2020年のサイバーセキュリティの脅威は、新型コロナウイルス感染症の世界的な流行(パンデミック)による混乱の中でも衰えることはなく、コロナ禍に便乗するさまざまな攻撃も数多く発生した。2021年の脅威動向はどんな様相を見せるのだろうか。セキュリティベンダー各社の予想をお届けする。
リモートワークに伴う脅威は継続
新型コロナウイルスの感染拡大を防ぐべく世界中の都市がロックダウン状態に置かれ、多くの企業や組織でも在宅勤務を中心としたリモートワークが2021年も継続される。
Juniper Networksは、「安全性の低いホームネットワーク、BYOD(個人所有デバイスの業務利用)、サイロ化された運用により企業ネットワーク上でこれまで見えていた脅威がホームネットワーク上では隠れた脅威になる」と指摘し、2021年は「さらに多くの従業員がさまざまな場所から常に情報にアクセスする機会が増え、それに伴いデータの漏えいや流出が急増する可能性がある。ビジネスでは情報保護やデータアクセスを適切に制限するよりデータを利用できるようにすることが優先される場合が多く、これは犯罪者が情報のデータベースにアクセスし、データを盗む機会が増えることを意味する」と警鐘を鳴らす。
Oktaも同様に、「2021年は従業員の個人の家が重大なデータの流出の引き金となるような家・企業間でのデータ漏えいが顕著になる可能性がある」とする。加えて、「テレワークや在宅勤務が定着していく中で企業は、新しい働き方へ急に切り替えたことで手つかずとなっていた技術的な不備に取り組み始めることになるだろう。これは大幅なアーキテクチャーの変更を意味する。場合によって企業はその間に無防備な状態にさらされたままになる可能性があり、クラウド利用が加速し、ゼロトラストなどのインテリジェントで動的なセキュリティアーキテクチャーの導入が拡大する」と予想している。
欧米で新型コロナウイルスのワクチン接種が開始され、オフィス回帰の期待感も浮上しているが、DigiCertは、「オフィスへの移行の影響を和らげる生産性向上ツールを約束する攻撃者によるアプリが着実に増加するだろう。自宅とオフィスの両方で勤務する労働者が自宅で使用する一般的な家庭用デバイスを狙った攻撃も想定してほしい。自宅とオフィスで仕事をする労働者は、この移行期間を悪化させるだけで、混乱と事業にとってのセキュリティリスクを増大させる」と見ている。
人の心理を突く攻撃
2020年もコロナ禍に便乗して巧妙なだましの手口で人の心理を突くソーシャルエンジニアリング攻撃が横行しており、2021年も続くとの見方は多い。Oktaは、「人々への攻撃が増加し、データの盗難やなりすましによって活動を活発化させる組織が急激に増加し続けるだろう。ビジネスメール詐欺(BEC)や不正に入手されたアイデンティティー(ID)、アクセスの販売などが全て記録的なレベルに達するだろう」という。
DigiCertは、具体的に2020年に問題となった失業給付金詐欺などがさらに増加するほか、攻撃者が「無料の新型コロナウイルス検査が受けられる」などとうたって、少額の金銭や住所、電話番号、クレジットカード番号といった個人情報を不正に入手しようとしたり、「公的機関が承認したテクノロジー」などと虚偽の文言で悪意のあるアプリケーションをインストールさせたりするような手法を予想している。
Proofpointは、システム管理者の努力でインターネットに接続されるシステムの脆弱性が少なくなっているとして、攻撃者は「人の脆弱性」を利用してシステムに不正侵入し、検知されないために「ファイルレスマルウェア」を使い続けるだろうと見る。システム標準機能などを悪用する「LOLBins(Livingoff the land Binaries」)や「LOLScripts(Livingoff the land Scripts)」型攻撃の台頭を予測している。BECについては攻撃の拡大ペースが鈍化するものの、攻撃者が手法を高度化させることで、被害規模がさらに拡大する恐れがあると予想する。
クラウドに向かうランサムウェア
2020年のランサムウェア動向は、無差別型攻撃から特定の企業や組織に狙いを絞る標的型攻撃化が進み、データを暗号化するだけでなく、窃取してそのデータを暴露すると恐喝する手口が広まった。2021年は、さらにクラウドの要素を取り入れるとの見方が出ている。
F-secureは、2020年にEmotetの威力が実証されたことで、ランサムウェアを展開するため「ローダー・アズ・ア・サービス」が台頭すると見ている。Emotetが拡散のために侵害されたウェブサイトを使用していたのに対し、新しいローダーはクラウドストレージを使用しているとし、「2021年はランサムウェアを使用するサイバー犯罪者に対して新しいツール/サービス(ローダー・アズ・ア・サービス)を提供する者が増加することは間違いない」としている。
