「サイバー攻撃」の狙いと手法
サイバー攻撃は、特定の企業や組織を狙う標的型から個人を含む不特定に対する無差別型攻撃まで、その対象や手法はさまざまだが、セキュリティ各社は下記の動向を予想している。
ターゲット
攻撃の「ターゲット」では、A10ネットワークスがモバイル通信事業者やクラウドプロバイダー、政府/自治体への攻撃、フォーティネットが重要インフラを挙げている。
A10ネットワークスによれば、モバイル通信事業者では外部の攻撃から自社ネットワークを重点的に保護している一方、攻撃がネットワーク内部からも発生する可能性があるという。3G/4Gのコアネットワークの保護が不十分であるため、攻撃者が標的になるコンポートネントを見つけて攻撃することで、ネットワークがダウンする事態が生じかねないという。
またクラウドプロバイダーがターゲットにされる背景には、企業システムのクラウド化があり、行政サービスの電子化から政府/自治体が推進するクラウドもターゲットにされるとみる。2016年にマルウェア「Mirai」のボットネットがインターネットサービスプロバイダー(ISP)に行ったDDoS攻撃の影響で企業サイトへの接続が不安定になったことからも、企業はクラウドプロバイダー側のインフラを制御しづらいことからリスクが高まるという。政府/自治体では予算の制約下でセキュリティを確保せざるを得ず、最善を尽くしていても攻撃によって個人情報が危険にさらされる恐れがあるとしている。
フォーティネットは、サイバー犯罪手法の進歩によって、これまでクローズドなネットワーク環境で運用されて医療や制御系のシステムのリスクが高まると予想する。サービスの高度化を目的にインターネットなど外部ネットワークに接続される機会が増しているものの、そのような運用が十分に考慮されていないため、セキュリティシステムの高度化が必要だと説いている。
攻撃手法
攻撃手法では、シマンテックやカスペルスキーが「サプライチェーン型」攻撃の増加を挙げている。サプライチェーン型攻撃とは、企業や組織が利用するサードパーティーのアプリケーションや、取引関係などがある特定のウェブサイトなどを悪用して、攻撃者が侵入を試みる手法だ。後者のウェブサイトなどを悪用する手法は、「水飲み場型」攻撃とも呼ばれる。
ビジネスには、サプライヤーや契約業者、パートナーなどさまざまな組織が関係するため、最近の標的型攻撃では攻撃者が直接最終目的の企業や組織へ侵入するというより、関係者の中でセキュリティが脆弱な組織を踏み台にする傾向にあるとされる。
2017年は、会計ソフトの更新プログラムを悪用してマルウェア「NotPetya」を送り込む攻撃が発生したほか、一般にも人気のユーティリティソフトの更新版にマルウェアを埋め込んで拡散させ、その中から特定の組織へ侵入する攻撃が発覚した。攻撃者に悪用されたソフトウェアに業務用と一般向けという違いはあるものの、いずれも正規のソフトウェアの更新プログラムを使う手口は同じだった。
両社はともに、サプライチェーン型攻撃では攻撃者が標的を絞り込んでそこへ侵入するための戦術を組み立てやすいと指摘する。逆に狙われる側は、正規の取引先やツール、ソフトウェアが攻撃者の侵入口となってしまうため、その特定や防止が難しいと解説する。
また、トレンドマイクロは「ビジネスメール詐欺(BEC)」の増加を予想。BECに対する注意喚起は、国内では2017年4月に行われていたが、同年12月に大手航空会社での大規模な被害が明らかになった。トレンドマイクロでは、送金に関する多段階の承認プロセスの採用や、メール以外での複数の連絡手段による確認が重要だとしている。
サプライチェーン型の手法はさまざまなターゲットへの攻撃に有用だとみなされている(シマンテックの記者説明会より)
