モバイルを狙った高度なエクスプロイトの台頭と新しいボットネットの出現、AIを活用したなりすまし、日本を狙う金銭的動機による攻撃の増加
[23/11/22]
提供元:PRTIMES
提供元:PRTIMES
<Kaspersky Security Bulletin(その1):2024年の高度な脅威に関する動向予測>
[本リリースは、2023年11月14日にKasperskyが発表したプレスリリースに基づき作成したものです]
--【概要】---
Kasperskyのグローバル調査分析チーム(GReAT)※ は、年次のサイバー脅威動向レポート集「Kaspersky Security Bulletin」において、2024年のAPT(持続的標的型)攻撃の進化を中心に知見と予測をまとめました。
GReATのリサーチャーはレポートの中で、APT攻撃者がモバイル、ウェアラブルの各機器やスマートデバイス上に新たなエクスプロイトを仕込んでボットネットを形成する、AIを活用してより効果的なスピアフィッシングを行う、サプライチェーン攻撃の手法を洗練させるなどを2024年の高度な脅威として予測しています。このような脅威の進化は、政治的動機に基づくサイバー攻撃やサイバー犯罪の激化につながる可能性があります。日本では、金銭的動機による多様なサイバー脅威が増加、継続するとみています。
--------------
■ モバイルを狙った高度なエクスプロイトの台頭と新しいボットネット、AIを活用したなりすまし
・当社のリサーチャーが発見し、今年6月に発表したiOSデバイスを狙ったAPT攻撃活動「Operation Triangulation」は、モバイル向けエクスプロイトを使用した攻撃として革新的でした。
https://securelist.com/trng-2023/
この発見をきっかけとし、モバイル、ウェアラブルの各機器やスマートデバイスを標的とするAPT攻撃に関する調査がより促進される可能性があります。攻撃者も脆弱(ぜいじゃく)性の悪用や「サイレント」なエクスプロイトの配布手法により、さまざまなコンシューマーデバイスを標的とした偵察活動を広げることが考えられます。これには、メッセンジャーを介したゼロクリック攻撃、SMSやメッセージアプリを介したワンクリック攻撃、ネットワークトラフィックの傍受などが含まれます。ますます個人用デバイスと企業用デバイスの保護が重要になってきています。
・一般的に使用されているソフトウェアや電子機器の脆弱性の悪用も、注意しなければならないもう一つのポイントです。深刻度の極めて高い脆弱性が発見されても、調査が限定的で修正が遅れることがあるため、標的型攻撃が可能な、大規模でステルス性の高いボットネットの新たな形成につながる可能性があります。
・新たに登場しているAIツールによって、スピアフィッシングのメッセージ作成が効率化され、特定の個人になりすますことが可能になるでしょう。オンライン上のデータを収集して大規模言語モデル(Large Language Models、LLM)に取り込み、標的とつながりのある人物を装って文章を自動作成するというような巧妙な手法の出現が考えられます。
2024年のそのほかのグローバルの予測および日本の予測は次の通りです。
■ グローバル
・国家が支援する脅威アクターによる攻撃の増加と、ニューノーマルとしてのハクティビズム
地政学的緊張が高まる中で、2024年は国家支援の脅威アクターによるサイバー攻撃が急増する可能性があります。これらの攻撃として、データの窃取や暗号化、ITインフラの破壊、長期的なスパイ活動とサイバー妨害行為などが行われる恐れがあります。
注目すべきもう一つの傾向がハクティビズムであり、地政学的対立の一環として、ますます一般的になってきています。地政学的緊張の高まりは、政治的あるいは社会的な主張・目的のためにハッキングを行うハクティビストの活動が増加する可能性を示しています。破壊的な行為と虚偽の情報の拡散を狙った活動は、不必要な調査や、組織のSOCアナリストおよびサイバーセキュリティリサーチャーのアラート対応疲れにつながる可能性があります。
・サービスとしてのサプライチェーン攻撃
大企業を侵害するために中小規模企業を標的とするサプライチェーン攻撃:2022年と2023年に発生した認証サービスの米Oktaに対するデータ侵害は、その脅威の影響範囲を浮き彫りにしました。
https://www.forbes.com/sites/thomasbrewster/2022/03/23/okta-hack-exposes-a-huge-hole-in-tech-giant-security/?sh=6c42073535a5
https://www.wired.com/story/okta-support-system-breach-disclosure/