同様にProofpointは、コロナ禍で企業や組織のクラウド採用が急速に加速し、機密データのかなりの部分を外部のクラウドベースのリポジトリーに格納していると指摘する。「これらのデータストアはセキュリティ機能からは見えにくいことが多く、攻撃者が暗号化できないように保護されていない、あるいはバックアップされていないといったことがよくある。2021年にはランサムウェアがこれまでよりもクラウドストレージを狙い、被害を最大化し、レバレッジを高めて利益を増やすと考えている」という。
新興テクノロジーを狙う脅威
2020年は、世界各地でモバイルの5G(第5世代移動体通信)が開始され、IoTやクラウドなどの新しいテクノロジーを採用するITシステムの利用も引き続き拡大している。
Impervaは、5Gが成熟して一般的に普及すれば、攻撃者がネットワークを破壊したり機密データを盗んだりする目的でボットネットを構築していくだろうと予想する。また、機械学習技術が身近になる中で攻撃者も悪用するようになり、標的の防御手段を学習して、より効果的でしつような攻撃に最適化すべく自動化機能を用いるだろうと見ている。クラウドファーストのアプローチも広がり始めていることから、サーバーレスコンピューティングやマイクロサービスが標的に加わる恐れも指摘し、DDoS(分散型サービス妨害)攻撃を展開したり、APIの脆弱性を突いたデータ侵害が増えたりする恐れがあるという。
Fortinetは、エッジコンピューティングを狙う脅威を予想している。エッジには、エンドポイントとデータセンターやクラウドを中継したり、エンドポイントに近い場所で処理を行ったりするメリットが注目されているが、攻撃者がエッジを狙う「エッジアクセス型トロイの木馬(Edge Access Trojans)」を用いてデータを盗聴したり脆弱なポイントを探索したりする可能性や、攻撃組織が得意領域ごとに分業体制でエッジコンピューティングの環境を高度に悪用していくための活動を活発化させる可能性があると予想する。
また同社は、スマートデバイスや家庭用IoTデバイスを攻撃インフラに取り込むべく、攻撃者が一般ユーザーにソーシャルエンジニアリング攻撃を仕掛けてデバイスを乗っ取ったり、製造業などエッジの利用拡大が見込まれる企業や組織へのランサムウェア攻撃を展開したりする恐れもあると見ている。
セキュリティ投資の変化
2020年のセキュリティ投資は、コロナ禍でのリモートワークへの対応など急ピッチな展開が目立った。Juniper Networksは、独自調査で回答者の70%が「パンデミックによりネットワークセキュリティに対して計画していた今後の支出は制限される可能性がある」とした結果を挙げ、2021年はセキュリティ支出が減少し、迅速な結果が求められることになると予測している。
Oktaは、リモートワークなどにより機密データにアクセス可能な従業員が分散化し、こうしたリスクに対して、行動分析やデバイス識別といったアプローチが、セキュリティ対策の新しいイノベーションを創出する可能性があると期待する。DigiCertやProofpointは、セキュリティ運用などの自動化を支援するテクノロジーが標準的になるだろうと見ている。
DigiCertの調査によれば、セキュリティの自動化をしなかったという組織は2019年の12%から2020年は5%に減少し、同社は2021年に自動化の水準が飛躍的に向上するだろうと予測する。これにより企業は自社内のベンダー数を減らすようになり、セキュリ ティベンダーの統合が起こり得ると予想している。Proofpointは、セキュリティ人材の不足から、自動化のテクノロジーがオプションではなく標準になると予測。「セキュリティ部門の機能を継続させるための唯一の方法は、アカウント管理からファイアウォール管理、メトリクスの作成、アラートとトリアージ、データ損失調査などセキュリティ機能の一部を自動化すること」と説いている。
Fortinetは、将来の攻撃に対する防御において人工知能(AI)が重要な役割を果たすと主張する。攻撃側が手法やリソースを高度化させ、未来のサイバー攻撃がマイクロ秒単位で発生する恐れがあるという。「人間の神経系と同様に機械学習を利用したローカルの学習ノードを統合システムの一部として活用する必要もあるだろう。AIを活用して攻撃の発見や予測、対抗を可能にするテクノロジーを実用化する必要がある。人間の主な役割はセキュリティシステムに十分なインテリジェンスが備わっていることを確認することであり、それによって進行中の攻撃に対抗するだけでなく、攻撃を予測して回避可能になる」としている。