サイバー犯罪の専門化、クラウドサービスやAIを悪用した攻撃について注意喚起
ウィズセキュア、2024年のサイバーセキュリティ動向予測を発表
ウィズセキュアは、同社のセキュリティエキスパートによる、2024年におけるサイバー脅威を取り巻く環境に関する予測コメントを発表し、サイバー犯罪の専門化、クラウドサービスやAIを悪用した攻撃について注意を喚起した。
先進的サイバーセキュリティテクノロジーのプロバイダーであるWithSecure (以下:ウィズセキュア) は、同社のセキュリティエキスパートによる、2024年におけるサイバー脅威を取り巻く環境に関する予測コメントを発表した。
1. サイバー犯罪の専門化
近年、APT (高度で持続的な脅威) グループ、ランサムウェア攻撃グループ、イニシャルアクセスブローカーなどにより、企業内の貴重なデータに到達するためのネットワークへの侵入経路として、インターネット境界に面したサービスの大規模な悪用が急増している。ランサムウェアグループ『Clop』がファイル転送ソフトウェア『MOVEit』に仕掛けた攻撃の手法とその成功により、同様の流れでエッジデータ転送サーバーをターゲットとした、より大規模な攻撃キャンペーンが実行されるのではないかと考えている。MOVEitは大量の重要なファイルを組織間で確実に転送するために使用されるが、ClopはMOVEitのサーバーを悪用してこれらのファイルにアクセスし、流出させた。ランサムウェアグループにとって、大量の重要データへのアクセスは最終目標であり、脆弱性を持つMOVEitサーバーよりもネットワークのさらに先へのアクセスではなく、悪用されたサーバー自体に価値があるような模倣的な攻撃が増えることが想定される。
このタイプの攻撃は手順が少ないため攻撃者にとっては単純なものであり、同時に防御側にとっては検知が非常に困難となる。攻撃はすべて1台のサーバーに向けられるため、ラテラルムーブメント (水平移動) を検知することはできない。ターゲットとなるサーバーはインターネットに面しているため、例えば高度に統制されたドメインコントローラーで構成されるコアサーバーネットワークよりもノイズの多い環境となる。こうしたサーバーがリモートの宛先に大量のファイル転送を行うことは通常の動作だといえるため、異常なアクティビティとして認識されなかったり、セキュリティチームによって誤検知として処理されたりする可能性は高いであろうと考えられる。
2. クラウドサービスの普及とリモートワークの継続による攻撃対象の拡大
サプライチェーンの一部が侵害を受けると、複数の組織に悪影響を及ぼす可能性がある。多くのユーザー数を持つVoIPソフトウェアのプロバイダーを侵害し、そのユーザーを感染させた3CXの攻撃は、そのような例の1つである。攻撃者は3CXのWebサーバーの脆弱性を悪用し、ソフトウェアのアップデートに悪意のあるコードを混入した。3CXのサプライチェーン攻撃は、1つのソフトウェアサプライチェーン攻撃が別のソフトウェアサプライチェーン攻撃につながったものである。サプライチェーンシステムだけでなく、サードパーティベンダーのシステムも保護することの重要性を示しており、今後もサプライチェーン攻撃は多くの課題をもたらすことになると考えられる。
生産性の向上と競争力維持のために、クラウドサービスの活用を含むDX (デジタルトランスフォーメーション) が進む中、セキュリティが十分に確保されていない新しいテクノロジーやプロセスの導入も増加が予想さる。新しいインターフェース、API、通信チャネルを備えたクラウドサービスは攻撃者にとって新たな標的となり、潜在的な攻撃対象領域が拡大することになる。
クラウドインフラとリソースの設定と管理におけるエラーや見落としが原因で発生するクラウドサービスの設定ミスは、セキュリティの脆弱性、データの漏洩、運用上の問題につながります。こうした設定ミスを軽減するには、定期的なセキュリティ監査を実施し、クラウドサービスプロバイダが提供するベストプラクティスに従い、潜在的な問題の継続的な監視を怠らないことが必要となる。
3. オープンソースは安全なAGI (汎用人工知能) 作りに貢献できるのか?
