サイバーセキュリティは激しい戦い(英語)です。攻撃者は技術を進化させ続け、防御側はその攻撃に対応し続ける必要があります。サイバー攻撃に起因するデータ漏洩、マルウェアの急激な増加、プライバシー侵害といったセキュリティ侵害が年々増加しており、最終的には企業だけでなく、企業が有する顧客の双方に深刻な影響を及ぼしています。このような事件が常に大きく報道されるため、サイバーセキュリティへの関心が高まり、その重要性に注意が集まるようになっています。
そこで、近い将来サイバーセキュリティを取り巻く世界にどのようなことが起こるのかに関して、エフセキュアの6人の専門家に予測してもらいました。IoTからAI、企業のセキュリティ動向から消費者の懸念に至るまで、今年、通信企業の顧客に影響を及ぼすと専門家が予測する動向をご紹介します。
IoTは成長し続け、攻撃者の関心を集め続けます – Laura Kankaala(ローラ・カンカーラ)
インターネットに接続されたデバイス、特にIoT(モノのインターネット)デバイスが急速に普及しつつあることはご存知のとおりです。インターネットにつながったサーモスタットや照明、ボイスアシスタント、エンタテインメントシステムを利用する家庭は増え続けています。
専門家は長い間、IoTデバイスのセキュリティ上の欠陥について警鐘を鳴らしてきました。この欠陥によって、ハッカーによる家庭用ウェブカメラを使ったのぞき見が実際に発生しています。マルウェアに感染したIoTデバイスがDDoS攻撃やその他のボットネット関連の活動に悪用されたり、これらのデバイスからユーザーデータの漏洩が発生したりしています。この背景には、IoTデバイスの継続的利用が広がっているからであり、今後もセキュリティに影響を及ぼし続けるとエフセキュアのセキュリティコンサルタントであるLaura Kankaala(ローラ・カンカーラ)(英語)は述べています。
Kankaalaによると(英語)、「単にパスワードポリシーが脆弱だったために、リモートコード実行やDNSリバインディング攻撃に悪用されたデバイスがありました。」
デバイスの悪用は今後増えるとKankaalaは予想しています。プラス面としては、悪用増加の問題が規制によって管理されるようになることですと述べています。
さらに、「GDPRの適用対象をIoTデバイスに拡大するか、または、GDPR適用対象を拡大するための別の規則を設ける可能性もあります」と述べています。
サプライチェーン攻撃が増加します – Artturi Lehtio(アルトゥーリ・レティオ)
サプライチェーン攻撃は、通常、標的とした企業を攻撃する際、その企業のサプライネットワークの脆弱な部分を利用する攻撃と考えられています。最もよく知られている事例は2017年のNotPetyaというランサムウェア攻撃でしょう。ウクライナの税務会計ソフトウェアの更新が不正侵入を受けて悪用され、実際のソフトウェアの更新ではなくマルウェアが実行されました。この攻撃によって何十億ドルもの損失が生じ、被害はウクライナの会社だけでなく世界中の主要な企業にも拡大しました。
しかし、エフセキュアのサービステクノロジーリードであるArtturi Lehtio(アルトゥーリ・レティオ)(英語)は、サプライチェーン攻撃は被害を受ける範囲が極めて広く、個人も標的にされると指摘しています。サービスプロバイダーに不正侵入し、特定の顧客のデータを盗むことや、通常信頼される法的情報を操作したりすることもサプライチェーン攻撃の一つと考えられます。
オンラインサービスに変更を加えるのと同じくらい簡単なことですが、これによってユーザーがよく理解できないセキュリティリスクがもたらされます。
Lehtioは次のように述べています(英語)。「私たちは生活の多くの部分を他の人たちの手に委ねており、委ねている相手に対する依存や信頼の程度について常によく理解しているとは限りません。また、委ねている相手が現在も信頼に値するかを確認する方法があるわけでもありません。」
「インフォスティーラー」はユーザーのデバイスを調べ、攻撃による利益の最大化を図ります – Christine Bejerasco (クリスティン・ベジェラスコ)
この1年間には、ユーザーを狙った3種類のマルウェアが発生しました。デバイスの計算能力を利用し密かに仮想通貨をマイニングする「クリプトマイナー」、標的のデバイスに感染させ標的とした銀行情報を追跡する「バンキング型トロイの木馬」、ユーザーのファイルを暗号化し、暗号解読の身代金を請求する「ランサムウェア」です。
