2022年の脅威予測:国家がソーシャルメディアを武器化、犯罪者を使って利益を得る

McAfee Enterprise & FireEyeは、2022年の脅威予測を発表しました。この記事では2022年も継続的に見られるであろうサイバー攻撃に対する国家の関与と役割について、深く掘り下げて解説します。

予測1:拡大するソーシャルメディア経由の脅威

By Raj Samani

私たちは有名人と評論家の言い争いを眺め、一方で最高の仕事を求めて職探しに余念がありません。皆、ソーシャルメディアが大好きです。

しかし、ソーシャルメディアでのやりとりは誰が見ているかわかりません。私たちが一度も会ったことのない人たちとつながるのは、フォロワーをさらに1,000人獲得する欲求のためだということを、サイバー犯罪者たちはわかっているのです。

その結果として、ある脅威グループから仕事のオファーを約束されたエグゼクティブがターゲットになりました。脅威グループが従来のセキュリティ管理を回避し、関心を持った企業のターゲットと直接コミュニケーションをとるためには、最も効率の良い方法なのです。ダイレクトメッセージは、インフルエンサーのアカウントを利用して犯罪者がメッセージを送信するために使われるケースもあります。

この手法は取り立てて新しいものではなく、よく使われる手口のひとつです。どのような方法を使うにしても、ターゲットを「釣り上げる」ためにはリサーチが必要です。インターネット上のどこかで接点を見つけるよりも、偽のプロフィールを作り上げる方が手間のかかる作業です。とはいえ、個人を標的にすることは非常に成功率の高いチャネルであり、この経路は国家をバックに持つスパイグループだけでなく、組織に侵入して利益を得ようとする犯罪者たちにも使用される可能性があると予測します。

潜在的な影響とその結果
ソーシャルメディア・チャネルが脅威者に狙われた場合、経営者や企業に非常に大きな影響を与えます。私たちは、国家的な犯罪グループがLinkedInのようなプラットフォームを利用して経営層を狙っているのを見かけます。具体的には、防衛・航空宇宙産業がターゲットになっています。私たちは何年も前からLinkedInでコネクションを作り、ネットワークを拡大していますが、犯罪者はその求人広告を悪用します。攻撃者たちは、狙いを定めた企業で働いている幹部を探し出します。そして、一見すると本物のリクルーターに見えるような偽のプロフィールを作成して、企業の幹部にマルウェアである職務記述書をダウンロードさせます。この種のスパイ活動は、TwitterInstagramRedditなど、他のソーシャルネットワークでも実行できます。

テクニックと戦術
かつては偽のソーシャルプロファイルを発見することは、それほど難しくありませんでした。しかし、北朝鮮のように時間をかけてプロフィールを準備して情報セキュリティ業界の人々に近づき、LinkedInを利用してフォロワーやコネクションを獲得するケースなどは、以前と比べ不正なアカウントとして検出することが困難になっています。犯罪者は合法的なものと見分けが難しいようなテクニックや戦術を使い、ソーシャルメディアを武器に使います。どのような種類の仕事に興味があるのかを熱心に調査します。そして偽のオファーを提供し、ドキュメントを開くように促してデバイスに悪意のあるコンテンツをダウンロードさせるのです。

規制
私たちは、規則、領土、管轄権によって管理される世界に住んでいます。サイバー犯罪者たちに責任を取らせるためには、デジタルの証拠が必要です。私たちにはデジタルの調査を行ううえでの規制や制約がありますが、犯罪者はそうではありません。犯罪者引き渡し条約がない地域では、規制による影響を受けず、犯罪行為を続けることが可能です。残念なことに、サイバー犯罪は否認防止が適用されるため、犯罪者はすべての事実を否定して逃げ切ることができます。

予防策
サイバー犯罪は常に向き合わなければならない問題であり、私たちは攻撃者が何をしているのか、何を狙っているのか理解しておく必要があります。脅威と、その脅威がもたらす結果について、理解することが重要です。McAfee EnterpriseFireEyeは、悪意のある攻撃者を追跡し、インテリジェンスを製品に統合してCISOCEOがターゲットとなった場合の対処と確認のポイントなどを含めコンテンツを利用できるように努めています。


