2022年の脅威予測レポート


2022年に企業が注意すべきサイバーセキュリティの脅威

ランサムウェア、国家、ソーシャルメディア、依存度が高まるリモートワークへの移行が、2021年に話題になりました。悪意ある攻撃者は、成功した戦術から学び、それらを再構築して2022年のサイバー攻撃に狙いを定めており、私たちの生活全体をさらに大混乱に陥らせる危険性があります。

2022年に脅威の状況がどのような様相となるか、さらにこれらの新しい脅威や進化する脅威が、企業、国家、消費者にどのような影響を与える恐れがあるかについて、Advanced Threat Researchチームのメンバー、エンジニアおよびセキュリティアーキテクトらによるプレビューをお伝えします。

1.拡大するソーシャルメディア経由の脅威

国家はソーシャルメディアを武器に、より多くの企業幹部をターゲットに

By Raj Samani

人々は有名人と評論家の言い争いを眺め、一方で最高の仕事を求めて職探しに余念がありません。皆、ソーシャルメディアが大好きです。

しかし、ソーシャルメディアでのやりとりは誰が見ているかわかりません。私たちが一度も会ったことのない人たちとつながるのは、フォロワーをさらに1,000人獲得する欲求のためだということを、サイバー犯罪者たちはわかっているのです。

その結果、どうなるかと言えば、特定の脅威グループから仕事のオファーが企業幹部に舞い届くのです。それがなぜ危険なのかというと、結局のところ、それは従来のセキュリティコントロールを回避して、スパイグループが関心を持つ企業のターゲットと直接コミュニケーションを取るための最も効率的な方法になるからです。同様に、ダイレクトメッセージは、インフルエンサーのアカウントを悪用して、メッセージを送信するために使われることもあります。

このアプローチは新しいものではなく、よく使われる手口です。所詮ターゲットをやりとりに「引き込む」ためには、ある程度の調査が必要であり、偽のプロフィールを用意することは、インターネット上のどこかで接点を見つけるよりも手間がかかります。とはいえ、個人を標的にすることは非常に成功率の高いチャネルであり、この経路の使用は、国家がバックにいるスパイグループだけでなく、組織に侵入して利益を得ようとしている犯罪者たちの使用も増加する可能性があると予測します。

2.国家に雇われたサイバー犯罪者が暗躍

国家はサイバー犯罪者を活用することで攻撃のオペレーションを強化

By Christiaan Beek

戦略的なインテリジェンスを重視する当社のチームは、活動を監視するだけでなく、多様な情報源からのオープンソースのインテリジェンスを調査・監視し、世界各地の脅威活動について、より多くの知見を得ようとしています。その1つが、サイバー犯罪と国家オペレーションの融合の増加です。

多くの場合、スタートアップ企業が設立され、フロント企業や既存の「テクノロジー」企業を網の目のように張り巡らせた中で、各国の情報当局が指揮・統制する作戦が展開されています。

たとえば、20215月、米国政府は国営フロント企業で働いていた4人の中国人を起訴しました。このフロント企業は、ハッカーがマルウェアを作成し、関心のあるターゲットを攻撃して、ビジネス情報や企業秘密、機密技術に関する情報を得ることを支援していました。

中国だけでなく、ロシア、北朝鮮、イランなどの他の国々もこうした戦術を用いています。オペレーションのためにハッカーを雇い、自国の利益を害さない限り、他にどんな攻撃をしていようとお構いなしです。多くの場合、外国のターゲットに照準を当てていますが、イランのサイバーユニットのフロント企業である「Eeleyanet Gostar」のように、自国民を標的とするケースもあります。流出した文書によると、国際空港や旅行代理店をハッキングして国民を追跡する「Sayad」プロジェクトが明らかになっています。

これらの報告と情報に加えて、ツールは複数のグループまたは個人によって使用されることが知られています。これまでは、特定のマルウェアファミリーが国家グループと結び付けられていましたが、コードの作成やこれらの作戦の実行をハッカーに依頼すると、不明確な点が出てきます。例えば、コマンド・アンド・コントロール(C2)サーバーに接続して認証情報を伝達する機能を持つマルウェアのサンプルは、過去にはクレジットカード情報を盗むために、また最近では被害者のネットワークにアクセスしてランサムウェアを配布するために使用される、典型的なサイバー犯罪でした。しかし、特定のターゲットに対しては、これらの同じ認証情報が、その特定のネットワークにアクセスしたいと考えている外国の諜報機関にとって非常に興味深いものとなる可能性があります。

