サイバーセキュリティテクノロジーのプロバイダーであるWithSecureから、同社のセキュリティエキスパートによる、2024年におけるサイバー脅威を取り巻く環境に関する予測コメントが発表された。本稿では、その概要をお伝えする。
1. サイバー犯罪の専門化
近年、APT (高度で持続的な脅威) グループ、ランサムウェア攻撃グループ、イニシャルアクセスブローカーなどにより、企業内の貴重なデータに到達するためのネットワークへの侵入経路として、インターネット境界に面したサービスの大規模な悪用が急増している。
ランサムウェアグループ『Clop』がファイル転送ソフトウェア『MOVEit』に仕掛けた攻撃の手法とその成功により、同様の流れでエッジデータ転送サーバーをターゲットとした、より大規模な攻撃キャンペーンが実行されるのではないかと考えられる。
MOVEitは大量の重要なファイルを組織間で確実に転送するために使用されているが、ClopはMOVEitのサーバーを悪用してこれらのファイルにアクセスし、流出させた。
ランサムウェアグループにとって、大量の重要データへのアクセスは最終目標であり、脆弱性を持つMOVEitサーバーよりもネットワークのさらに先へのアクセスではなく、悪用されたサーバー自体に価値があるような模倣的な攻撃が増えることが想定される。
このタイプの攻撃は手順が少ないため攻撃者にとっては単純なものであり、同時に防御側にとっては検知が非常に困難となる。攻撃はすべて1台のサーバーに向けられるため、ラテラルムーブメント (水平移動) を検知することはできない。
ターゲットとなるサーバーはインターネットに面しているため、例えば高度に統制されたドメインコントローラーで構成されるコアサーバーネットワークよりもノイズの多い環境となる。
こうしたサーバーがリモートの宛先に大量のファイル転送を行うことは通常の動作だといえるため、異常なアクティビティとして認識されなかったり、セキュリティチームによって誤検知として処理されたりする可能性は高いであろうと考えられる。
2. クラウドサービスの普及とリモートワークの継続による攻撃対象の拡大
サプライチェーンの一部が侵害を受けると、複数の組織に悪影響を及ぼす可能性がある。
多くのユーザー数を持つVoIPソフトウェアのプロバイダーを侵害し、そのユーザーを感染させた3CXの攻撃は、そのような例の1つだ。
攻撃者は3CXのサーバーの脆弱性を悪用、ソフトウェアのアップデートに悪意のあるコードを混入した。
3CXのサプライチェーン攻撃は、1つのソフトウェアサプライチェーン攻撃が別のソフトウェアサプライチェーン攻撃につながったものだ。サプライチェーンシステムだけでなく、サードパーティベンダーのシステムも保護することの重要性を示しており、今後もサプライチェーン攻撃は多くの課題をもたらすことになると考えられる。
生産性の向上と競争力維持のために、クラウドサービスの活用を含むDX (デジタルトランスフォーメーション) が進む中、セキュリティが十分に確保されていない新しいテクノロジーやプロセスの導入も増加が予想される。
新しいインターフェース、API、通信チャネルを備えたクラウドサービスは攻撃者にとって新たな標的となり、潜在的な攻撃対象領域が拡大することになる。
クラウドインフラとリソースの設定と管理におけるエラーや見落としが原因で発生するクラウドサービスの設定ミスは、セキュリティの脆弱性、データの漏洩、運用上の問題につながる。
こうした設定ミスを軽減するには、定期的なセキュリティ監査を実施し、クラウドサービスプロバイダが提供するベストプラクティスに従い、潜在的な問題の継続的な監視を怠らないことが必要となる。
3. オープンソースは安全なAGI (汎用人工知能) 作りに貢献できるのか?
オープンソースのAIは今後も改善され、広く使用されることだろう。これらのモデルはAIの民主化をもたらすものであり、権力を少数の企業から人々の手へと移すものだ。2024年には、この分野でさらに多くの研究とイノベーションが起こり、また、オープンソース支持者の数は増えるはずだ。
2024年のアメリカ大統領選挙に向けて、AIはフェイクニュースや影響力を持つ戦略のために使われるだろう。サイバー犯罪のエコシステムはアクセスブローカー、マルウェア作成、スパムキャンペーンサービスなど、細分化が進んでおり、フェイクニュースの分野ではPRやマーケティングを装いながら、フェイクニュースや影響力の行使をサービスとして提供する企業も数多く存在する。
サイバー犯罪者は効率化のためにAIを活用し、生成モデルを用いてフィッシングコンテンツ、ソーシャルメディアコンテンツ、ディープフェイク、合成画像/動画を作成するだろう。
こうしたコンテンツの作成にはプロンプトエンジニアリングの専門知識が必要であり、それさえもサービス化されていくかもしれない。
画像や動画を生成するAIサービスが制御しやすくなるにつれて、アクセシビリティにおいてテキスト生成に追いつき始めると考えられる。
そしてAIサービス統合や大手による独占が始まると予想される。AIが生成する膨大な数の画像がインターネット上に氾濫し歴史的な画像も含めほぼすべての画像がその真贋を疑われるようになるはずだ。
今後登場するサービスや製品ではAI機能の搭載の有無が購入/導入決定の要素の1つになるが、初期のIoTデバイス同様、セキュリティを軽視した製品も市場に出てくることが予想されるため、ユーザーはこうした点も十分考慮する必要がある。