オープンソースのAIは今後も改善され、広く使用されるであろう。これらのモデルはAIの民主化をもたらすものであり、権力を少数の企業から人々の手へと移すものである。2024年には、この分野でさらに多くの研究とイノベーションが起こり、また、オープンソース支持者の数は増えるであろう。
2024年のアメリカ大統領選挙に向けて、AIはフェイクニュースや影響力を持つ戦略のために使われるであろう。サイバー犯罪のエコシステムはアクセスブローカー、マルウェア作成、スパムキャンペーンサービスなど、細分化が進んでおり、フェイクニュースの分野ではPRやマーケティングを装いながら、フェイクニュースや影響力の行使をサービスとして提供する企業も数多く存在している。サイバー犯罪者は効率化のためにAIを活用し、生成モデルを用いてフィッシングコンテンツ、ソーシャルメディアコンテンツ、ディープフェイク、合成画像/動画を作成するであろう。こうしたコンテンツの作成にはプロンプトエンジニアリングの専門知識が必要であり、それさえもサービス化されていくかもしれない。画像や動画を生成するAIサービスが制御しやすくなるにつれて、アクセシビリティにおいてテキスト生成に追いつき始めると考えられる。そしてAIサービス統合や大手による独占が始まると予想される。AIが生成する膨大な数の画像がインターネット上に氾濫し歴史的な画像も含めほぼすべての画像がその真贋を疑われるようになるであろう。
今後登場するサービスや製品ではAI機能の搭載の有無が購入/導入決定の要素の1つになるが、初期のIoTデバイス同様、セキュリティを軽視した製品も市場に出てくることが予想されるため、ユーザーはこうした点も十分考慮する必要がある。
4. サプライチェーンへの攻撃
デジタル世界において私たちは、サプライチェーンのセキュリティを完全に把握することができない製品やサービスを利用している。私たちのデータはいたるところに存在し、さまざまなプロバイダーが提供するサービスによって処理されているが、そのプロバイダーも自身のサプライチェーンにおけるセキュリティの全容を把握できているとは限らない。
セキュリティ/プライバシー保護のために多くの規制がサービスプロバイダーに対して導入されつつあるが、これらの規制は現在の世界の考え方に基づいて運用されている。テクノロジーの進化に合わせて規制は変化し、そしてサプライチェーンは絶えず新たな課題を持つこととなる。
実世界では、井戸に毒を盛ればその地域のコミュニティーに影響を与えることができる。デジタル世界では、たった1人で海をも汚染することができる。攻撃者は大手のサービスプロバイダーそのものを標的にする必要はなく、オープンソースのコードやAIモデルを標的にすることもできる。汚染されたオープンソースコードには汚染されたコードを特定するツールがあるのとは対照的に、汚染されたAIモデルが提供する変更にユーザーが気づかない可能性があり、深刻な事態をもたらすことになる。このような状況では、もはやゼロトラストは機能せず、AIが信頼できるものかどうか、人々には知る由もないであろう。
5. サイバーセキュリティにおけるグリーンコーディング
様々なアプリケーションにおいてデータ量が増加するなか、温室効果ガスの排出量の削減をおこなう上で、ICT業界がクラウドサービスと各種デバイスの両方において果たす役割は大きなものとなる。今後12〜18ヶ月の間に、コードの全体的なエネルギー効率を優先させるべきというユーザー側からの要請に後押しされるかたちで、ICT業界における共通規格が登場すると予想される。コードを最適化するには、デバイスから実際の使用データを収集し、ラボでのテストにとどまらず、高い効果を持つ分野を特定する必要がある。AIテクノロジーはコンテンツ作成と分析に優れているが、その進歩はエネルギー集約的なものであり、コンピューティングの運用に影響を与えている。生成AIエンジンの構築と運用には従来のアルゴリズムとは対照的に計算コストがかかる。持続可能で効率的な利用のために、これらのテクノロジーを実世界のシナリオに適用する際には、こうしたさまざまな要素を考慮することが極めて重要となる。
出典:PRTimes ウィズセキュア、2024年のサイバーセキュリティ動向予測を発表