ファイルレス型のマルウェア攻撃から攻撃属性に至るまで、サイバー攻撃手法はより複雑化しているため、2018年にセキュリティ関連の大事件の発生件数が減ることはないと予想されます。しかしその一方で、セキュリティ専門家が来年に関して楽観的になれる十分な理由も存在します。

2017年は、サイバーセキュリティ関連のニュースが多くありました。数週間おきに、ランサムウェア、米国諜報機関からのスパイツールの漏洩、大手企業におけるセキュリティ侵害などがニュースの見出しを飾りました。

2018年にセキュリティ関連の大事件の発生件数が減るとは誰も予測していませんが、セキュリティ専門家が向こう数カ月間に関して楽観的になれる十分な理由も存在します。この記事では、私とセキュリティリーダーやアナリストとの会話に基づいて、今後の1年間がセキュリティコミュニティにとってどのような年になるかについて、見解を述べます。

ファイルレス型のマルウェア攻撃が当たり前になる

ファイルレス型のマルウェアとは、標的のハードドライブ上ではなく、標的のメモリ内に存在する悪意あるプログラムのことです。このプログラムは、explorer.exeのような実行中のプロセス内に注入された後、悪用されます。攻撃者は、マルウェアを使用して悪意あるペイロードを配信するのではなく、PowerShell、Windows Management Instrumentation(WMI)、およびWindowsに組み込まれているその他の管理ツールを利用します。

攻撃者はファイルレス型のマルウェア攻撃に興味を持っています。なぜなら、この攻撃は、Windows上でネイティブなツールを使うことで、効果的でかつ人目に付かないような攻撃が可能となるためです。ほとんどのセキュリティプログラムは、PowerShellやWMIの悪用を検知できません。また、ファイルレス型のマルウェアには、アンチウイルスソフトウェアが検知できるマルウェアシグネチャが存在しない(ファイルレス型では、システムに感染するためのペイロードファイルが存在しないことを思い出してください)ため、ほとんどのセキュリティプログラムは、ファイルレス型のマルウェアにフラグを立てることができません。

また、攻撃者がファイルレス型のマルウェア攻撃へと移行している理由として、PowerShellペイロードの作成を簡単に行えるようにする即座に利用可能なツールやスクリプト(Empire、Metasploit、Cobalt Strike、PowerSploitなど)が豊富に存在することが挙げられます。誤解のないように言っておきますが、これらのツールは、もともとは悪意あるものではありません。攻撃者は、PowerShellペイロードを簡単に作成し検知を逃れるために、これらのツールを悪用しているのです。

破壊的な攻撃が弱まることはない

破壊的な攻撃(身代金要求のためにデータを確保するのではなく、データを消去するような攻撃)は悪化する一方でしょう。2010年以降の傾向として、比較的シンプルであるが、能力の高い破壊的なマルウェアを利用して遂行される攻撃が増加しています。

このタイプの攻撃の例としては、2017年6月に発生したNotPetya攻撃が挙げられます。最初の報告ではNotPetyaはランサムウェアとして分類されていましたが、後になって、同プログラムの動作は、非常に基本的な手法であるマスターブートレコード(MBR)消去プログラムにぴったりと一致することが判明しました。しかし、このような基本的な攻撃が、マシンの再イメージ化やバックアップからのデータの復元が不可能となる壊滅的な影響を与えました。その結果、多くの企業が何週間も製造工場を閉鎖し四半期分の収益を失い、 正常な業務運営を実施できなくなるという事態が発生しました。

サイバー攻撃を実行しても何の刑罰も受けないことが理由で、より多くの攻撃者が勢いづいているため、来年も破壊的な攻撃の発生件数は増えることが予想されます。ほとんどの攻撃者は、仕事を遂行するために十分なレベルの洗練性を持っており、基本的なツールを利用することで重大な被害を引き起こすことが予想されます。最終的に、攻撃者が必要とするものは、安価で、効果的な方法です。破壊は、金銭的な利益には興味がなく、メッセージの伝達やハッキング操作のフォレンジクス的な証拠を隠すことに興味がある国家や攻撃者にとって特に魅力的な戦術となります。

