ソフォスは12月8日、2022年度版の脅威レポートの日本語版(英語版は11月9日)を公開。同日、報道機関向けの説明会をオンラインで開催した。
同社 セールスエンジニアリング本部 副本部長 兼 シニアセールスエンジニアの杉浦一洋氏はまず、レポートについて「今後1年間でITセキュリティに影響を与えるサイバー脅威と攻撃者の主な傾向をまとめたもの」で、2021年の脅威状況を踏まえて2022年を予測したものだと紹介。内容に関しては、同社内の研究部門「SophosLabs」の研究者や同社内「Managed Threat Response」(MTR)の脅威ハンター、インシデント対応チーム、「Sophos AI」チームなどが収集したデータや知見をまとめたものになる。
同氏はレポートのポイントとして、「ランサムウェアはよりモジュール化、統一化され、大きな影響を与える」「ランサムウェアは恐喝戦略でテクノロジーだけでなくユーザーも標的にする」「攻撃者のシミュレーションツールの悪用は引き続き継続する」「より多くのマルウェアファミリーが『ハイブリッド』攻撃を実行する」「より多くの攻撃がIT管理ツールと脆弱なインターネット向けサービスを大量に悪用する」「より多くの攻撃がLinuxベースのシステムを標的にする」「モバイルマルウェアは全てのOSで増加を続ける」「守る側と攻撃者が人工知能(AI)を採用する」の8項目を挙げ、それぞれ詳細を説明した。

脅威レポート 2022版で予測された主な傾向
ランサムウェアについては、2022年も引き続き脅威の中心的な存在なると予想されている。2020~2021年に「Sophos Rapid Response」が実施したインシデント対応の理由を分析したところ、79%がランサムウェアによるものだといい、ランサムウェアが現在の脅威の中心であることが分かる。
また、ランサムウェアのSoftware as a Service(SaaS)化(=Ransomware as a Service:RaaS)の傾向は顕著で、攻撃者側も単一のグループが全てを担うのではなく、ランサムウェアのコード開発やマルウェアなどを配布してランサムウェア感染を引き起こす役目、実際の脅迫を実行する役目など、特定の役割を担う複数のグループが連携(モジュール化)する状況は2022年も変わらないとみられる。

2020~2021年のSophos Rapid Responseのインシデント対応の理由の内訳
こうした傾向の結果として、有効な脅迫手法などのノウハウの共有が進み、それが「プレイブック」といった形で提供されるようになるなど、さまざまな攻撃グループが類似した攻撃手法を実行するようになることも予測されている。
杉浦氏は、脅威状況の予測に関しても2021年と大きく変わるものではないことから、2022年のセキュリティに関する基本的な推奨事項もおおむね従来通りだという。具体的には、戦略的な防御として「多層防御」「テクノロジーによる自動化/省力化と人間の専門知識を組み合わせた『年中無休』の対応」が、戦術的な防御として「警告を監視して対応」「基本事項の強化(パスワード、多要素認証、安全なリモートアクセスツール、ネットワークのセグメント化、ゼロトラスト、アクセス権の管理、バックアップ)」といった対応が引き続き推奨されるとした。

2022年のセキュリティに関する基本的な推奨事項