フォーティネットが予測する2018年の脅威

高度にパーソナライズされた情報やサービスに多様な相互接続デバイスから即座にアクセスすることに対する個人の期待が高まり、この需要がビジネスと社会の両方のデジタル変革を促進しています。変革に後れをとらないようにするには、機械学習や人工知能などを利用して市場の動向を把握・予測し、それに応答する能力を高める必要があります。

さらに、これらの新しいテクノロジーを悪用しようとする犯罪分子も増えています。個人情報や財務情報にアクセスするオンラインデバイスが急増し、自動車/家庭/オフィスの多種多様なIoTデバイスや重要インフラからスマートシティの登場まで、あらゆるものの接続と相互接続が拡大することで、サイバー犯罪者にとっての新たな破壊的チャンスが生まれています。

サイバー犯罪市場は、より効果的な攻撃を作り出すために、人工知能などの領域の最先端テクノロジーを巧みに採用しています。この傾向は2018年に加速し、以下に述べる破壊的な傾向をもたらすことになると予想されます。


予測:自己学習型のハイブネットとスウォームボットの登場

PREDICTION: THE RISE OF SELF-LEARNING HIVENETS AND SWARMBOTS / 予測:自己学習型のハイブネットとスウォームボットの登場

データが常に更新される数十億のノードを使用する予測分析によって、コンピューティングリソースによる世界の変革がまったく新しい考え方でとらえられるようになります。これに基づくことで、個々のノード間での情報共有が簡単に実現します。これがスウォームテクノロジーの基盤です。

そのため、より効果的な攻撃を作り出すために、サイバー犯罪者は知性をもたないゾンビデバイスで構成されるボットネットに代わって、感染デバイスのインテリジェントなクラスターを使用するようになっていくことが容易に予測されます。このようなクラスターは、もはやボットネットではなくハイブネットです。数百万台の相互接続されたデバイス(スウォームボット)を使用して、多様な攻撃ベクトルを同時に識別して処理できるため、前例のない規模での攻撃が可能になります。

個々のスウォームボットはゾンビデバイスとは違って高度なインテリジェンスを備えているため、このようなハイブネットは特に危険です。スウォームボットは互いに通信し、共有するローカルのインテリジェンスに基づいて動作します。スウォームインテリジェンスを使用して、ボットネットコントローラーが指示しなくともコマンドに基づいて行動します。また、ハイブの新しいメンバーを募集して訓練できます。このために、ハイブネットはより多くのデバイスを識別して侵害し、飛躍的な勢いで増殖でき、それによって複数の被害者を同時に攻撃する能力をさらに高めます。

Miraiや最近発生したReaperなどのIoTベースの攻撃は、現時点ではスウォームテクノロジーを使用していません。しかし、これらの攻撃はすでにその痕跡を持っているので、コードのアップグレードによって新たなスウォームの挙動や知能を取り込み、脅威の潜在性を最大限に高める可能性があります。

FortiGuard Labsは、今年の1四半期だけで29億回のボットネット通信の試みを記録しました。この数字は、ハイブネットとスウォームボットによって甚大な被害が引き起こされかねないことを示唆しています。IoTに関しては、同じ期間にモバイルデバイスをターゲットとするマルウェアを報告した組織が20%近くに上りました。従来のシステムのように高い制御、可視性、保護を持たないIoTデバイスは、今後も課題として残されます。


予測:商業サービスに対するランサムウェア攻撃がビッグビジネスに

Prediction: Ransom of Commercial Services is Big Business / 予測:商業サービスに対するランサムウェア攻撃がビッグビジネスに

ランサムウェア攻撃の被害は、昨年ランサムウォームなどの攻撃の登場によって35倍に拡大しましたが、脅威は今後さらに拡大していきます。

ランサムウェアの次なる大きなターゲットとして、クラウドサービスプロバイダーなどの商業サービスが狙われる可能性が高いと考えられます。このような攻撃によって犯罪者が大きな利益を得られる可能性は明らかです。クラウドコンピューティングの規模は、年平均成長率(CAGR)19%で成長し、2020年に1,620億ドルになると予想されます。さらに、クラウドプロバイダーへの攻撃を成功させることは、1回の攻撃で多数のターゲットを狙うことのできるチャンスでもあります。クラウドプロバイダーが開発した複雑なハイパーコネクテッドネットワークは、数十または数百の企業にとっての単一障害点となりかねません(MiraiがDNSホスティングプロバイダーへの攻撃を成功させた事を思い出してください)。

集中管理されたクラウドサービスは、巨大な攻撃対象領域となります。犯罪者は、個別の企業をハッキングするのではなく、単一のクラウド環境への侵入を成功させることで、数十または数百の組織のデータにアクセスしたり、1回の攻撃ですべてのサービスを停止させたりする可能性があります。

