進化を続けるサイバーセキュリティの世界において、防御する側は今年もまた困難な局面に立たされました。攻撃者は、その TTP(Tactics, Techniques, and Procedures / 戦術、技術、手順)を絶え間なく改良し、順応性を高め、斬新で複雑な攻撃チェーンを迅速に繰り出しています。
この進化の中心には、攻撃者がテクノロジーよりもアイデンティティを優先するようになったという決定的な変化があります。TTP の具体的な内容や標的となるテクノロジーは変わっても、攻撃の連鎖の中で最も標的とされるのは “人” とそのアイデンティティであることに変わりはありません。
サプライチェーン攻撃の最近の事例では、攻撃者がソフトウェアの脆弱性を悪用することから、ソーシャルエンジニアリングやフィッシングを通じて人間の脆弱性を標的にすることにシフトしていることを示しています。特に、生成AI の使用によって、フィッシングメールを大幅に巧妙化することによって、技術的な脆弱性を突くのではなく、人の行動を操作する方向にシフトしていることを示しています。
2023 年を振り返ってみると、サイバー攻撃者は、多要素認証(MFA)などのセキュリティ対策の強化に対応して戦術を適応させる能力とリソースを保有していることが明らかになっています。2024 年を見据えると、サイバー脅威は変わらず人を狙い続け、防御する側は攻撃の連鎖を断ち切るために異なるアプローチを取らざるを得なくなるでしょう。
では、今後、何が起こるのでしょうか?
プルーフポイントのエキスパートは、セキュリティチームが遭遇する可能性のある出来事や、これらのトレンドがもたらす影響を明らかにしつつ、今後 12 か月間における洞察に満ちた予測をたてます。
1. カジノのサイバー強盗は氷山の一角にすぎない
サイバー犯罪者は、デジタルサプライチェーンのベンダーを標的にすることが増えており、セキュリティプロバイダーや IDプロバイダーへの関心が高まっており、フィッシングキャンペーンを含む攻撃的なソーシャルエンジニアリングの手口は、ますます広まっています。ラスベガスのカジノを狙いランサムウェア攻撃を行った Scattered Spiderグループは、こうした手口の巧妙さを示しています。ヘルプデスクの従業員に対してフィッシング攻撃を実行し、ログイン認証情報を取得したり、ワンタイムパスワード(OTP)コードを窃取することにより MFA(多要素認証)を回避したりすることは、標準的な手法になりつつあり、このような手口はサプライチェーン攻撃にも拡大し、IDプロバイダー(IDP)ベンダーを侵害し、そこを経由して貴重な顧客情報にアクセスするようになっています。従来的にはエッジデバイスやファイル転送アプライアンスが攻撃されることが多かったですが、2024 年の予測では、攻撃的なソーシャルエンジニアリングの手口が複製され、広く採用されることで、初期侵害の試みが行われる範囲が広がると考えられています。
2. 生成AIは諸刃の剣
ChatGPT、FraudGPT、WormGPT のような生成AIツールの爆発的な成長は、将来性と危険性の両方をもたらしますが、サイバーセキュリティに関する限り、重大な危機にさらされるわけではありません。大規模な言語モデルが登場する一方で、悪用の恐れから、2023 年 10 月に米大統領は大統領令を発令しました。現時点では、攻撃者は別の手口で金銭を稼いでいます。しかし、現在収益をあげている攻撃手法が検知されるようになると、攻撃者はその TTP を変化させるでしょう。
裏を返せば、より多くのベンダーが、自社の製品やプロセスに AI や大規模な言語モデルを導入し、セキュリティを強化し始めます。世界中で、プライバシー監視機関も顧客も同様に、責任ある AIポリシーをテクノロジー企業に要求するようになり、それに関する声明が発表されるのを目にするでしょう。攻撃者の失敗と責任ある AIポリシーの両方が現れることを期待します。
3. モバイル端末を利用したフィッシングはオムニチャネルを利用した手口の台頭
2023 年の顕著な傾向は、モバイル端末を使ったフィッシングの激増であり、2024 年にはこの脅威がさらに増加すると予想されます。攻撃者は、モバイルプラットフォーム固有の脆弱性を悪用し、ユーザーを戦略的にモバイル操作に誘導しています。会話型スミッシングを含む会話型攻撃は 急激に増加しています。マルチタッチキャンペーンは、QRコードや不正な音声通話などの手口を利用して、ユーザーをデスクトップからモバイルデバイスに誘い込むことを目的としています。このため、フィッシング攻撃はモバイルデバイス上でより効果的になるだけでなく、企業のセキュリティチームにとっても検知が複雑になっています。
4. オープンソースと生成AIはマルウェア開発者のための地ならし
マルウェア開発者は、オープンソースのツールや生成AI を活用し、高度なプログラミング技術をより多くの人々が利用できるようにしています。その結果、サンドボックスや EDR(Endpoint Detection and Response / 侵入後のエンドポイントにおける検知と対応)ツールを回避できるマルウェアが蔓延しつつあります。SysWhispers のような無償のオープンソースソフトウェアを利用できるようになったことで、さまざまなマルウェアプロジェクトに高度な検知回避機能を組み込むことが容易になりました。このような民主化により、スキルの低い開発者の参入障壁が低くなり、巧妙なマルウェアファミリーの拡散が助長されることになります。
5. アイデンティティ中心の侵害はアキレス腱
人の行動に根ざした脆弱性を悪用し、限定的な可視性によって見えにくくなっているアイデンティティベースの攻撃が、侵入の大半を占めるようになるでしょう。サイバー攻撃者は共通脆弱性識別子(CVE)に依存しているという従来の考え方は、妥当性を失いつつあります。新たな真実は、「アイデンティティは新たな脆弱性」といえます。組織は、主にインフラストラクチャの強化から、保存された認証情報、セッションCookie、アクセスキーの保護、そして、特に特権アカウント(現在では IDP を含む)に関しては、設定の誤りに対処することに重点を移す必要があります。攻撃の連鎖における人的リンクは、迅速かつ革新的な防御が要求されます。
結論として、2024 年は、攻撃者が人的要素を悪用する戦略を洗練させるため、サイバー防衛者にハードルの高い課題を突きつけています。このような進化する脅威に対抗するために、防衛側は、人的要因がサイバー防護チェーンの重要なリンクであり続けることを認識した上で、プロアクティブかつ適応的な戦略を採用しなければなりません。戦場が移り変わる中、デジタルフロンティアの安全を確保し、攻撃の連鎖を断ち切ることに一層注力するためには、IDベースの攻撃、生成AI を駆使した脅威、モバイル端末を使ったフィッシングといった多面的な課題に対処するレジリエントな防御が不可欠です。