戦術防衛ユニットのセキュリティ研究技術バイスプレジデント、Christine Bejerasco (クリスティン・ベジェラスコ)(英語)は、今年もこの3つのマルウェアは利用され、インフォスティーラーと併用されると述べています。マルウェアの作成者が実際のペイロードで攻撃する前にデバイスを調査する目的でインフォスティーラーを使用し始めているからです。
Bejerascoはさらに次のように述べています。「昨年は仮想通貨への評価の上昇とともにクリプトマイナーが増加しました。」「その後、暗号通貨が下落し始めると、マルウェア作成者はニュートラルな姿勢をとるようになりました。つまり、ユーザーのデバイスにインフォスティーラーを埋め込んでデバイスを調べ、デバイスにクリプトマイナーやバンキング型トロイの木馬またはランサムウェアを埋め込むことによってより多くの利益を得られるかを確認します。この傾向は2019年も続くでしょう。」
公共のWi-Fiは今後も危険 – Christine Bejerasco (クリスティン・ベジェラスコ)
多くの人が公共のWi-Fiの使用は危険であることを認識しています。見知らぬ人とネットワークを共有することは、トラフィックを密かに監視できる特殊なソフトウェアやハードウェアによって自身のデータがスパイ行為をする人たちに公開される可能性があります。しかし、ウェブサイトを訪問するユーザーのデータを保護する”https” によって暗号化されるウェブサイトが増えているということは、もう公共Wi-Fiのセキュリティを心配しなくてもいいということでしょうか?Bejerascoの答えは「ノー」です。
「トラフィックをさらに暗号化し、適切なセキュリティ証明書を発行しているウェブサイトをユーザーが使用していても、証明書窃盗とユーザーのDNSトラフィックを利用したプロファイリングの組み合わせが依然として存在し、これによってユーザーが侵害される可能性があります。」 さらにBejerascoはこのように述べています。「GitHubにはネットワークのトラフィック傍受に使用できるツールが何百もあるため、公共のWi-Fiは今後も信頼すべきではありません。」
公共Wi-Fiを使用する場合はVPNで接続を保護する必要があります。エフセキュアのVPNは広告主によるサードパーティのトラッキングもブロックすることができます。
より多くの会社で攻撃を検知、対応するための準備が整います – Tom Van de Wiele(トム・ヴァン・デ・ヴィーレ)
よく耳にする終末のメッセージに反して、エフセキュアのプリンシパル・セキュリティコンサルタントであるTom Van de Wiele(トム・ヴァン・デ・ヴィーレ)(英語)は、2019年はセキュリティの向上が期待できると考えています。彼がホワイトハッカーとして、法人顧客向けのレッドチーミング演習を通じて、より多くの会社が自動化や検知・対応技術を利用しネットワークに侵入する攻撃者を一掃できるようになるため、標的型攻撃を実施するために、攻撃者はより多くの資金をかけなければならなくなると考えています。
また、ヴァン・デ・ヴィーレは次のようにも述べています。「実際に特定の攻撃を受けたり、競合他社が何等かの攻撃を受けたことを目の当たりにすることから、より多くのソフトウェアやサービスを導入するという明確な傾向が見られています。」「検知に関しては、自動化の導入の傾向は攻撃者の意欲をそぐものであり、攻撃者にとって、検知されずに会社に侵入することはより困難になってきています。」
データ漏洩によって顧客のデータは今後も公開され続けます – Christine Bejerasco (クリスティン・ベジェラスコ)
大きなニュースになることが多いデータ漏洩は、漏洩した企業のみならず、その企業の顧客にも影響を及ぼすため、個人情報の盗難を防止または軽減するための予防処置を講じなければならなくなります。