このような攻撃の影響を受けるのは企業だけではありません。政府機関、重要インフラ、法執行機関、医療機関、そして規模を問わず幅広い産業の企業がクラウドを使用し、その多くは同じクラウドプロバイダーを使用しています。サイバーテロリストが主要クラウドサービスプロバイダー1社への攻撃を成功させると、壊滅的な影響が及ぶ可能性があります。

このため、サイバー犯罪者はクラウドプロバイダーの環境に潜む脆弱性のスキャン、検知、悪用のために、AIテクノロジーとマルチベクトル型の攻撃を組み合わせるようになると予測されます。1日に数百万ドル規模になるプロバイダーのサービスに対する攻撃を成功させ、場合によっては数百万に上る顧客向けのサービスを中断させることは、犯罪組織にとって大きな利益となるだけではありません。クラウドベースのコンピューティングに対して多くの組織が元々抱えているはかない信頼を損ない、デジタル変革やデジタル経済に深刻な影を落とす可能性があります。

こちらでは、フォーティネットのソリューションによりマネージドセキュリティサービスプロバイダー(MSSP)が大規模なランサムウェア攻撃を阻止した事例を紹介しています。


予測:次世代のモーフィック型マルウェア

Prediction: Next-gen Morphic Malware / 予測:次世代のモーフィック型マルウェア

サイバー犯罪市場は、より効果的に脆弱性を見つけて悪用し、検知を回避し、複雑なネットワーク環境に適応し、利益を最大化するために、最先端のテクノロジーを巧みに採用しています。

攻撃者は攻撃の戦略-手法-手順(TTP:Tactics, Techniques, and Procedures)の流れの中で自動化と機械学習を活用し始めると考えられます。これは驚くべきことではありません。セキュリティ研究者は、機械学習で強化されたサンドボックスツールをすでに使用しており、これによって以前は識別されなかった脅威を迅速に識別し、保護を動的に作成しています。このアプローチは当然ほかの目的にも流用できます。つまり、ネットワークをマッピングし、攻撃ターゲットを見つけ、攻撃ターゲットの脆弱性を特定し、仮想ペネトレーションテストのためにターゲットシステムの青写真を作成し、カスタマイズされた攻撃を構築して実行するために使用することも可能なのです。これはすべてAIレベルで実行され、すべて完全に自動化されます。

たとえば、現在のポリモーフォック型マルウェアは数十年前から存在しています。すでに、事前にコード化されたアルゴリズムにより新しい形態をとることで検知されることを回避するため、1日あたり百万以上の亜種を作成できているのです。ただし、これまでのプロセスはアルゴリズムに基づくものでしかなく、高度化や出力に対する制御の度合いが非常に低いものでした。一方で、AIを活用して構築された次世代のポリモーフォック型マルウェアは、まったく新しいカスタマイズされた攻撃を自発的に作成できます。これは静的アルゴリズムに基づく単なる亜種ではありません。自動化と機械学習を使用して設計されたカスタム攻撃は、ターゲットシステムの侵害を迅速に実行し、効果的に検知を回避します。これまでとは、規律とイニシアチブの組み合わせが大きく異なっているのです。

FortiGuard Labsは、2017年の1四半期だけで6,200万回のマルウェア検知を記録しました。その中で識別されたマルウェアファミリーは2,500種類以上、マルウェア亜種は17,000近くに上ります。マルウェアの自動化が進むことで、来年は状況が切迫していく一方であると考えられます。


予測:重要インフラが攻防の最前線に

Prediction: Critical Infrastructure to the Forefront / 予測:重要インフラが攻防の最前線に

サイバー犯罪の手法の進歩によって影響を受ける可能性があるすべての業界の中でも、最大のリスクを抱え続けているのが医療と重要インフラのプロバイダーです。最重要インフラやOTネットワークは非常に脆弱であり、元来はエアギャップによりITインフラから分離して運用されるよう設計されたものです。しかし、従業員や顧客のニーズにデジタルスピードで対応する必要性から、このような運用のあり方が変化し始め、あらゆるものが外部に接続されるようになりました(クラウド対応のSCADAサービスが良い例です)。しかし、分離された運用向けに設計されたネットワークをデジタル世界に接続し、その後にセキュリティを補足的に適用したところで、効果はほとんどありません。

これらのネットワークは価値が高く、侵害されたり停止させられたりした場合には甚大な損害が発生する可能性があります。このため、重要インフラや医療のプロバイダーは、懸命にセキュリティを増強してサイバー犯罪組織に対抗しなければならなくなっています。今後の競争で生き残るためにはインテリジェンスとセキュリティの両方を強化する新しい接続システムを信頼する必要がある一方で、現実のものとして迫っているリスクにも対応しなければならないことから、これらのプロバイダーは困難な立場に置かれています。

