バラクーダのセキュリティ最前線から2024年のサイバー脅威を予測

2023.12.25

2023年11月29日、Tilly Travers

未来を予測することは困難ですが、過去１年間の進化を見ることで、何が起こりそうかを予想することはできます。今年もバラクーダでは、XDR とオフェンシブセキュリティから国際的な製品エキスパート、自社のセキュリティ運用チームまで、セキュリティの最前線で働く同僚に、2023年に目撃したことと2024年に目撃すると思われることについて質問しました。

2023年に最も驚いたことは？

アダム・カーン（Adam Kahn、以下AK） VP／グローバルセキュリティオペレーションズ担当：MGMへの攻撃。Scattered Spider と呼ばれる犯罪グループがソーシャルエンジニアリングを使って MGM のヘルプデスクの従業員を欺き、MGM の重要な従業員のパスワードとMFAコードをリセットさせました。このアクセスによって、Scattered Spider は MGM のマネージド IT サービスである Okta に侵入し、ID プロバイダをインストールし、自分たちのためにシングルサインオンを作成することができました。侵入は Microsoft Azure クラウド環境にも及び、複数のシステム脆弱性と顧客データの流出につながりました。このランサムウェア攻撃により、MGM リゾーツは推定１億ドルの損害を被りました。この攻撃は、ソーシャルエンジニアリングが依然として強力かつ進化し続けるサイバー兵器であることを改めて示しています。

ピーターソン・グティエレス（Peterson Gutierrez、以下PG） VP／情報セキュリティ担当：脅威アクターの手法の明確な変化。身代金目当てのデータ暗号化から、単に情報を公開すると脅すことへと明らかに変化しています。

メリウム・カリド（Merium Khalid、以下MK）ディレクター／SOC オフェンシブセキュリティ担当：私たちが遭遇したビジネスメール侵害（BEC）の数が、ランサムウェア攻撃の数とほぼ同等だったこと。ランサムウェアはより一般的かつ大きな損失をもたらす脅威として認識されているのに比べ、BECはさほど注目されておらず、多くの企業がその潜在的な影響を過小評価しています。この２つの脅威がほぼ同等であることは、サイバー脅威の進化する性質とサイバー犯罪者の適応力を浮き彫りにしています。組織がランサムウェアに対する防御を強化するなか、攻撃者は戦術を多様化させ、BECを同じくらい稼げる手段として活用しているのです。

ヘスース・コルデロ（Jesus Cordero、以下JC） ディレクター／システムエンジニアリング、SASEおよびクラウド担当：世界中で増加するサイバーセキュリティ職の空白期間。ICS2の最新データによると、未充足のセキュリティ職の数は400万人弱に達しており、他の調査によると、その格差は2021年から2023年の間に350％も拡大しています。

チャールズ・スミス（Charles Smith、以下CS） コンサルティング・ソリューション・エンジニア／欧州・中東・アフリカ地域データ保護担当：企業がいまだにデータ保護の必要性を真剣に考えていないこと。企業は適切なソリューションへの投資も、信頼できるデータ保護リカバリープランの策定も行っていません。

ロヒト・アラディヤ（Rohit Aradhya、以下RA） VP兼マネージングディレクター／エンジニアリング担当：中小企業やその従業員が、ビジネスへの脅威が差し迫っていることに気づいていないこと。セキュリティ業界以外では、デジタル資産やデジタル取引、Web ポータル保護の重要性が広く欠如しています。また、メールやパブリッククラウドサービス、クラウドストレージ、その他多くのデジタルサービスをいかに利用すべきかについての認識も不足しています。

シュテファン・ファン・デル・ヴォル（Stefan van der Wal、以下SvdW）コンサルティング・ソリューションズ・アーキテクト／アプリケーションセキュリティ（欧州・中東・アフリカ地域）担当：ハッカーが Web アプリケーションを攻撃して成功したという圧倒的な証拠があるにもかかわらず、組織にはまだ知識が不足しており、時にはそれに取り組む意欲さえないように見えること。

エムレ・テジシ（Emre Tezisci、以下ET） プロダクトマーケティングマネジャー／ゼロトラスト担当：ソフトウェアや IT サプライチェーンの脆弱性を悪用し、複数の企業を標的にした大規模ランサムウェア攻撃がいくつも発生したこと。たとえば、データ転送ソフトウェア製品を悪用した大規模サイバー攻撃「MOVEit」は、数百万人の個人と数千の企業に影響を与えました。

