※ 本ブログは、HP Inc.（本社：米国カリフォルニア州パロアルト）が、2021年11月18日に公開したFrom Growing Supply Chain Attacks To Ransomware Gangs Putting lives at Risk: Top Cybersecurity Predictions for 2022に基づいて作成した日本語抄訳です。

2022年は、繰り返されるランサムウェア攻撃や、サプライチェーンを攻撃する戦術、技術、手順（TTP）の商品化の増加、武器化したファームウェアエクスプロイト、ハイブリッドワーカーに対する標的型攻撃など、脅威のランドスケープが憂慮すべきペースで進化するものと予想されます。

2021年が終わりに近づく中、HPのセキュリティエキスパートとアドバイザーは、来年起こり得ることについて考察しています。ここでは、HPのセキュリティの専門家からのインサイトを取り上げます。サプライチェーンセキュリティ責任者のマイケル・ヘイウッド（Michael Heywood）、最高情報セキュリティ責任者（CISO）のジョアンナ・バーキー（Joanna Burkey）、パーソナルシステムズ事業セキュリティ部門グローバル責任者のイアン・プラット（Ian Pratt）、マルウェアアナリストのパトリック・シュレイファー（Patrick Schläpfer）、シニアマルウェアアナリストのアレックス・ホランド（Alex Holland）、サイバーセキュリティ／テックポリシー担当グローバル責任者のジュリア・ブー（Julia Voo）、セキュリティ／アナリティクスプラクティス責任者のマイケル・ハワード（Michael Howard）、HPセキュリティ諮問委員会メンバーでありDeloitteのパートナーであるロバート・マッセ（Robert Masse）氏が、注目すべき4つの重要なトレンドを挙げています。

サプライチェーン攻撃は、2022年も脅威アクターに新たな機会を与え続ける可能性があります。マイケル・ヘイウッドは次のように述べています。「サプライチェーン攻撃は来年も増え続け、脅威アクターはソフトウェアサプライチェーンの脆弱な部分を探し、世界中で広く普及しているソフトウェアや、特定の企業が使用しているソフトウェアを標的にするでしょう。」

ジョアンナ・バーキーは、このアプローチが脅威アクターのための経済規模を作り出すと解説しています。「Kaseyaが受けたセキュリティ侵害によって1,500社以上が影響を受け、サプライチェーン攻撃によって金銭的な利益を得られることが明らかになりました。これにより、そうした攻撃を実行する際に用いるTTPの商品化が続く可能性があります。そのため事態がさらに悪化し、来年もソフトウェアサプライチェーンの脆弱性を悪用しようとする脅威アクターに十分過ぎるほどのモチベーションを与えることになります。」

イアン・プラットは、中堅・中小企業や著名人も標的となり得ると述べています。「Kaseyaの件は、ISV（独立系ソフトウェアベンダー）へのセキュリティ侵害が収益になることを証明しました。これはあらゆるISVに対する警鐘となるべきです。エンタープライズ企業や政府機関が顧客でなくても、顧客を悪用しようとする攻撃者の標的になる可能性があるということです。このような計画が実行されてしまった今、そうした類の攻撃が来年さらに広がり、中堅・中小企業と著名人の両方が標的となるでしょう。」

ロバート・マッセ氏は、サプライチェーン攻撃の標的になりやすい業種があると解説しています。「医療企業や、エネルギー／資源分野の企業は、複数のベンダーのさまざまなハードウェアやソフトウェアを使用しているため、ソフトウェアサプライチェーン攻撃にとって魅力的な標的となります。組織がセキュアなソフトウェア開発サイクルに投資するよりも早く攻撃者が攻撃を開始するようになり、2022年にはサプライチェーンの完全性が不可欠になるでしょう。」

パトリック・シュレイファーは、組織はオープンソースソフトウェアの脆弱性による脅威も認識すべきであると解説しています。「悪意のあるコードを含んだオープンソースのソフトウェアパッケージの増加が予想されます。攻撃者は、新たな脅威をソフトウェアサプライチェーンにつながるオープンソースライブラリに積極的に注入しようとするでしょう。これにより、境界がセキュアであっても、セキュリティに対する姿勢が万全でも、さらに多くの企業のセキュリティが侵害される可能性があります。」

