シマンテック2021年サイバーセキュリティ予測 – 今後の展望

2020年最大のサイバー脅威を挙げるとしたら、それはCOVID-19でしょう。  3月以降、ウイルス（悪意のあるものではなく医学用のもの）が世界の話題を独占するようになってから、ソーシャルエンジニアリングによる悪用も急増しました。 もちろん、 COVID-19自体は現実世界の脅威であってサイバー脅威ではありません。 しかし、誰もが心の内に持つCOVID-19に対する不安は、リンクをクリックしたり、添付ファイルをダウンロードしたり、詐欺師に送金したりしてしまう恰好の餌になります。 ソーシャルエンジニアリングも手段であって脅威ではありません。

2020年の脅威動向を表すキーワードがあります。 それは、ランサムウェアです。 2020年、企業や組織にとってこれほど大きな脅威となり、サイバー犯罪者にとってこれほど利益となるものはありませんでした。 その理由は単純です。 恐喝が利益を生むからです。 サイバー犯罪者はその収益を最大化するために活動しています。

このブログでは、未来を見て、この先のことを予測しています。 予測にはもちろん過去の出来事が大きく影響します。 そして、すべての予測がランサムウェアに特化したものではありませんが、ランサムウェアが脅威を牽引するものである以上、この予測にも大きく影響します。  

予測はあくまでも予測であり、確実性を保証するものではありません。 しかし、身代金の支払いをやめればランサムウェアは確実に消滅します。
 この脅威は、利益が得られなくなれば終息します。 来年終息しなかった場合に備えて、本予測をご覧ください。

ランサムウェアギャングは被害者に圧力をかけるための新しい戦術を次々と開発するでしょう

2019年を標的型ランサムウェア攻撃が急増し始めた年とするなら、2020年はその戦術が進化した年です。標的型ランサムウェアのグループは戦術を改善し、標的を脅迫する方法も多様化しました。

標的型ランサムウェア攻撃の元となったテンプレートは、すでにほとんどの組織にとって大きな脅威となっていました。無差別に拡散するように設計されていた従来の暗号ランサムウェアとは異なり、標的型ランサムウェアグループは標的を1社に絞り、被害組織のネットワークに接続したコンピュータを次々と暗号化し、可能であればバックアップも消去します。                                                                 
被害組織のネットワークに接続したすべてのマシンではないにせよ、大半を暗号化すれば、攻撃者は数十万ドルから数百万ドルという高額の身代金を要求することができます。

標的型ランサムウェア攻撃は実行するのが難しく、時間がかかりますが、得られる利益は莫大で、この種の攻撃を実行するグ​​ループが急増しています。

2020年は攻撃者が収益を最大化する方法も多様化しました。1月、Mazeランサムウェアギャングは、暗号化に先立って被害組織のネットワークからデータを盗み出し、身代金を支払わないとそのデータを公開すると脅迫しました。この戦術なら、十分な準備をしていて復号化キーのために身代金を支払わなくてもネットワークを復元できる組織や、データ損失のコストが身代金よりも安いと判断した組織など、通常なら身代金を支払わない組織にまで圧力をかけることができます。                                      
他のランサムウェアギャングがすぐにこの戦術を攻撃に取り入れ始めたことから、いかに効果的であるかわかります。

来年はランサムウェアギャングが被害組織を攻撃する方法はさらに多様化し、高度になることが予測されます。すでに、少なくとも1つのギャングが被害組織をDDoS攻撃で脅迫しているという報告でいくつかの証拠を見ていますが、シマンテックでもPOSのネットワークを標的にしたSodinokibiランサムウェアギャングの攻撃を確認しています。

攻撃者は在宅勤務をさらに悪用する方法を開発するでしょう

COVID-19の大流行は、多くの人々の働き方に根本的な変化をもたらしました。                                     
世界中のオフィスが閉鎖され、多くの社員が在宅勤務に移行しました。当初は一時的な措置のように思われていた在宅勤務がより永続的なものとなりつつあり、多くの企業は現在、従業員の大部分に対して永続的ではないまでも、長期的な在宅勤務を導入しています。

これは、セキュリティの専門家にとっても大きな課題となっています。単一のネットワーク上にある単一のオフィスに居た従業員が自宅のネットワークやインターネット接続を使用して会社のシステムにリモートでアクセスするようになったのです。分権化された従業員は、理論的にはより多くの潜在的な攻撃手段となる可能性があります。また、在宅勤務への移行の多くは事前に計画されていなかったことも考えると、サイバー犯罪者が悪用のチャンスとみなすのも無理はありません。

攻撃者が早い時期からそのチャンスを狙っていたことは、最近パッチを当てられたVPNおよび仮想化ソフトウェアの多くの脆弱性に攻撃者が関心を示していることからもわかります。Pulse Secure VPN（CVE-2019-11508、CVE-2019-11510、CVE-2019-11538、CVE-2019-11539）、Palo Alto Global Protect（CVE-2019-1579）、Fortigate（CVE 2018-13379）、Citrix ADCサーバーとCitrixネットワークゲートウェイ（CVE-2019-19781）の脆弱性を悪用しようとする攻撃者によって、複数の警告が出されています。

攻撃者がいかに機敏にこれらの欠陥を悪用しようとしているかを示す例として、Citrixの脆弱性が公開された直後から攻撃が急増し、2月には49万2,000回以上の攻撃がシマンテックによってブロックされました。

サイバー犯罪ギャングの緊密な連携

サイバー犯罪者同士が協力し合うのは珍しいことではありません。サイバー犯罪のエコシステム(生態系)は非常に細分化されている傾向があり、攻撃者は通常、1つの活動を専門にして、攻撃を最初から最後まで手掛けることはありません。この世界では、マルウェアの作成者、マルウェアの配布者、ハッキングキットの作成者、マネーロンダリング専門家、その他多くの攻撃者が頻繁に交流しています。

最近では最大規模のサイバー犯罪グループ同士が協力し合うようになり、特に、サイバー犯罪の最大手であるボットネットのオペレータとランサムウェアの作者の連携は大きな懸念になっています。過去数年間、Emotet（Trickbotは裁判所命令で解体）は最も強力なボットネットの一つであり、感染したユーザーから資格情報を盗み、配布チャネルを探しているマルウェア作成者にサービスを販売してきました。

それに対して、標的型ランサムウェア（被害組織のコンピュータを次々と暗号化するランサムウェア攻撃）は最も収益性の高いニッチなサイバー犯罪の一つで、攻撃者は一度の攻撃で数百万ドルを稼ぐこともあります。

最近公開されたユーロポールの組織犯罪脅威評価によると、標的型ランサムウェアグループのEmotet、Trickbot、Ryukの関係が緊密になり、揃ってより大きな組織に属したり、より効果的な協力体制を築いている可能性があります。また、ユーロポールは「Emotet、Ryuk、Trickbotの関係はサイバー犯罪の世界で最も注目すべきものの1つと考えられる」と結論づけています。

これはシマンテックも同意見です。Emotetは活動範囲が広く、多くの組織に感染することができますが、Ryukには現在流通している最も強力はペイロードがあります。

これらグループの関係自体も懸念されるところですが、他の大規模なサイバー犯罪グループがそれを真似てチームを組む危険性もあります。

2021年に何が起こるか正確に予測することはできませんが、攻撃者は過去にそうしてきたように、今後も世界で起こる問題を悪用し、新しい技術を採用して手法を進化させるものと思われます。過去から学んで未来を守ることが組織のサイバーセキュリティに対抗する鍵となるでしょう。