マーク・ルキー（Mark Lukie、以下ML） ディレクター／ソリューションアーキテクト（アジア太平洋地域）担当：サプライチェーンにおける攻撃の高度化と頻度の急増。

2024年、企業が最も懸念しているセキュリティ上の課題は？

シーラ・ハラ（Sheila Hara、以下SH）シニアディレクター／プロダクトマネジメント、メールプロテクション担当：多層防御（defense in depth）をいかに導入するか。これは、様々な脅威から身を守るために複数のセキュリティ対策を重ねるサイバーセキュリティ戦略です。

シュテファン・シャヒンガー（Stefan Schachinger、以下SS） シニアプロダクトマネージャー／IoT 担当： サイバー犯罪者のほうがセキュリティ業界より早く AI を導入するであろうこと。生成 AI のようなツールが一般的になった結果、攻撃の質、特にスピアフィッシングのようなソーシャルエンジニアリングは、本物と偽物の区別が普通の人にはほとんど不可能なレベルに達しています。

AK：進化する AI の脅威、ランサムウェアのエクスプロイトマッピング、サプライチェーンや重要インフラへの攻撃、そしてサイバーセキュリティ専門家の不足が続いている状況。

MK：多要素認証（MFA）のバイパス。MFA は信頼できるセキュリティ対策ですが、サイバー犯罪者がそれを回避する方法を見つけています。また、クリティカルなゼロデイ脆弱性による脅威や設定ミス、不十分なアクセス制御、クラウドインフラストラクチャの脆弱性によるクラウドベースのリスクも喫緊の課題です。

CS：攻撃を受けた際にバックアップソリューションが危険にさらされること。この点への懸念を深める企業が出てきています。ハッカーは、データを暗号化したり強奪したりする前に、バックアップデータを探し出し破壊するために様々な方法を採用しており、オンプレミスソリューションはそのような攻撃に対して特に脆弱です。

ET：サイバー攻撃の速さ。アカウント乗っ取りとフィッシング、そしてわずか40ドルから始められるランサムウェア・アズ・ア・サービス（RaaS）キットが、依然としてサイバー攻撃の主要な推進力です。こうしたキットは、攻撃者がより多くの攻撃をより迅速に実行するのに役立っており、１回の攻撃を実行するのにかかる平均日数は、2019年には約60日となっていましたが、2023年には４日に短縮されています。

RA：ビジネスを保護する包括的なセキュリティプラットフォームやソリューションが存在していないこと。今日の企業は、ビジネスを保護するために、さまざまな製品や専門知識を提供する多数のセキュリティベンダーに依存しており、これらのソリューションのギャップや未知の未知（分かっていないことが何かが分からないこと）を懸念しています。

JC：日常業務で扱う必要のあるソリューションの数が膨大で、尚且つレガシーソリューションが、新しい課題や将来の課題にアプローチするのに適したツールであるのか明らかではないこと。

ML：ランサムウェアとフィッシング、そしてデータ侵害。また、顧客は人工知能（AI）や IoT などの新技術に関連する特定のセキュリティリスクについても懸念しています。

企業が最も準備不足な分野は？

SS：ほとんどの組織は、標的を絞った質の高い攻撃から身を守る準備ができていません。こうした標的を絞った質の高い攻撃は、以前なら国家や諜報機関レベルでしか見られなかったもので、ソーシャルエンジニアリングや技術的な攻撃ベクトルも含まれます。ここに AI の利用が加われば、より多くの組織が高度な攻撃に直面することになるでしょう。

CS：データ損失防止（DLP）やリカバリのテストに対応する準備が不十分です。たとえばデータ保護に関して言えば、多くの企業は最低限のことしかしていません。バックアップソリューションを導入し、バックアップを毎日実行するようにスケジュールを組んだだけでデータ保護への対応は完了したと思っているのです。あらゆる種類のデータ復元をテストしたり、IT セキュリティチームの誰もがプレッシャーにさらされたときでもプロセスを実行できるように手順を文書化したりすることに、どの企業も時間をかけようとはしていません。

ET：AI を活用して自動化し、加速化した攻撃への対処。攻撃者は、より効果的な AI 搭載のマルウェアやフィッシング、音声シミュレーションを作成することができます。

