2024年1月31日、弊社主催のオンラインセミナー「Cybereason 2024サイバー脅威予測セミナー ~トップランナーと考える2024年に警戒しておくべき脅威の傾向とは~」が開催されました。本稿では、サイバーリーズン合同会社 Japan CISO 本城信輔の概要を紹介します。

2023年の脅威を振り返り、2024年の脅威を予測する

まず本城は2024年の脅威につながるものとして、2023年の脅威について振り返ります。
2023年の目立った脅威として、本城は下記の5つを挙げ、その概要について解説しました。

  • ランサムウェアのクラウドへの影響
  • コモディティ・クライムウェア
  • サプライチェーン攻撃
  • 国家や重要インフラに対する攻撃
  • 脆弱性攻撃

■脅威1:ランサムウェア
ランサムウェアの動向については、この数年で二重脅迫の脅威が活発化しており、日本国内で被害が大きかったものとしてLockBit 3.0Clop、そしてPhobosを挙げています。また、一方で同じく日本企業が数多く被害を受けたRagnar Lockerが警察当局によってテイクダウンされました。これによりRagnar Lockerは活動を停止しましたが、後継が出る可能性も十分あります。

また、これまでWindowsへの感染が中心だったランサムウェアでしたが、Linuxを対象としたものも増えてきていて、その代表としてRoyalランサムウェアがあります。そして、2023年には国内のクラウドサービスのデータセンターにあるサーバーがランサムウェアの被害を受けています。

■脅威2:コモディティ・クライムウェア
コモディティ・クライムウェア、つまり犯罪に使われるマルウェアも増加傾向にあります。主に、金銭目的、情報窃取、他のマルウェアの感染に使われるとされるクライムウェアですが、コモディティ化が進んでおり、GitHubなどで入手可能になっています。2023年は、Agent Tesla(情報窃取)、Amadey、AsyncRAT(RAT:遠隔操作)などが活発化しており、これらの特徴として、ビルダーツール(開発用ツール)の機能があり、改変が可能となっています。

■脅威3:サプライチェーン攻撃
サプライチェーン攻撃に関しては2つの事例を紹介します。

1つは、認証サービスを提供するOkta社に対する攻撃で、特徴的な点として、会社のPCで個人のGoogleプロファイルを使っていたということです。侵入経路としてGoogleアカウント、もしくは個人のデバイスを使ったことが推測され、これらを使って会社のサポートシステムに侵入された結果、顧客のシステムに侵入するための情報が漏洩します。顧客5社のシステムに侵入しようとしたところで発覚し、顧客のシステムへの侵入は防ぐことができたました。

パスワードマネージャーを作成しているLastPass社では、従業員のデバイスに侵入され、LastPass社の企業ストレージからデータが窃取されたものの、そのときはパスワードがなかったためデータは漏洩しませんでした。しかし、その後同じ従業員の個人のデバイスにインストールされていたソフトの脆弱性を突かれてキーロガーが設置され、そこから盗まれたログイン情報が使われ、顧客データの一部が漏洩したという事例がありました。

これらからわかるのは、従業員個人のデバイス、プロファイルが狙われており、これらの管理強化が重要であると本城は指摘します。

■脅威4:国家や重要インフラに対する攻撃
国家による攻撃としては、主に中国政府が関与するとされるBlackTechが日本や米国、台湾などの知的財産や国家機密情報を狙っています。一方、北朝鮮はマルウェアAppleJuseを使って、暗号通貨の窃取を行い、日本や欧米などでも感染が確認されており、さまざまな国を標的にしています。

■脅威5:脆弱性攻撃
脆弱性攻撃のトピックスとしては、Citrix BleedというCitrixの認証システムの脆弱性で、LockBit 3.0を使ってこの脆弱性を突いて攻撃したという事例がありました。
また、Offce、HTMLの脆弱性を突いたゼロデイ攻撃は、ロシア系のRomComグループが欧米を標的に攻撃を行っており、ウクライナ関連の情報をおとりにしたというところがロシアらしいと指摘しています。

また、VPN機器の脆弱性を突いたものも増えており、その問題として、脆弱性対策のパッチをあてずに使われているVPN機器が数多くあり、ゼロデイならぬNデイ(何日、何年も未対策の脆弱性をを突く攻撃)と言われる攻撃も数多くあるといいます。

対策

続いて本城はこれらの脅威に対してどのように対策してばよいかを簡単に紹介しました。

  • ランサムウェア:IT資産管理強化を図り、アタックサーフェス(攻撃点・攻撃経路)の対策を徹底すること。
  • コモディティ・アタック:不審なメールなどを経由して入ってくるので、メール対策を徹底すること。
  • サプライチェーン攻撃:従業員の個人のデバイスやプロファイル管理への対策も必須であることを改めて認識する必要がある。
  • 国家による攻撃、脆弱性攻撃:比較的古い脆弱性を攻撃するものが多いので、脆弱性対策のパッチを当てるなど対策をしっかり行う。またEDRなどのセキュリティ製品の導入も有効である。

    • まとめ

    「どのような脅威がトレンドになっても、突拍子もない手法はなく、従来の手法で侵入してくる。その理由として、きちんと対策をしていないユーザーも多く、攻撃者は楽な方法で攻撃をしてくるからである。」と本城は指摘します。

    したがって、エンドポイントセキュリティ対策を始めとして、不正メール対策、脆弱性対策、そして不正侵入対策といったこれまでの対策を徹底することが重要だとして、講演を終えました。

    2024年サイバー脅威予測 〜2023年の主要な脅威の振り返りと、2024年に警戒すべき脅威の予測〜

    2023年は一部のランサムウェア・マルウェアに対して警察など大きな組織による閉鎖や、深刻な脆弱性の発見と悪用などが起きました。

    本資料では、2023年に起きたサイバー空間の脅威の傾向を受けて、特に大きな影響を及ぼす5つの脅威を2024年のサイバーセキュリティ予測として取り上げました。2023年の主要な脅威を振り返りながら、2024年のサイバー脅威予測について説明します。

    2024年度のご自身が所属する組織におけるサイバーセキュリティ対策の検討にお役立てください。
    https://www.cybereason.co.jp/product-documents/survey-report/11608/