2024年は何に備えるべき?予想されるセキュリティ脅威動向を解説
本年も、当社から2024年のサイバーセキュリティの脅威予測レポートが発表されました。サイバー攻撃者の動向や脅威状況の変化を常に追い続ける当社が予想する脅威動向とは?2024年のキーワードは「クラウドネイティブ」と「生成AI」です。
トレンドマイクロの「セキュリティ脅威予測」とは?
2014年より当社が国内向けに発行している「セキュリティ脅威予測」は、ITを活用する全てのユーザ向けの対策強化に役立てていただくことを目的に次年度のサイバーセキュリティ動向を予測したレポートです。トピックを検討する際に、当社の脅威リサーチャーやエバンジェリストなど、日本を含む全世界の当社の専門家が、過去数年に起きたセキュリティインシデントの事例や確認した攻撃手法・攻撃者の動向などを加味して議論を重ねています。
2022年末に発行した「2023年セキュリティ脅威予測」の内容は、以下の通りでした。実際に課題が顕在化あるいは深刻化していたり、国内の公的機関から注意喚起が出されるなどしているトピックが多く挙がっています。
では、今回発行された「2024年のセキュリティ脅威予測」の内容を解説していきましょう。ここではすべてのトピックを紹介できないので、特筆して注意すべきものを3つ取り上げて紹介します。
予測① 生成AIのソーシャルエンジニアリングへの悪用がより活発化
2023年は、ChatGPTやMidjourneyなどの生成AIを活用したサービスにより、新たなビジネスの創出・効率化がますます進んだ年と言えますが、サイバー犯罪者による生成AIの悪用・研究もそれ以前から進んでいます。
特に、生成AI技術によるディープフェイク(合成動画や音声の作成技術)を悪用した犯罪行為が確認されています。日本国内ではいたずらと思われる著名人のなりすましや偽動画が話題となりましたが※、海外では悪意を持った偽広告や仮想誘拐といった実例、正規サービスの本人確認プロセス回避の研究に関する投稿が確認されています(下記記事参照)。
※ 日本経済新聞(2023年11月4日)。
参考記事:ディープフェイクとは?~生成AI時代に認識しておくべきサイバー脅威~
2023年3月には米国連邦取引委員会(FTC)からも、AIを活用した詐欺行為に関する注意喚起がなされました※。こうしたソーシャルエンジニアリング(なりすましなど被害者を騙す行為や手法)に生成AIを悪用する行為は、2024年も引き続き活発化するでしょう。法人組織にとっては、ビジネスメール詐欺(BEC)やスピアフィッシングの分野で、なりすましのレベルが格段に向上していく危険性を伴っています。こうした巧みな手法によってサイバー攻撃における初期侵入が未然に防げないケースも増えることが予想されます。防御側は実害拡大を防ぐために、より迅速な検知・対応の体制を整えることが重要です。
また、2024年11月は米国の大統領選も控えており、生成AIを悪用した偽情報による「インフルエンスオペレーション(インターネットを介した世論操作活動)」にも注意が必要です。
※ 米国連邦取引員会(FTC)「Chatbots, deepfakes, and voice clones: AI deception for sale」(2023年3月)
サイバー犯罪者が集うアンダーグラウンドフォーラムでは、「Dark AI」というセクションが設けられており、活発に生成AIサービスの悪用の研究に関する投稿がなされています。そこでは、ChatGPTの犯罪への悪用を行うための制限解除方法(脱獄:ジェイルブレイク)に関する情報や、フィッシングメール配信ソフトウェアへのChatGPT機能の組み込みの宣伝などが投稿されています。また、悪用への制限がなくフィッシングメール作成などが可能とされる「WormGPT」という生成系AIサービスが2023年6月に登場し(公開後2か月で公開停止)、その後も後継サービスが公開されるなど、アンダーグラウンド市場は活況を呈しています(全く機能しない「偽物」と見られるものや単なる正規サービスへの中継プログラム(ラッパー)と思われるものも含まれます)。
参考記事:過度な期待と現実:サイバー犯罪のアンダーグラウンドにおけるChatGPTを中心としたAIの動向
こうしたサイバー犯罪に悪用可能な生成AIサービスの研究・開発はまだ実用段階に至っているとは言えませんが、2024年は犯罪に利用可能な生成AIサービスの研究と正規サービスの悪用の議論が引き続き行われるでしょう。
特に、Kubernetes、Dockerなど、いわゆるクラウドネイティブツールのAPIのセキュリティ不備を狙ったワーム型マルウェア(以下、ワーム)による攻撃が懸念されます。ワームはネットワークを通じて他のコンピュータに自動的に拡散することを目的としたマルウェアです。特に、ワームの攻撃がクラウド環境を狙って侵入に成功した場合、クラウド環境内での急速な拡散を引き起こす可能性があります(クラウドネイティブワーム攻撃)。
実際に、主にクラウド環境を狙うサイバー犯罪者集団「Team TNT」により行われたワーム攻撃では、代表的なクラウドネイティブツールのセキュリティ不備をスキャンする機能やC&Cサーバに接続しさらに別のクラウド環境を狙う機能が備わっていたことが報告されています※。外部から直接攻撃可能なクラウド環境は、今後同様のクラウドネイティブワーム攻撃に高頻度でさらされる可能性が高いため、自社のクラウド環境のセキュリティ不備の見直しは定期的に行う、自動化ツールによるセキュリティ不備を可視化するなどの取り組みが重要と言えるでしょう。