このような攻撃の目的は、金銭的利益からスパイ行為まで多岐にわたります。2024年には、サプライチェーンに関連するダークウェブ市場において、さまざまなソフトウェアベンダーやITサービスサプライヤーを対象としたアクセスパッケージの提供など、より効率的で大規模な攻撃を可能にする新たな動きが見られるかもしれません。
・hack-for-hireサービスを提供するグループの出現
私立探偵から競合企業までの幅広い顧客にデータ窃取サービスを提供する、hack-for-hire(雇われハッカー)グループが増加しています。この傾向は、2024年にさらに拡大すると予測しています。
・カーネルレベルのルートキットが再燃
カーネルモードのコード署名、Windowsに搭載されているカーネル保護機構のPatchGuard、HVCI(Hypervisor-Protected Code Integrity:ハイパーバイザーで保護されたコード整合性)といった最新のセキュリティ対策にもかかわらず、APT攻撃グループやサイバー犯罪グループは、カーネルレベルのコード実行バリアを回避しています。WHCP(Windowsハードウェア互換性プログラム)の悪用によって可能になるWindowsのカーネル攻撃が増加しているほか、EV(Extended Validation)証明書や窃取されたコード署名証明書のダークウェブ市場も拡大しています。脆弱性を持つ正規のドライバーを、侵害した標的のマシン上に配置し悪用するBYOVD(Bring Your Own Vulnerable Driver)を使用するケースが増えています。
・高度な攻撃におけるMFTシステムの使用
2023年に発生した、ファイル転送ソフトウェアMOVEitおよびGoAnywhereへの攻撃で示されたように、MFT(マネージドファイル転送)システムへのサイバー脅威が増加しています。この傾向は、サイバー犯罪者が金銭的な利益と業務妨害を狙っていることから、今後深刻化するとみています。幅広いネットワークに組み込まれた複雑なMFTアーキテクチャには、セキュリティ上の弱点が潜んでいます。企業や組織は、データ損失の防止や暗号化などの堅固なサイバーセキュリティ対策を講じ、サイバーセキュリティに対する意識を育成し、進化する脅威からMFTシステムを保護する必要があります。
■ 日本:金銭的動機によるサイバー攻撃が増加、これまでの攻撃も継続
・日本では、多数の著名な投資企業やフィンテック企業が執拗なサイバー脅威に遭遇しています。2024年、金融分野の企業は、金銭を目的とする脅威アクターの主要な標的として浮上し、エスカレートしたリスクに直面するとみています。高度なソーシャルエンジニアリング技術やmacOSプラットフォームへの標的型攻撃など、洗練された手口が用いられる可能性があります。
・金銭を目的とするサイバー脅威は持続的で強力です。2018年に初めて当社が確認し発表した、非常に強い金銭的動機を持つ「Roaming Mantis(ローミングマンティス)」グループの攻撃活動や、インターネット上のさまざまなサービスを装ったフィッシングサイトを使用した攻撃、モバイルバンキング型トロイの木馬を使用した攻撃などが引き続き活発に行われるでしょう。
https://blog.kaspersky.co.jp/roaming-mantis-part-vii/33106/
さらに、スミッシング(SMSフィッシング)を使用した詐欺も続いており、金銭を目的とした多様なサイバー脅威に対する継続的な課題が浮き彫りになっています。
Kaspersky GReATのディレクターを務めるイゴール・クズネツォフ(Igor Kuznetsov)は次のように述べています。「今年、AIツールが一気に登場しましたが、非常に高度で広範囲に攻撃を実行している脅威アクターは、それを見逃しませんでした。来年の傾向はAIの利用にとどまらず、サプライチェーン攻撃を行うための新たな手法、hack-for-hireサービスの台頭、コンシューマーデバイスを標的とした新たなエクスプロイトの登場などを予測しています。私たちの目標は、防御対策を講じる人々に対して、最新の脅威動向を先取りした高度な脅威インテリジェンスを提供し、サイバー攻撃に対する効果的な防御力を強化してもらうことです」
■ APT攻撃に関する当予測は、Kaspersky Security Bulletinシリーズの一部です。Kaspersky Security Bulletinは、サイバーセキュリティに関する主要な変化を毎年予測および分析し、まとめたものです。当脅威レポートの全文は、Securelistブログ(英語)「Advanced threat predictions for 2024」でご覧いただけます。
https://securelist.com/kaspersky-security-bulletin-apt-predictions-2024/111048/
そのほかの予測は「Kaspersky Security Bulletin」(英語)でご覧いただけます。