初期の侵入は、戦術やツールを駆使して「典型的な」サイバー犯罪と同様に行われますが、次に何が起きているかを監視し、迅速に行動することが重要です。2022年には、サイバー犯罪と国家の攻撃者との関連付けがより曖昧になると予測されているため、企業は可視性を監査し、自社のセクターを標的とする攻撃者が行った戦術やオペレーションを教訓とする必要があります。

3.RaaSエコシステム内の攻防により勢力均衡がシフト

独立したサイバー犯罪グループは、RaaSエコ王国内のパワーバランスを変化させます。

By John Fokker

ここ数年、ランサムウェアによる攻撃は、最もインパクトのあるサイバー脅威として注目されてきました。当時のRansomware-as-a-Service(RaaS)モデルは、スキルの低い犯罪者にもサイバー犯罪のキャリアパスを提供し、侵入件数の増加と犯罪者の利益の増大につながりました。

長い間、RaaSの管理者と開発者が最も優先され、技術力が低いとされたアフィリエイトは軽視されていました。これに加えて、RaaSのエコシステムが混乱していなかったこともあり、これらのスキルの低いアフィリエイトが成長し、最終的には自分の意思を持った非常に有能なサイバー犯罪者へと成長する雰囲気が生まれていました。

コロニアル・パイプラインへの攻撃が大きく報道された後、人気の高いサイバー犯罪フォーラムでは、ランサムウェアの攻撃者による広告を禁止しました。その結果、RaaSグループは積極的に採用したり、優先順位を示したり、エスクローを提供したり、モデレーターによるバイナリをテストを行ったり、紛争を解決したりするためのサードパーティプラットフォームがありません。可視性の欠如により、RaaSグループは信頼性を確立または維持することが難しくなり、RaaS開発者が地下市場での現在の最上位の地位を維持することが困難になっています。

これらの出来事は、彼らの信頼される立場を弱体化させました。近年、ランサムウェアは数十億ドルを生み出しており、そのような収益を得ている中で、公平なシェアを得られていないことに不満を持つ層が出てくるのは想像に難くありません。

この出来事の最初の兆候は、Grooveギャングについてこちらの ブログ で説明されているように、すでに顕在化しています。Groove ギャングは、従来のRaaSとは異なり、コンピューターネットワークエクスプロイト(CNE)に特化し、機密データを盗み出し、収益性が見込める場合は組織のネットワークを暗号化するためにランサムウェアチームと提携しています。

2022年には、より自立したサイバー犯罪グループが台頭し、RaaSのエコシステムにおけるパワーバランスが、ランサムウェアを制御する者から被害者のネットワークを制御する者へと変化することが予想されます。

Groove ギャングをBabukおよびBlackMatterにリンクする際に、ATRチームは以下に属するデータ流出を発見しました。

  • 米国の主要なスポーツチーム
  • 英国のITサービスプロバイダー
  • イタリアの製薬会社
  • 米国の主要な警察署
  • 米国を拠点とするインテリアショップ

次に被害を受けるのはどのような企業やサプライチェーンでしょうか?

4.スキルの低いランサムウェアオペレーターが、RaaSモデルのパワーシフトの中で地位を確立

スキルの低いオペレーターでも、RaaSモデルのパワーシフトで後れを取ることはありません

By Raj Samani

Ransomware-as-a-Service(サービスとしてのランサムウェア)のエコシステムは、開発者と協力して利益の分配を受ける仲介役のアフィリエイトを利用して発展してきました。この構造は、GandCrabの成長過程で磨かれましたが、一方で、結合は完璧とは言えず、潜在的な亀裂があることがわかりました。