属性の境界線が曖昧になる

高度な標的型攻撃は、伝統的に国家組織と関連付けられており、このような攻撃作戦を背後で操っている国はAPTアクターと呼ばれてきました。しかしここ数年で、国家組織の持つ攻撃能力と、下位レベルのサイバー犯罪グループの持つ攻撃能力との境界線が曖昧になっています。ごく少数のAPTアクターによりかつて使用されていた手法やツールが、今では膨大な数のその他の脅威攻撃者により採用されています。これらの脅威攻撃者には、政府機関により雇われているフリーランスのグループや、組織犯罪グループが含まれています。

このような事態が発生した理由としては、高度なツールセットのコモディティ化(たとえば、Shadow BrokersやVault 8の流出には、NSAおよびCIAが過去に開発したハイエンドツールのソースコードが含まれていました)と攻撃手法の公開(Vault 7の流出時に公開されたものなど)が挙げられます。今日では、より小規模な攻撃者グループが大規模なグループと同じ資産にアクセスできるようになっているため、2018年には、攻撃を実際に行った現実の組織をつきとめるセキュリティコミュニティの能力は大きく妨げられることになると予想されます。

サプライチェーン攻撃がありふれたものになる

2017年にはいくつかのサプライチェーン攻撃がトップニュースとなり、特にCCleaner とM.E.Docに対する攻撃が注目を集めました。新しい攻撃者がハッキングゲームに参加しており、彼らはかつてATP攻撃者しか持ちえなかった能力を獲得しているため、このような攻撃に関する報告が2018年には増える可能性があります。

サプライチェーン攻撃は、サプライネットワーク内にあるセキュリティの低い要素を標的とすることで組織に被害を与えることを目的としています。サービスプロバイダーのサプライチェーン、データサプライチェーン、従来型の製造業者サプライチェーンのハッキングが、近年繰り返し発生している大規模なデータ漏洩において確認されています。これらの攻撃ではいずれも、被害者は攻撃の最終的な標的ではなく、他のネットワークへの足掛かりとして利用されています。

サプライチェーン攻撃が増えている理由として、それが持つスケールメリットが挙げられます。最近の大規模なデータ漏洩では、個人の特定が可能な情報、クレジットカード番号、銀行口座情報などが地下マーケットに流出しました。データの供給は今や需要を上回っているため、このような情報の価値を引き下げています。今や攻撃作戦はビジネスライクに実施されており、しかも自転車操業のビジネスと同じように、個々の作戦では利益を生み出し、運用コストを引き下げ、ROIを高める必要があります。

サプライチェーン攻撃は大規模なハッキングを可能にします。攻撃者は、特定の組織を標的とするハッキング作戦を構築し、その作戦を通じて最初の足場を獲得すると、その後は数百または数千件もの組織に侵入することが可能となります。また、その他の自動化メカニズムと組み合わせることで、これらの動作をスケールアップし、多数の組織を同時にハッキングできるようになります。この強力な移行により、攻撃者にとって有利となるようにスケールメリットが促進されます。さらに、サプライチェーン攻撃は、攻撃者に継続して与えられる贈り物となります。なぜなら、攻撃が発見されない限り、それらは新しい標的への継続的なアクセスを攻撃者に提供するからであり、しかも攻撃者は新しいツールセットに投資する必要が一切ないためです。

2018年は防御者の年になる

さて、私は、このコラムを暗い見通しばかりで終わりたくありません。2017年のニュースの中心となったサイバーセキュリティに関する結論として、取締役会がついにセキュリティが重要であると認識したことを挙げておきましょう。これは、セキュリティリーダーがついに経営幹部クラス内に居場所を得たことを意味します。これにより、2018年は「防御者の年」になることが期待されます。引き続きサイバーセキュリティの動向にご注目ください。

Lior Div(リオ・ディヴ)は、Cybereason Inc.CEOであり、共同創立者です。フォレンジック、ハッキング、リバースエンジニアリング、および暗号化を専門とするイスラエル軍の優秀なサイバーセキュリティユニットのリーダーでもあります。