ウィズセキュアは、同社のセキュリティエキスパートによる、2024年におけるサイバー脅威を取り巻く環境に関する予測コメントを発表した。
この予測は(1)サイバー犯罪の専門化、(2)クラウドサービスの普及とリモートワークの継続による攻撃対象の拡大、(3)オープンソースは安全な汎用人工知能(AGI)作りに貢献できるのか、(4)サプライチェーンへの攻撃、(5)サイバーセキュリティにおけるグリーンコーディングーーという5項目からなる。
(1)では、サイバー犯罪集団が企業内の貴重なデータに到達するためのネットワークへの侵入経路として、インターネット境界に面したサービスを大規模に悪用しているとし指摘している。
ランサムウェアグループ「Clop」はファイル転送ソフトウェア「MOVEit」に仕掛けた攻撃手法で成功をした。そこでこれと同様の流れでエッジデータ転送サーバーをターゲットとした、より大規模な攻撃キャンペーンが実行される可能性があるという。
MOVEitは大量の重要なファイルを組織間で確実に転送するために使用されているが、ClopはMOVEitのサーバーを悪用してこれらのファイルにアクセスし、流出させた。今後はこの方法を模倣した攻撃が増えることが想定されている。このタイプの攻撃は手順が少ないため攻撃者にとっては単純なものであり、同時に防御側にとっては検知が非常に困難となる。攻撃はすべて1台のサーバーに向けられるため、ラテラルムーブメント(水平移動)を検知することはできない。
またターゲットとなるサーバーはインターネットに面しているため、こうしたサーバーがリモートの宛先にファイルを大量に転送することは通常の動作だとみなされやすい。そのため異常なアクティビティーとして認識されなかったり、セキュリティチームによって誤検知として処理されたりする可能性が高い。
(2)では、サプライチェーンの一部が侵害を受けることで、複数の組織に悪影響を及ぼす可能性があると指摘する。オフィス用電話システムの3CXへの攻撃は、まさにその実例といえるもので、多くのユーザー数を持つVoIPソフトウェアのプロバイダーを侵害し、そのユーザーを感染させた。攻撃者は3CXのウェブサーバーの脆弱性を悪用し、ソフトウェアのアップデートに悪意のあるコードを混入した。3CXのサプライチェーン攻撃は、1つのソフトウェアサプライチェーン攻撃が別のソフトウェアサプライチェーン攻撃につながったものだった。
ウィズセキュアでは、この事例がサプライチェーンシステムだけでなく、サードパーティーベンダーのシステムも保護することの重要性を示しているとし、今後もサプライチェーン攻撃は多くの課題をもたらすことになると指摘している。
このように新しいインターフェース、API、通信チャネルを備えたクラウドサービスは攻撃者にとって新たな標的となり、潜在的な攻撃対象領域が拡大することになるという。例えばクラウドインフラとリソースの設定と管理におけるエラーや見落としが原因で発生するクラウドサービスの設定ミスは、セキュリティの脆弱(ぜいじゃく)性、データの漏えい、運用上の問題につながるという。ウィズセキュアでは、こうした設定ミスを軽減するには、定期的なセキュリティ監査を実施し、クラウドサービスプロバイダーが提供するベストプラクティスに従い、潜在的な問題の継続的な監視を怠らないことが必要だとしている。
(3)では、2024年にはオープンソースAIの分野で、さらに多くの研究とイノベーションが起こり、オープンソース支持者の数は増えるだろうとしている。
一方2024年は米大統領選挙の年であり、AIはフェイクニュースや影響力を持つ戦略のために使われるだろうと指摘する。サイバー犯罪者は効率化のためにAIを活用し、生成モデルを用いてフィッシングコンテンツ、ソーシャルメディアコンテンツ、ディープフェイク、合成画像/動画を作成することが予測される。
こうしたコンテンツの作成にはプロンプトエンジニアリングの専門知識が必要だが、それさえもサービス化されていく可能性が高い。画像や動画を生成するAIサービスが制御しやすくなるにつれて、アクセシビリティーにおいてテキスト生成に追いつき始めると考えられるという。そしてAIが生成する膨大な数の画像がインターネット上に氾濫し歴史的な画像も含めほぼ全ての画像がその真贋を疑われるようになると予測している。
なお今後登場するサービスや製品ではAI機能の搭載の有無が購入/導入決定の要素の1つになるが、初期のIoTデバイス同様、セキュリティを軽視した製品も市場に出てくることが予想されるため、ユーザーはこうした点も十分考慮する必要があるとしている。
(4)では、(2)でも指摘したサプライチェーンのセキュリティに関する課題について述べている。ユーザーのデータはいたるところに存在し、さまざまなプロバイダーが提供するサービスによって処理されている。しかしそのプロバイダーも自身のサプライチェーンにおけるセキュリティの全容を把握できているとは限らないという。
セキュリティ/プライバシー保護のために多くの規制がサービスプロバイダーに対して導入されつつある。しかしテクノロジーの進化に合わせて規制は変化しつづけるため、サプライチェーンは絶えず新たな課題をもつことになる。
これに対して攻撃者は大手のサービスプロバイダーそのものを標的にする必要はなく、オープンソースのコードやAIモデルを標的にすることもできる。汚染されたオープンソースコードには汚染されたコードを特定するツールがあるのとは対照的に、汚染されたAIモデルが提供する変更にユーザーが気づかない可能性がある。このような状況になると、もはやゼロトラストは機能せず、AIが信頼できるものかどうかさえ分からなくなるという。
(5)では、温室効果ガスの排出量を削減する上で、ICT業界がクラウドサービスと各種デバイスの両方において果たす役割はきわめて大きいとしている。そして今後12〜18カ月の間に、コードの作成、運用においてはエネルギー効率を優先させるべきというユーザー側からの要請が高まり、ICT業界における共通規格が登場すると予想している。
しかしコードを最適化するには、デバイスから実際の使用データを収集し、ラボでのテストにとどまらず、高い効果を持つ分野を特定する必要がある。AIテクノロジーをこれに活用することは可能だが、生成AIエンジンの構築と運用には従来のアルゴリズムとは対照的に計算コストがかかる。このように持続可能で効率的なコードを実世界のシナリオに適用する際には、さまざまな要素を考慮することが極めて重要になるという。