MK：MFA バイパス。ゼロデイ脆弱性やクラウドベースの攻撃は、以前から注目されている脅威として認識されていますが、MFA をバイパスする手口が巧妙化しているのは比較的新しい課題です。

SH：画像ベースの攻撃。画像をベースにした攻撃は、進化するサイバー脅威の性質をよく表しています。画像ベースの攻撃には、サイバー犯罪者が悪意のあるコードやテキスト、またはファイルを画像内に埋め込むステガノグラフィペイロードが含まれます。このペイロードは、特定のツールを使用して抽出することができ、攻撃者はその意図を隠すことができます。また、攻撃者が画像に暗号化された情報や悪意のあるコンテンツへのリンクを追加する悪意のある透かしや、有効な画像と実行可能ファイルの両方として解釈されるように細工し、攻撃者が特定のセキュリティチェックを回避できるようにするポリグロットファイルなどもあります。

RA：ランサムウェア。ほとんどの企業には、ランサムウェアのインシデントに対処するための標準的なプレイブックがありません。

JC：レガシーテクノロジーを抱え、熟練したスタッフの足りていない組織の IT チームは、ビジネスを保護するために平均的なソリューションに頼っています。そのような準備不足の組織は、AI を使いこなすサイバー犯罪者が仕掛けるインテリジェントな持続的脅威の新たな波に大打撃を受ける可能性が高いでしょう。

2024年、攻撃者は何に最も注目する？

AK：AI を活用したサイバー攻撃。サイバー犯罪者は AI と機械学習（ML）を活用して攻撃の高度化を図っています。

MK：AI を活用した攻撃と、より標的を絞ったランサムウェアキャンペーン。攻撃者は、高度な AI アルゴリズムを活用して攻撃プロセスを自動化し、より効率的でスケーラブルに、かつ検知を困難にしています。このような AI を駆使した攻撃はリアルタイムで適応することができ、遭遇した防御から学習し、防御を回避する革新的な方法を見つけることができます。ランサムウェア攻撃は、サイバー犯罪者が重要なインフラや価値の高いターゲットに焦点を当て、最大限の損害を与え、法外な身代金を要求することを目的とした、より標的を絞ったキャンペーンへと進化しているのです。

PG：2023年、サイバー犯罪者はアカウント乗っ取り攻撃に多大なエネルギーを費やしているようでした。脅威アクターは、追加攻撃のためのさまざまな軸となるポイントを得ることができるため、何よりもまず ID を攻撃するという努力を継続的かつ集中的に行うことになると思います。

ET：攻撃者は引き続き、攻撃キットとアカウント乗っ取り攻撃に重点を置くでしょう。巧妙化するフィッシングメールを全従業員がクリックするのを阻止するのはほぼ不可能です。

SH：2024年には、技術の進歩と地政学的な出来事、そして攻撃者の戦術の変化に基づいた新たな脅威が出現する可能性があります。おそらく、ディープフェイク攻撃や合成メディア攻撃もそこには含まれるでしょう。ディープフェイク技術の進歩に伴い、攻撃者は偽情報キャンペーンやなりすまし、悪意のある目的のためのメディア操作などでもその技術が使われる可能性があります。同時に、ランサムウェアやサプライチェーン攻撃、データプライバシー侵害といった既存の攻撃も継続・増加する可能性が高いです。攻撃者は、IoT や運用技術（OT）の脆弱性を悪用することにますます重点を置くようになるでしょう。

RA：攻撃者は、標的を中小企業にシフトしています。中小企業でもデジタル化が進み、サイバーセキュリティの専門家が市場に不足していることを認識しているためです。

SvdW：攻撃者は、企業内の最も脆弱なリンクを悪用し続けるでしょう。従来通りサイバー犯罪者は、最も抵抗の少ない経路に興味を示します。つまり、組織は１つのベクターに集中するのではなく、すべてのベクターに対処できる包括的な戦略を準備しておく必要があるのです。

JC：２つの傾向があると予想しています。１つ目の傾向として、従来型の脅威ベクトルが継続するでしょう。企業の IT チームは経験が浅く、常に人員不足であること、そして企業のソリューションがレガシーかつ時代遅れか、設定ミスをしている可能性が高いことを攻撃者は知っているのです。もう１つの傾向は、テクノロジーの自然な進化です。企業側が AI ベースのソリューションでセキュリティ資産を強化するのに伴い、進化した生成 AI で作られた新たな攻撃ベクトルが生み出されていくのです。