予測2:国家に雇われたサイバー犯罪者が暗躍

By Christiaan Beek

私たちのチームは、戦略的インテリジェンスに焦点を当てて活動を監視するだけでなく、多様なオープンソースインテリジェンスを調査・監視、世界中の脅威のアクティビティに関して多くの知見を得るよう取り組んでいます。その中でも、国家ぐるみのサイバー犯罪が増加しています。

多くの場合はスタートアップ企業を作ります。そのフロント企業と、すでに存在している「テクノロジー企業」に対して国の情報省が指揮・統制する形で関与して運用します。

例えば20215月、米国政府は中国の国営フロント企業で働く4人を起訴しました。このフロント企業は、ハッカーがマルウェアを作成し、関心のあるターゲットを攻撃してビジネスインテリジェンス、貿易機密、機密技術に関する情報を得られるよう手助けしていました。

中国だけでなく、ロシア、北朝鮮、イランなど、他国もこのような戦術を用いています。ハッカーを雇って活動させ、自国の利益を損なわない限りは彼らの他の活動について黙認します。

かつては、特定のマルウェアファミリーと国営グループの結びつきが明白でした。しかし、雇ったハッカーにコードを書かせて活動させるようになると、関係性が見えづらくなります。

最初の侵入に用いる戦術やツールは、「よくあるサイバー犯罪」のオペレーションと変わりがないかもしれません。しかし、次に起きることを監視して、迅速に行動することが重要です。2022年には、サイバー犯罪と、国家が関与する犯罪者たちとの関連がより曖昧になることが予測されるため、企業は可視性を監査し、その標的となった業界、そして犯罪者が実行した戦術と作戦について、理解をする必要があります。

潜在的な影響とその結果
多くのツールを手に入れて、破壊と破壊的イノベーションを繰り返しながら変化し続けます。経済や国家の安全保障にとって大きな脅威となっている、「スパイ行為」に対する非難は止みません。攻撃の主な目的は、知的財産やビジネスインテリジェンスを手に入れることです。国家は、戦略的なサイバーの優位性を手に入れるため、多くのリソース、時間、エネルギーを注ぎ、スパイ行為、破壊、窃盗を通じて、国家機密情報の収集能力、軍事力の漏えいという成果を手にすることになるでしょう。

テクニックと戦術
2021年5月、世界規模のハッキングキャンペーンで4人の中国人が起訴された事件がありました。起訴状によると、情報の窃盗について中国政府の関与を隠すため、犯罪者がフロント企業を活用したとしています。今後も国家がサイバー犯罪者と手を組み、フロント企業を設立して関与を隠し、個人情報、軍事戦術、企業秘密などへアクセスすることが予想されます。敵対者は、フィッシング、既知の脆弱性、マルウェアやクライムウェアの技術を利用して、目的を果たそうとすることでしょう。

サイバー犯罪者と国家が互いにうまく混ざり合って目くらましをしているこの状況下では、今まで以上にマルウェアの機能を理解することが重要になってきます。例えば、Trickbotに感染すると、認証情報が盗まれランサムウェア攻撃組織へ売られます。結果的に、ランサムウェア攻撃を受ける可能性があり、サイバー犯罪が成功します。もし、Trickbotによる感染が国家によって仕組まれたもので、盗まれた認証情報が長期間に及ぶ作戦に利用されるとしたら、どうなるでしょうか。一度の犯罪がAPTにつながり、長期に渡って被害に遭うかもしれません。

規制
サイバーインシデントに対して、政府が犯罪者の責任を追及することが重要です。政府機関と研究者が、サイバー防御と運用のレジリエンスを維持するための基準や、テンプレートプロセスを確立することが、公共・民間の組織が新しいサイバー環境に対応するうえでの助けになるでしょう。

予防策
サイバー犯罪は、データ売買や身代金要求、そして重要な情報を手に入れることが目的なので、重要なデータを適切に暗号化して権限のないユーザーが使用できないようにすることが重要です。また、定期的にオフラインバックアップを取り、インシデント対応計画を準備しておく必要があります。オフラインバックアップの保守とテストも、破壊的なマルウェアによる影響の軽減に効果的です。