バーキーは、2022年もランサムウェアが引き続き重大なリスクとなり、被害者は何度も攻撃される可能性があると述べています。「ランサムウェアの被害者がたびたび脅威アクターの標的となり、『繰り返されるソーシャルメディアの炎上』と同じような状態になることが予想されます。脆弱性が確認された組織には、分け前をもらおうと群がる者が出てきます。場合によっては、脅威アクターは同じ会社を何度も攻撃し、二重どころか三重の脅迫を重ねることもあるでしょう。」

アレックス・ホランドは、ランサムウェアギャングが圧力をかけると、脅迫手段は被害者以外にも拡大する可能性があると述べています。「ランサムウェアの攻撃者はほぼ確実に、被害者に要求金額を支払わせる手段を強化するでしょう。攻撃者は、流出データのWebサイトだけでなく、勧誘電話などのさまざまな脅迫手段を利用して、被害を受けた組織の顧客や取引先に接触しています。」また、ヘイウッドは、ランサムウェアギャングがデータを暗号化するだけでなく、情報を盗んで被害者にさらなる圧力をかけることを強調しています。「今年見られたように、脅威アクターは今後もデバイスを暗号化する前にデータを盗み、システムの暗号解除とデータの流出防止のために身代金の支払いを被害者に迫るでしょう。」

マッセ氏は、脅威アクターが特定の業種や案件を狙う可能性もあると強調しています。「支払いに応じやすい業界があることに攻撃者は気づいています。つまり、医療やエネルギー／資源分野の組織に対する攻撃が増える可能性があります。脅威アクターは、重要な医療支援システムやそれらを支えるインフラなど、リスクが高いデバイスに狙いを定めるかもしれません。それらのシステムやインフラは大きな被害を受けるリスクが最も高いことから、組織が速やかに支払いに応じるためです。そうした攻撃はカナダをはじめとする地域ですでに始まっており、ランサムウェア攻撃によって手術の遅延が生じています。」

プラットは、脅威アクター同士が協力する傾向が来年も続くことが見込まれると述べています。「これまで幾度も、脅威アクター同士が協力しながら攻撃しているのを目にしてきました。活況を呈しているサイバー犯罪市場が存在し、それが犯罪者に力を与え、未熟な脅威アクターでさえも攻撃を成功させるために必要なツールやサービスを入手できるようになっています。ベンダーは、認証情報の窃盗や、エクスプロイトの作成、Eメールルアー（おとり文書）の作成、バックエンドサービスのホストなどを専門にしているかもしれません。つまり、犯罪者はツールや専門知識を得て攻撃を高度化できるということです。」

プラットは、国家が開発したファームウェア攻撃がサイバー犯罪組織に普及し始めたことが、サイバー犯罪組織が脅威を高度に武器化することにつながると指摘しています。「ファームウェアは、長期的な持続性や破壊的な攻撃を仕掛けようとする攻撃者に好機をもたらします。組織はファームウェアのセキュリティを軽視していることが多く、パッチの適用レベルもかなり低い状況です。昨年には攻撃者が、未来の攻撃の事前調査として、ファームウェアの設定を偵察していたことも明らかになりました。これまで、そのようなタイプの攻撃は、国家的な脅威アクターのみが利用していました。しかしながら来年は、PCのファームウェアを標的とするTTPの普及に伴い、高度なサイバー犯罪組織が脅威を武器化し、攻撃から利益を生む計画を立てられるようになってしまうかもしれません。」

マッセ氏は、不十分な可視性とファームウェアのセキュリティ管理がそうした問題を悪化させていると考えています。「そのような攻撃を受けやすい可能性がある業界は、ハードウェアレベルのマルウェアやエクスプロイトの武器化がもたらすリスクについて考え始めるべきです。それらの攻撃は、条件が良い場合でも検知が極めて困難です。2022年には、偽装プロセスやメモリマッピングによるバイパスが注目を集めるでしょう。また、脅威アクターは、ランサムウェア攻撃の修正した攻撃チェーンの一環として、CPUやBIOS、マイクロコードを標的とすることも予想されます。」

ジュリア・ブーは、政策立案者はこのトレンドに注目して変革を進めるべきであると述べています。「ハードウェアレベルのエクスプロイトの武器化は、政策立案者がファームウェアセキュリティの強化に役立つ基準を策定する必要があることを意味しています。ボトムアップ型のアプローチを通じて業界と連携することによって、政策立案者は見過ごされている領域における有意義な変革を推進できます。」

