これまで脅威存在痕跡(IOC)は感染を検知する有効な手段でしたが、すべての機能が標的ごとに変わるマルウェアプラットフォームが見つかったことで、別の標的を見つけ出す手段としての信頼性が低下しつつあります。また、感染マシンの初回の再起動で消え去るメモリ常駐型マルウェアの出現も予想しており、調査の手がかりが減少していくとみています。
[本リリースは、2016年11 月16日にKaspersky Labが発表したプレスリリースに基づいた抄訳です]
Kaspersky Labのグローバル調査分析チーム(GReAT)は、年次のサイバー脅威動向レポートで、2017年のサイバー脅威の傾向と予測を次の通りまとめました。※1
■ サイバー脅威の傾向
- IOCの信頼性が低下
脅威存在痕跡(Indicators of Compromise :IOC)はこれまで、マルウェアの特徴を共有し感染を検知する有効な手段でしたが、今年、GReATが標的型攻撃を行う犯罪グループ「 ProjectSauron 」を発見したことで状況が変わりました。同グループを分析する中で明らかになったマルウェアプラットフォームは、すべての機能が標的ごとに変わるため、IOCは別の標的を見つけ出す手段としての信頼性が低下し、YARAルール※2 など別の手段との併用が必要になります。 - 一過性の感染が増加
2017年は、感染したマシンの初回の再起動で消え去るメモリ常駐型マルウェアの出現を予想しています。このマルウェアの目的は感染の継続ではなく、スパイ活動と認証情報の収集です。攻撃者は発見されることを避けるために、マルウェアを機密性の高い環境に展開すると考えられます。 GReATのシニアセキュリティエキスパート、ファン・アンドレス・ゲレーロサーデ(Juan Andrés Guerrero-Saade)は次のように述べています。「こうした傾向は犯罪者側からすると飛躍的な進歩ではありますが、セキュリティ業界には打つ手があります。それは品質の高いYARAルールの採用です。リサーチャーはYARAルールを活用することで、企業の隅々にまでスキャンを実施し、休止中のバイナリの特徴を検査・特定するとともに、マシンのメモリをスキャンして既知の攻撃の断片を探し出すことが可能になります」
■サイバー脅威の予測
- 偽旗作戦によってアトリビューションが困難に
国際関係においてサイバー攻撃の問題が浮上し、報復などの政治的な行動指針を決定する上で、攻撃の実行者を特定するためのアトリビューションが重要な課題となるでしょう。アトリビューションを追求すれば、インフラや独自ツールを公開市場で投げ売るサイバー犯罪者や、オープンソースの商用マルウェアを選択する犯罪者が増加するリスクがあります。当然ながら、偽旗作戦として知られる、アトリビューションを誤認させる手口の利用が拡大し混乱を招く恐れもあります。 - 情報戦争の増大
2016年は、攻撃目的で窃取された情報が白日の下に晒される事態を、全世界が真剣に受け止めるようになりました。2017年も同様の攻撃が増加する見込みです。攻撃者は窃取した情報を改竄したり部分的に開示し、そのようなデータを事実として積極的に認めようとする人々の意思を悪用する可能性があります。 - 私的制裁を加えるハッカーの増加
大義を盾として、データ窃取や漏洩を行うハッカーが出現するとみています。 - サイバー妨害工作に対する脆弱性が拡大
重要インフラや製造システムは依然としてインターネットに接続されており、ほとんど保護されていない場合があります。このようなシステムの破壊や操業を中断させる行為は、高度なスキルを持つサイバー攻撃者にとって、また地政学的な緊張が高まる時期においては抗しがたい魅力があるものと考えられます。 - スパイ活動がモバイルデバイスを標的に
モバイルを主な標的とするスパイ活動が増加するでしょう。背景にはセキュリティ業界の現状として、モバイルOSにフルアクセスするフォレンジック分析が困難なことが挙げられます。 - 金融攻撃の商品化
2016年のSWIFTに対するハッキングに倣って、攻撃の「商品化」が起きると予測しています。攻撃専用のリソースが闇市場のフォーラムで、もしくはas-a-service形態で販売される可能性があります。 - 電子決済システムへの不正アクセス
電子決済システムの普及が進むにつれて、犯罪者の関心も高まっていくと予測しています。 - ランサムウェアの「信用」の崩壊
ランサムウェア攻撃は引き続き増加するとみています。程度の低い犯罪者がこの分野へ参入する中で、金銭の支払いによってデータが取り戻せるという、被害者と攻撃者間の奇妙な信頼関係が崩れると考えています。攻撃者への金銭支払いを考えている人にとって、転換点となる可能性があります。 - 過密状態のインターネットにおけるデバイスの完全性
セキュリティ保護が施されていないIoTデバイスが次々に市場に投入され、さまざまな問題が発生しています。このような状況下で、私的制裁を加えようとするハッカーが自らの手で問題に対処するべく、可能な限り多くのデバイスを利用できないようにするリスクがあります。 - サイバー犯罪者を惹きつけるデジタル広告
デジタル広告での利用が拡大しているトラッキングやターゲットツールが、今後1年の間、活動家や反体制派とされる人々の監視に使われるようになるでしょう。同様に、広告ネットワーク(IPアドレス、ブラウザーのフィンガープリンティング、閲覧の傾向やログイン選択性の組み合わせによって詳細なターゲットプロファイリングが可能)も、高度なサイバースパイグループが自身の最新のツールキットを保護しつつ、標的を正確に攻撃するために利用する可能性もあります。
「2017年サイバー脅威の予測」全文は、英語はSecurelist、日本語はこちらをご覧ください。
2015年末にGReATが予測した2016年のサイバー脅威はこちらをご覧ください。
※1 Kaspersky Security Bulletinは、Global Research and Analysis Team (GReAT:グレート)のトップセキュリティエキスパート50人がまとめた脅威の動向レポートです。GReATは、Kaspersky Labで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。
※2 YARAは、悪意のあるファイル、システムまたはネットワーク上での不審な活動のパターンのうち、類似性があるものを発見するためのツールです。YARAルールを利用することで、関連するマルウェアサンプルの発見、グループ化や分類によって繋がりを導き出すことができます。マルウェアファミリーの確立、ほかの方法では気づけない可能性のある攻撃グループを発見できます。