https://securelist.com/category/kaspersky-security-bulletin/
当予測には、世界中で使用されている当社の脅威インテリジェンスサービスを使用しています。
※ グローバル調査分析チーム(Global Research and Analysis Team、GReAT、グレート)
GReATはKasperskyの研究開発の中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。
■ Kaspersky について
Kasperskyは、1997年に設立されたグローバルで事業を展開するサイバーセキュリティ企業です。Kasperskyが有する深く高度な脅威インテリジェンスとセキュリティの専門性は、常に当社の革新的なセキュリティソリューションやサービスに反映され、世界中の企業、政府機関、重要インフラから個人のお客様までを保護しています。高度に進化するデジタル脅威に対抗するため、先進のエンドポイント保護製品をはじめ、多くのソリューションとサービスを包括するセキュリティポートフォリオを提供しています。当社のテクノロジーは、4億人以上のユーザーを保護し、22万の企業や組織の重要な資産を守る力になっています。詳しくは https://www.kaspersky.co.jp/ をご覧ください。
[画像: https://prtimes.jp/i/11471/384/resize/d11471-384-e2886dd48492b78f2463-0.jpg ]
[本リリースは、2023年11月14日にKasperskyが発表したプレスリリースに基づき作成したものです]
--【概要】---
Kasperskyのグローバル調査分析チーム(GReAT)※ は、年次のサイバー脅威動向レポート集「Kaspersky Security Bulletin」において、2024年のAPT(持続的標的型)攻撃の進化を中心に知見と予測をまとめました。
GReATのリサーチャーはレポートの中で、APT攻撃者がモバイル、ウェアラブルの各機器やスマートデバイス上に新たなエクスプロイトを仕込んでボットネットを形成する、AIを活用してより効果的なスピアフィッシングを行う、サプライチェーン攻撃の手法を洗練させるなどを2024年の高度な脅威として予測しています。このような脅威の進化は、政治的動機に基づくサイバー攻撃やサイバー犯罪の激化につながる可能性があります。日本では、金銭的動機による多様なサイバー脅威が増加、継続するとみています。
--------------
■ モバイルを狙った高度なエクスプロイトの台頭と新しいボットネット、AIを活用したなりすまし
・当社のリサーチャーが発見し、今年6月に発表したiOSデバイスを狙ったAPT攻撃活動「Operation Triangulation」は、モバイル向けエクスプロイトを使用した攻撃として革新的でした。
https://securelist.com/trng-2023/
この発見をきっかけとし、モバイル、ウェアラブルの各機器やスマートデバイスを標的とするAPT攻撃に関する調査がより促進される可能性があります。攻撃者も脆弱(ぜいじゃく)性の悪用や「サイレント」なエクスプロイトの配布手法により、さまざまなコンシューマーデバイスを標的とした偵察活動を広げることが考えられます。これには、メッセンジャーを介したゼロクリック攻撃、SMSやメッセージアプリを介したワンクリック攻撃、ネットワークトラフィックの傍受などが含まれます。ますます個人用デバイスと企業用デバイスの保護が重要になってきています。
・一般的に使用されているソフトウェアや電子機器の脆弱性の悪用も、注意しなければならないもう一つのポイントです。深刻度の極めて高い脆弱性が発見されても、調査が限定的で修正が遅れることがあるため、標的型攻撃が可能な、大規模でステルス性の高いボットネットの新たな形成につながる可能性があります。
・新たに登場しているAIツールによって、スピアフィッシングのメッセージ作成が効率化され、特定の個人になりすますことが可能になるでしょう。オンライン上のデータを収集して大規模言語モデル(Large Language Models、LLM)に取り込み、標的とつながりのある人物を装って文章を自動作成するというような巧妙な手法の出現が考えられます。
2024年のそのほかのグローバルの予測および日本の予測は次の通りです。
■ グローバル
・国家が支援する脅威アクターによる攻撃の増加と、ニューノーマルとしてのハクティビズム
地政学的緊張が高まる中で、2024年は国家支援の脅威アクターによるサイバー攻撃が急増する可能性があります。これらの攻撃として、データの窃取や暗号化、ITインフラの破壊、長期的なスパイ活動とサイバー妨害行為などが行われる恐れがあります。