歴史的に主導権を握っているのはランサムウェアの開発者であり、技術的な専門性を確認するために「就職面接」を行うなどして、オペレーションに参加するアフィリエイトを選択することができました。しかし、より多くのランサムウェア開発者が市場に参入するようになったことで、優秀なアフィリエイターは自分たちのサービスをオークションにかけ、より多くの利益を得ることができるようになり、さらには運営面での発言力を求めるようになったのではないかと考えられます。例えば、DarkSideランサムウェアにActive Directoryの列挙機能が導入されたのは、アフィリエイトの技術的な専門知識に依存する必要をなくすためと考えられます。このような変化は、ランサムウェアの初期に回帰する可能性を示しています。ランサムウェアの開発者が暗号化した専門知識を利用するスキルの低いオペレーターの需要が増加しているのです。

これはうまくいくでしょうか?率直に言って、熟練したペネトレーションテスターの技術的な専門知識を再現するのは難しいでしょうし、もしかしたら、最近の事例ほど深刻な影響は出ないかもしれません。

しかし、トルコに住む21歳の米国市民が、8月にT-Mobile社を攻撃し、サーバーにアクセスして数百万のファイルを盗み出し、その後、地下フォーラムで販売したことが

5.APIのリスクが増大

APIサービスとアプリ間の5G及びIoTトラフィックが利益を生み出すターゲットに

By Arnab Roy

最近の統計によると、クラウドアプリケーションは、その種類(SaaS、PaaS、IaaS)にかかわらず、B2BシナリオであれB2Cシナリオであれ、ソフトウェア開発者がAPIを設計し、利用し、活用する方法を大きく変えてきました。機能豊富なAPIは、単なるアプリケーションのミドルウェアから、モバイルアプリケーション、モノのインターネット、ダイナミックなウェブベースの生産性向上スイートなど、今日私たちが利用するほとんどの最新アプリケーションのバックボーンへと進化しています。これらのクラウドアプリケーションは、その普及率の高さと、APIの背後にあるビジネスクリティカルなデータや機能の宝庫であることから、脅威の攻撃者にとっては収益性の高い標的となります。また、接続されているAPIの性質上、より広範なサプライチェーン攻撃の入口となり、企業にさらなるリスクをもたらす可能性があります。多くの場合、APIを標的とした攻撃は検出されません。APIが一般的に信頼された経路とみなされ、同レベルのガバナンスやセキュリティ管理が行われていないためです。

今後起こりうる主なリスクは次のとおりです。

  1. APIの設定ミスによる意図せぬ情報流出が発生
  2. Oauth/Golden SAMLなどの最新の認証メカニズムを悪用してAPIへのアクセスを取得し、標的の環境内に滞留
  3. 従来のマルウェアによる攻撃を進化させ、Microsoft Graph APIなどのクラウドAPIを多用して侵入し拡散。SolarWinds社への攻撃や、APT40/GADOLINIUMなどの攻撃が該当
  4. クラウドストレージサービス(例:OneDrive)などの企業データに対し、APIを悪用したランサムウェア攻撃の可能性
  5. ソフトウェア定義のインフラストラクチャにAPIを使用することで、インフラの完全な乗っ取りにつながる潜在的な誤用や、悪意のある目的のためのシャドーインフラストラクチャに

消費されたAPIを確認する機能を用いてアプリケーションの使用状況を可視化することは、組織にとって優先事項であるべきです。その最終的な目標は、アクセスされたAPIのリスクベースのインベントリと、そのようなサービスへのアクセスを制御するためのガバナンスポリシーを持つことです。また、APIをより広範な企業エコシステムと統合するサービスアカウントやアプリケーション原則など、インフラ内の非ユーザベースのエンティティを可視化することも重要です。

開発者にとって、API向けの効果的な脅威モデルを開発し、ゼロトラストのアクセスコントロールメカニズムを持つことは、より優れたインシデント対応と悪意のある不正使用の検出のための効果的なセキュリティロギングとテレメトリと並んで、優先事項であるべきです。

6.アプリケーションコンテナの悪用が拡大

コンテナの悪用の拡大によって、エンドポイントのリソースが乗っ取られる可能性

By Mo Cashman

コンテナは、最新のクラウドアプリケーションの事実上のプラットフォームとなっています。最近のIBMの調査では、利用者の64%が、今後2年間で既存および新規のビジネスアプリケーションの50%以上をコンテナ化すると予想しています。企業は、ポータビリティー、効率性、スピードなどのメリットを享受し、ビジネスに革新をもたらすアプリケーションの導入と管理にかかる時間を短縮することができます。しかし、コンテナの使用が加速すると、組織の攻撃対象範囲が増大します。公開アプリケーションの悪用(MITRE T1190)は、APT やランサムウェアのグループがよく使用する手法です。Cloud Security AllianceCSA)は、イメージ、オーケストレータ、レジストリ、コンテナ、ホストOS、ハードウェアなど、複数のコンテナリスクグループを特定しました。