2019年もセキュリティ侵害被害が減少することはないと予測するBejerasucoは次のように述べています。「セキュリティ侵害を受け、ユーザーのデータが搾取された会社の数は増え続けています。」 一般の消費者はその会社のセキュリティ環境に対してインパクトを与えることはできませんが、自分自身のデータを保護する方法はあります。Bejerascoは、「どのウェブサイトに自分の情報や認証情報を入力したのかに常に注意を払ってください。」と述べています。「そのサイトが正規のものであっても、しっかりとしたサイバーセキュリティのプロセスがなければ、簡単に侵害されてしまいます。つまり、そのサイトに送信した自分のデータが犠牲になる点を理解する必要があります。」
なぜハッキングされるのかを企業は考え始めようとしています – Adam Sheehan(アダム・シーハン)
エフセキュアの行動科学リーダーであるAdam Sheehan(アダム・シーハン)は、攻撃者がユーザーをだましてクリックさせるために用いるソーシャルエンジニアリング戦術と、ユーザーがこの戦術にどう反応するかについて研究しています。Sheehanは、より多くの会社が、Sheehanの考える分析の次の段階、つまり、悪意のあるリンクをクリックしたり、感染したファイルをダウンロードするなど社員が実行してしまう危険な行動のみならず、だまされてそのような行動を実行する理由について関心を持ち始めていると予測しています。
Sheehanは次のように述べています。「Aという企業とBという企業で例えばフィッシングメールのクリック率が高い場合、2つの組織には同じような解決策が提供される必要があります。」 「しかし実際には、根底にある問題はそれぞれの組織で全く異なっている場合があります。」
Sheehan は、会社で根本的原因を解明しようとする要求が高まり、これによってそれぞれの会社が抱える個別の問題の解決に繋がるカスタマイズされたソリューションを模索するようになると述べています。
プライバシーの問題は今後もユーザーに影響を及ぼし続けます – Christine Bejerasco (クリスティン・ベジェラスコ)
内部告発者であり、アメリカ国家安全保障局 (NSA) および中央情報局 (CIA) の元局員エドワード・スノーデンが、政府による世界中の監視計画を一般の人々に公開した2013年の告発は、私たちに真っ先にプライバシーついて考えさせるものでした。6年近く経ってもプライバシーの問題は依然としてサイバー空間を苦しめているため、ユーザーは自分のデータが、組織やアプリ、サービスにどのように使用され共有されているのかを今後も注意する必要があるとBejerascoは述べています。
「モバイルでは、インストールの際の許諾事項に注意してください」とBejerascoは述べています。「許諾書の中には行動データを取得される可能性のあるものがあり、それらのシステムは次にユーザーの行動プロファイルを作成し、アプリ開発者はそのプロファイルを利用したり他の業者に売却することができます。」「アプリに必要な機能をサポートする許諾のみを与えるようにしてください。」
強化学習は大きな前進を続けます – Andy Patel(アンディ・パテル)
最後の動向は、それほど目に見えるものではありませんが、消費者に対する提供や通知に大きなインパクトがあります。人工知能(AI)は情報技術のキーワードであり、サイバーセキュリティにおいても重要な用途があります。エフセキュアの人工知能研究拠点の研究員であるAndy Patel(アンディ・パテル)(英語)によると、強化学習はAIで大きな進展を見せる領域です。
Patel は強化学習について、進歩したらそれに対する報酬を与えることでアルゴリズムに学習させることであると述べています。例としては、カーレースのゲームをコンピューターに教える方法が挙げられます。充分繰り返しを行った後、コンピューターはアクセルやブレーキの押し方、衝突を避けるためのハンドルの切り方などを学習します。
Patelによると、フェイスブックはユーザーが通知を受け取るべきタイミングを計るために強化学習を利用しています。他の会社では、金融トレーディングモデル、ビデオストリーミングなどを訓練するために利用しています。
Patelは次のように述べました。「そのほかにもサイバーセキュリティには多数の類似の用途があります。ほとんどはペネトレーションテストやファジングの分野ですが興味深いものです。パスワード類推またはアプリケーション・ファジングなどです。学術的なものかもしれませんが、これらの分野に強化学習を利用したものが実際に発表されるのではないかと推測しています。」
カテゴリ