10) TrendMicro で取り上げられている内容を以下にまとめます。

脅威の概要

 ランサムウェアによるビジネスモデルが従来の二重脅迫から、窃取した情報の売却による換金や情報の漏洩により影響を受ける第三者を巻き込む三重脅迫に移行するなど、脅威アクターの目的は情報の暗号化から窃取に移行しており、攻撃が成立した場合の影響が外部に及ぶためターゲット組織にとって深刻な脅威と成り得る。
 さらに、攻撃の分業化にともない小規模で機敏な攻撃グループが登場し、ターゲット組織の特徴に合わせ大きなダメージを与える攻撃が選択されることが考えられる。

関連する管理策の例(ISO/IEC 27001:2022 Annex Aより)

 脅威の内容が攻撃全般と多岐に渡り、ほぼ全ての管理策が関連するため、バランス良く多層的に実装することが有効ですが、情報の窃取(情報漏洩)という観点でしいてあげると、次の管理策が考えられます。

8.3 情報へのアクセス制限
 DRM/IRMなどによりファイルを暗号化しアクセス制限により保護します
8.12 データ漏洩防止
 DLPなどにより、保管、利用、移動の各ライフサイクルにおいて機密情報の漏洩の可能性を監視し、予め設定しておいたポリシーに反する行為をブロックします
8.16 監視活動
 SIEM(+UEBA)により、攻撃者による活動の可能性を検知します

6.クラウドに特化した攻撃が増加する

 5) WithSecure7) Barracuda9) SOPHOS10) TrendMicro で取り上げられている内容を以下にまとめます。

脅威の概要

 今後もクラウド(特に、SaaS)を利用する組織は増えるため、クラウド特有の脆弱性(IAMを含む設定ミスや脆弱なAPIの使用など)を狙う攻撃が増えると予測される。
 また、ランサムウェアの攻撃対象もクラウドに移行することが予測され、Windows及びLinux両方のOSを暗号化するクロスプラットフォームマルウェアが観測されている。

関連する管理策の例(ISO/IEC 27001:2022 Annex Aより)

5.2 情報セキュリティの役割及び責任
 クラウドサービス利用の基本的な考え方である責任共有モデルに基づき、プロバイダとカスタマにおいて各管理策(設定)の実施責任を明らかにすることにより、実施漏れに一定の効果をもたらします
5.17 認証情報
 利用者に対し、クラウド特有の環境(アクセス制御が境界防御として機能する一面があること)を説明し、認証情報の重要性を理解してもらいます
8.8 技術的脆弱性の管理
 Windows以外のOSに関しても技術的脆弱性を管理します
 必要に応じ脆弱性診断、ペンテストの実施を検討します
8.9 構成管理
 技術的脆弱性の前提として、(API、SBOMを含む)クラウドサービスの構成を管理します
5.23 クラウドサービスの利用における情報セキュリティ
 CSPM、SSPMや設定不備診断サービスなどを利用し、設定不備の有無を確認します

7.その他

 その他、次の脅威について増加・拡大、継続が予測されています。

◆増加・拡大が予測されている脅威

ゼロデイ脆弱性が増加する

 7) Barracuda

ChromeOSへの脅威が増加する

 8) McAee

ITベースのサイバー攻撃が、ITネットワークに接続されているOTシステムにも及ぶ

 10) TrendMicro

企業在宅間の境界線リスクは今後も拡大する

 10) TrendMicro

◆継続が予測されている脅威

サプライチェーンの弱い部分を狙う攻撃が継続する

 1) proofpoint7) Barracuda

ワイパー型マルウェアが蔓延する

 2) FORTINET

オープンソースへの脆弱性悪用の攻撃が相次ぐ

 10) TrendMicro

情報源

まとめ

 各セキュリティベンダーによる予測であるため、自社で取り扱うツールやソリューションなどに関連する内容が多い傾向になると思われますが、今年は比較的ばらつきなく予測されているという印象を持ちました。
 1点目は、人の脆弱性を狙う攻撃が増えるという観点です。この点に関しては、以前よりは重要視する組織が確実に増えてはいるものの、十分なレベルに達している組織は少ないと思われ、また、近年は技術的対策による検知技術が向上しており、なりすましがし難くなったことも脅威アクターが選択する一因になっているのではないかと推測します。
 関連する管理策例の中でも紹介していますが、従業者が怪しさに気付くための支援や不正の可能性のあるサイトへのアクセス制限、あるいは、なりすましたアカウントによる組織内部の活動の検知など、脅威アクターが最終目的を達成することがないように多層に防御、検知・対応することが非常に重要です。
 一方、アカウントの乗っ取りは技術的に検知することが難しいため、人的な対策を含め同様に多層的な防御を張り巡らす必要があります。
 2点目として、昨年のEmotetのテイクダウンのような一時的な減少はあるかもしれませんが、長い目で見ると外部の脅威アクターによる攻撃が減ることはないと考えた方が良さそうです。国内の課題として未だに組織内のセキュリティ人員の不足が挙げられていることも併せて考えると、SOARやSIEM/UEBAなどのツールを利用した組織内の人的リソースの有効活用も検討が必要かもしれません。
 関連する管理策の中では触れていませんが、リスク対応として幅広く見た場合、リスク移転(リスク共有)としてのサイバーセキュリティ保険への加入なども検討の余地があると思います。