コンテナに対する攻撃は新しいものではありませんが、今後、悪用の拡大が予想される主要なリスクグループを以下に示します。

  1. オーケストレータのリスク:Kubernetesなどのオーケストレーションレイヤーや関連するAPIに対する攻撃が、主に設定ミスによって増加
  2. イメージやレジストリのリスク:脆弱性チェックが不十分なため、悪意のあるイメージや裏取りされたイメージの使用が増加
  3. コンテナのリスク:脆弱なアプリケーションを狙った攻撃の増加

上記の脆弱性が悪用されると、クリプトマイニング、他のリソースのスピンアップ、データ窃取、攻撃者の持続性、ホストシステムへのコンテナ逃避などによる、エンドポイントのリソース乗っ取りにつながります。

セキュリティをDevOpsプロセスに組み込むためには、設定ミスの継続的な評価、イメージの完全性のチェック、管理者権限の管理などが推奨されます。MITRE ATT&CK Matrix for Containersを使用して、クラウドセキュリティアーキテクチャのギャップを確認してください。

7.ゼロデイとその対策の浸透

脆弱性が悪用されるまでの数時間に、できることなど何もない…それでもパッチは適用できる

by Fred House

2021年は、悪用されたゼロデイ脆弱性の数が過去最悪の記録を更新したと言われています。エクスプロイトの範囲、標的となったアプリケーションの多様性、さらに最終的に組織が受けた被害は、すべて注目に値するものでした。2022年を見据えると、これらの要因に対して、組織の対応スピードが加速すると予想します。

2020年の年末にSolarWinds社の顧客、17,000件が侵害を受け、その後、約40社が標的になったことがわかったとき、多くの人がその侵害の範囲の大きさに衝撃を受けました。残念なことに、2021年には、その被害が著しく増大したものの、組織側はこれといった対応を取るに至りませんでした。最たる例は、MicrosoftがProxyLogonのパッチをリリースした2週間後、3万台のExchangeサーバーが脆弱な状態に置かれたままであると報告されました(その数は控えめに見積もっても6万台と見られている)。

その後、今年2番目のExchangeの脆弱性として、ProxyShellが確認されました。8月にBlackhatでのプレゼンテーションでExchange Serverの脆弱性の詳細が明らかにされ、その翌日にはエクスプロイトPOCが公開されましたが、これらはすべて数カ月前の4月から5月にかけてMicrosoft社がすでにパッチしたものでした。エクスプロイトPOCが公開されてから1週間後にShodanによって収集されたデータの分析の結果、3万台超のExchangeサーバーが依然として脆弱であると結論づけられましたが、このデータは全体像を過小評価している恐れがあると指摘しています(言い換えれば、Shodanにはインターネット全体をスキャンする時間がなかったということです)。つまり、春にパッチを当て、秋に悪用された、ということです。

さて、これらの結果から何を教訓とすべきでしょうか?攻撃者もセキュリティ研究者も、脆弱性の公開後数時間以内に武器化したエクスプロイトやPOCを生み出そうと、技術を競い合うことでしょう。その一方で、侵害された場合の被害が甚大になっていることに急き立てられ、資産やパッチの管理に関する不断の努力を新たにすることにもなるはずです。公開されている資産を特定することから、ビジネスの中断を余儀なくされる恐れがあってもパッチを迅速に適用することまで、企業は「パッチ適用までの時間」を短縮することに改めて取り組むことになるでしょう。大きな被害をもたらすエクスプロイトが引き続き起きることは避けられませんが、より多くの組織が基本に立ち返ることで、こうした侵害の範囲は縮小していくとみられます。

※本ページの内容は2021年10月26日(US時間)更新の以下のMcAfee Enterprise Blogの内容です。
原文:McAfee Enterprise & FireEye 2022 Threat Predictions
著者:McAfee Enterprise