これらのシステムで現在導入されているセキュリティだけでは、今後は十分ではありません。このため、組織は高品質のインテリジェンスと統合されたセキュリティ ファブリックに基づく高度なセキュリティシステムに移行することが不可欠となります。それによって、分散ネットワーク全体を把握し、攻撃者が開発・展開する高度な攻撃システムに対抗し、コラボレーションとAIの進歩を容易に統合することができます。


予測:ダークウェブとサイバー犯罪市場が自動化機能を用いた新サービスを提供

Prediction: The Dark Web and Cybercrime Economy Offer New Services Using Automation / 予測:ダークウェブとサイバー犯罪市場が自動化機能を用いた新サービスを提供

サイバー犯罪の進化とともにダークウェブも進化しています。CaaS(Crime-as-a-Service)を提供する組織が新しい自動化テクノロジーをサービスに導入していることから、ダークウェブから新しいサービスが提供されるようになると予想されます。すでに、機械学習を活用した高度なサービスがダークウェブの市場で提供されています。たとえば、FUD(Fully Undetectable、完全に検出不可)として知られるサービスが、すでに複数の商品に組み込まれています。犯罪開発者はこのサービスを使用して、攻撃コードとマルウェアを解析サービスに有料でアップロードできます。その後、さまざまなベンダーのセキュリティツールがそれを検知できるかどうかに関するレポートを受け取ります。

このサイクルを短縮するため、ラボで何がどのように検出されたのかに基づいてオンザフライでコードを修正するための機械学習がますます使用されるようになり、これらのサイバー犯罪や侵入ツールの検知がより困難になっていくと予想されます。このようにして犯罪者はテクノロジーを短期間で高度化し、ターゲットとなる企業や政府機関が使用するセキュリティデバイスをより巧妙に迂回できるようになります。

ただし、犯罪サービスプロバイダーは、このような高度なスキャンと分析を実行するために、乗っ取ったコンピューティングリソースを活用するコンピューティングクラスターを作成しなければなりませんでした。Coinhiveを使用する感染マシンは、その最新の例です。Coinhiveは、エンドユーザーのマシンに感染し、CPUサイクルを乗っ取って仮想通貨を採掘(マイニング)させるブラウザプラグインです。このプロセスによって、より悪質で検知・阻止がより困難な新しいマルウェアの設計から配信までの時間が急速に短くなっています。真のAIがこのプロセスに統合されると、攻撃と防御の関係(つまり、侵害に要する時間と検知や保護に要する時間)が現在の数時間または数日からミリ秒単位にまで短縮されるでしょう。


対策

ユーザーは、メーカーがデバイスに実装しているセキュリティ機能を質・量ともに強化するよう要求して、対応していく必要があります。セキュリティソリューションは、統合セキュリティテクノロジー、実用的な脅威インテリジェンス、動的に設定可能でインタラクティブなセキュリティファブリックに基づいて構築されたエキスパートシステムに進化する必要があります。さらに、セキュリティの運用を可能な限り今のデジタルスピードに対応させる必要があります。これは、セキュリティレスポンスを自動化してAIと自己学習を適用することで、ネットワークの効果的かつ自律的な意思決定を実現することを意味します。また、基本的なセキュリティ対策を運用プロセスに組み入れ、パッチの適用やポリシーの入れ替えをすべてのデバイスで自動的に実施する必要があります。そして、自然の成り行きから偶然の産物として形成されたネットワークアーキテクチャーに代わって、深刻かつ持続的な攻撃にも耐えうるよう設計されたアーキテクチャーを構築する必要があります。

このようなインテリジェントで自動化された脅威に対しては、コラボレーションを活用した適応性の高い統合セキュリティファブリックが最善の防御となります。AIの場合と同様に、機械学習やAIなどのテクノロジーを活用するファブリックベースのセキュリティシステムを適切に導入することで、高度な認識力を備えたプロアクティブなセキュリティ防御システムを実現し、次世代の自動化されたAIベースの攻撃に対応できます。好むと好まざるとにかかわらず、勝者独り勝ちの状況に対処しなければならないのです。今の備えを怠る組織は、高度化が次のレベルに進展したときに追いつくことができない可能性があります。

詳しくは、フォーティネットのプレスリリースをご覧ください。2017年の動向に関する予測は、こちらでお読みいただけます。

セキュリティの不確実性を引き起こす5大トレンド、これらのトレンドによりもたらされる脅威に対応するアプローチ、これらの脅威に対する包括的防御を提供する唯一のアプローチについて、フォーティネットのホワイトペーパーをダウンロードしてお読みください。