バーキーは、ハイブリッドな働き方に伴うチームの分散において、ID管理が引き続き重要な役割を担うであろうと強調しています。「IDは、信頼性が高く検証済みの堅牢なものでなければなりません。組織は、エンドポイントで発生するあらゆるアクティビティが正しいものであることを検証する必要があります。本当にユーザーがそれらのアクティビティを行っているのでしょうか。それを行っているのは本物のユーザーでしょうか。ファイアウォールに守られていればエンドポイントの安全性は十分だと考えている組織があまりにも多いですが、そんなことはありません。ハイブリッドな働き方の時代には、ID管理がかつてないほど重要になるでしょう。」

マイケル・ハワードは、ハイブリッドな働き方への移行によって、組織のセキュリティに問題が生じ続けると述べています。「従業員一人一人が攻撃者の標的であることは変わらず、管理やセキュリティ対策が行き届いていないデバイスが多いほど防御すべきアタックサーフェス（攻撃可能領域）が広がります。」マッセ氏は、このような状況によって、攻撃者が容易に著名人を狙えるようになると考えています。「経営幹部や政府職員の自宅やパーソナルネットワークのセキュリティは、従来のエンタープライズ環境よりも侵入しやすいため、脅威アクターはまずそれらのネットワークを狙う可能性があります。」

プラットは、ハイブリッドな働き方の時代になってもフィッシングが存在し続けることが予想されると解説しています。「従業員は、自分のデバイスを業務に使用したり、Eメールのチェックなどの個人的な用事に会社のデバイスを使用したりしています。そうした状況は変わらず、会社と個人の両方のEメールアカウントを標的とするフィッシング攻撃が増えるでしょう。このことは実質的に攻撃が成功する可能性を倍増させるため、組織は従業員の行動がもたらすリスクについて教育し、セキュリティ侵害を避けるための技術的な対策を実行する必要があります。」

シュレイファーによると、関心が高まるスポーツイベントも、攻撃者がユーザーを狙う新たな機会になると予想されます。「北京での冬季オリンピックやFIFAワールドカップカタール大会は、数多くのエクスプロイトの機会を脅威アクターに与えます。このような大規模なイベントは、チャンスを狙う攻撃者にとって魅力的であり、主催者や後援者、参加者、ファンへの直接の攻撃や、ユーザーを標的にしたマルウェアやランサムウェアのフィッシング詐欺の機会となります。組織も個人も、リスクを認識する必要があります。」

プラットは次のように述べています。「ハイブリッドな働き方の普及と脅威アクターによる継続的なイノベーションは、エンタープライズセキュリティの分野において多くの予期せぬ問題が2022年に待ち受けていることを意味します。そのため、まったく異なる方法で今後の働き方を守っていく必要があります。組織は、リスクの軽減とレジリエンスの強化に役立つ、新たなアーキテクチャによるアプローチをセキュリティに取り入れるべきでしょう。最小権限アクセス、隔離、強制アクセス制御、強力なID管理といったゼロトラストの原則を適用することによって、組織はアタックサーフェスを大幅に縮小し、今後の働き方を保護することができます。」

「HP Wolf Security」によって、組織は2022年に直面する大量の新たな攻撃やリスクを防御できます。「HP Wolf Security」は、ハードウェアにより強化されたソフトウェアとセキュリティ機能を、業界をリードするエンドポイントセキュリティサービスと組み合わせることによって、強化された多層防御の保護、プライバシー、脅威インテリジェンスを提供し、エンドポイントでデータを収集してビジネス全体を保護します。

株式会社 日本HP　専務執行役員 パーソナルシステムズ事業統括 九嶋 俊一は次のように述べています。「ハイブリッドな働き方への継続的な移行は、組織に大きな課題をもたらしています。今後の働き方を守るために、組織は最も保護が必要とされているエンドポイントを守らなければなりません。これには、侵害が発生した場合にシステムを迅速に復旧させ、サイバー脅威を封じ込めて無効化できるように、セキュリティが設計に組み込まれた（Secure by Design）機能が必要になります。エンドポイントセキュリティにプロテクションファーストのアプローチを積極的に採用する組織は、サイバー犯罪者よりも有利な立場を維持し、今後の働き方を守ることができるでしょう。」

Author : HP Inc. Security Experts & Advisors

監訳：日本HP