※ CSO(2023年7月)。
Webアプリケーションのセキュリティ強化に取り組む著名コミュニティ「OWASP」の「Cloud-Native Application Security Top 10」でも「設定ミス」は多くの項目で挙げられています。こうした情報を用いて自社の設定チェックを行うことで、より効果的な対策がとれるでしょう。
図:クラウドネイティブアプリケーションのセキュリティリスクTOP10※
※ OWASP「OWASP Cloud-Native Application Security Top 10」
予想③ CI/CD システムを狙うソフトウェアサプライチェーン攻撃の課題が顕在化する
ソフトウェアサプライチェーン攻撃とは、ソフトウェアの製造や提供の工程を侵害し、ソフトウェアそのものやアップデートプログラムなどに不正コードを混入し、標的組織に侵入する攻撃です。攻撃者から見ると、ソフトウェアサプライチェーンは、単一のサプライヤーを通じて複数の企業や組織を標的にすることができ、攻撃の工数がかかるものの、それだけ魅力的な手段です。実際の事例では、2020年に米国で発覚した、SolarWinds社が提供しているネットワーク監視製品「Orion」への攻撃が記憶に新しいでしょう。
参考記事:サプライチェーン攻撃とは?~攻撃の起点別に手法と事例を解説~
こうした背景から、2024年以降は攻撃者がソフトウェアサプライチェーン攻撃を狙う際、ソフトウェアベンダーの開発環境であるCI/CD※システムへの侵入を試みることが予想されます。CI/CD パイプラインの設定方法は 1 つではなく、多数のツールやプロセスに基づいて構築され、外部ソースへの参照を前提としていることが多くあります。本レポートでは、2024年には「野心的な攻撃者がソースコードを攻撃し、ライブラリ、パイプライン、コンテナなどのサードパーティコンポーネントを持続的に狙ってくること」が予想されるとしています。
※ CI/CD: Continuous Integration(継続的インテグレーション)/Continuous Delivery(継続的デリバリー)の略。アプリケーション開発の各プロセス(解析・ビルド・テスト・ディプロイ)を自動化することにより、ユーザへの機能提供を頻繁にできるようにする開発手法。自動化された一連のステップを「CI/CDパイプライン」という。
DevOpsの開発アプローチを実現するツールであるCI/CDの開発環境を、こうしたサイバー攻撃から守るには、主に以下のような対策が必要です。
・CI/CDパイプライン全域に不審な兆候を検出可能なセキュリティツールを導入する
・使用するライブラリやコンテナのリスクについて、不審なコードがないかスキャンするなど事前に調査を行う
・開発上流工程からの依存関係にあるツールを監視し、内包された脆弱性がないかを確認する
参考記事:
トレンドマイクロ製品の安全性・透明性向上のための5つの取り組み 第4回~トレンドマイクロ製品の脆弱性に関する品質向上の取り組み~
ソフトウェア・サプライチェーンの脆弱性管理に求められるSBOMの必要性
トレンドマイクロ製品の安全性・透明性向上のための5つの取り組み 第3回~ソフトウェアの脆弱性のリスクを可視化するSBOM~
まとめ:来るべき脅威に備えて
本稿で紹介したトピックは3つですが、以下は本レポートで予想している全てのトピックです。多くのトピックに、クラウドネイティブツール、生成AIや機械学習、ブロックチェーンなど、組織の事業拡大に必要不可欠な新興技術に関するキーワードが多く含まれます。
『2024 年トレンドマイクロ セキュリティ脅威予測』の全てのトピック
● クラウド環境におけるセキュリティの不備がクラウドネイティブワームによる攻撃を引き起こす
● 成長途中のクラウドベースの機械学習モデルに対して、データが武器として用いられるでしょう
● 生成 AI は、標的型攻撃におけるソーシャルエンジニアリングの強化に悪用されるでしょう
● ソフトウェアサプライチェーン攻撃は、サプライヤーの CI/CD システムを保護するための明確な警鐘となるでしょう
● 攻撃者は、新たな活動場所および脅迫計画のためにブロックチェーンを狙うでしょう
多くの組織が成長を追求する中でこうした新興分野への投資に積極的ですが、多くの機密データに紐づいたデジタル資産を大量に抱える時代ともなり、1つのセキュリティインシデントが企業の経済活動に甚大なダメージを与える状況ともなっています。これまで起きたセキュリティインシデントやサイバー攻撃を振り返り自身の対策強化を検討するとともに、現在投資しているIT分野について予想される脅威にも目を向け「事業を守るためにどこに投資すべきか」を判断することも肝要です。
当社は、サイバーリスクに向き合うすべての方の意思決定のお役に立てるよう、2024年も積極的に情報発信をしてまいります。
Security GO新着記事
Webスキミングとはどのような攻撃なのか?~決済情報の非保持化でも被害に遭う脅威~
(2024年11月8日)
ソブリンクラウドとは?プライベートクラウドやガバメントクラウドとの違いを解説
(2024年11月5日)