注目すべきもう一つの傾向がハクティビズムであり、地政学的対立の一環として、ますます一般的になってきています。地政学的緊張の高まりは、政治的あるいは社会的な主張・目的のためにハッキングを行うハクティビストの活動が増加する可能性を示しています。破壊的な行為と虚偽の情報の拡散を狙った活動は、不必要な調査や、組織のSOCアナリストおよびサイバーセキュリティリサーチャーのアラート対応疲れにつながる可能性があります。
・サービスとしてのサプライチェーン攻撃
大企業を侵害するために中小規模企業を標的とするサプライチェーン攻撃:2022年と2023年に発生した認証サービスの米Oktaに対するデータ侵害は、その脅威の影響範囲を浮き彫りにしました。
https://www.forbes.com/sites/thomasbrewster/2022/03/23/okta-hack-exposes-a-huge-hole-in-tech-giant-security/?sh=6c42073535a5
https://www.wired.com/story/okta-support-system-breach-disclosure/
このような攻撃の目的は、金銭的利益からスパイ行為まで多岐にわたります。2024年には、サプライチェーンに関連するダークウェブ市場において、さまざまなソフトウェアベンダーやITサービスサプライヤーを対象としたアクセスパッケージの提供など、より効率的で大規模な攻撃を可能にする新たな動きが見られるかもしれません。
・hack-for-hireサービスを提供するグループの出現
私立探偵から競合企業までの幅広い顧客にデータ窃取サービスを提供する、hack-for-hire(雇われハッカー)グループが増加しています。この傾向は、2024年にさらに拡大すると予測しています。
・カーネルレベルのルートキットが再燃
カーネルモードのコード署名、Windowsに搭載されているカーネル保護機構のPatchGuard、HVCI(Hypervisor-Protected Code Integrity:ハイパーバイザーで保護されたコード整合性)といった最新のセキュリティ対策にもかかわらず、APT攻撃グループやサイバー犯罪グループは、カーネルレベルのコード実行バリアを回避しています。WHCP(Windowsハードウェア互換性プログラム)の悪用によって可能になるWindowsのカーネル攻撃が増加しているほか、EV(Extended Validation)証明書や窃取されたコード署名証明書のダークウェブ市場も拡大しています。脆弱性を持つ正規のドライバーを、侵害した標的のマシン上に配置し悪用するBYOVD(Bring Your Own Vulnerable Driver)を使用するケースが増えています。
・高度な攻撃におけるMFTシステムの使用
2023年に発生した、ファイル転送ソフトウェアMOVEitおよびGoAnywhereへの攻撃で示されたように、MFT(マネージドファイル転送)システムへのサイバー脅威が増加しています。この傾向は、サイバー犯罪者が金銭的な利益と業務妨害を狙っていることから、今後深刻化するとみています。幅広いネットワークに組み込まれた複雑なMFTアーキテクチャには、セキュリティ上の弱点が潜んでいます。企業や組織は、データ損失の防止や暗号化などの堅固なサイバーセキュリティ対策を講じ、サイバーセキュリティに対する意識を育成し、進化する脅威からMFTシステムを保護する必要があります。
■ 日本:金銭的動機によるサイバー攻撃が増加、これまでの攻撃も継続
・日本では、多数の著名な投資企業やフィンテック企業が執拗なサイバー脅威に遭遇しています。2024年、金融分野の企業は、金銭を目的とする脅威アクターの主要な標的として浮上し、エスカレートしたリスクに直面するとみています。高度なソーシャルエンジニアリング技術やmacOSプラットフォームへの標的型攻撃など、洗練された手口が用いられる可能性があります。
・金銭を目的とするサイバー脅威は持続的で強力です。2018年に初めて当社が確認し発表した、非常に強い金銭的動機を持つ「Roaming Mantis(ローミングマンティス)」グループの攻撃活動や、インターネット上のさまざまなサービスを装ったフィッシングサイトを使用した攻撃、モバイルバンキング型トロイの木馬を使用した攻撃などが引き続き活発に行われるでしょう。
https://blog.kaspersky.co.jp/roaming-mantis-part-vii/33106/
さらに、スミッシング(SMSフィッシング)を使用した詐欺も続いており、金銭を目的とした多様なサイバー脅威に対する継続的な課題が浮き彫りになっています。
Kaspersky GReATのディレクターを務めるイゴール・クズネツォフ(Igor Kuznetsov)は次のように述べています。「今年、AIツールが一気に登場しましたが、非常に高度で広範囲に攻撃を実行している脅威アクターは、それを見逃しませんでした。来年の傾向はAIの利用にとどまらず、サプライチェーン攻撃を行うための新たな手法、hack-for-hireサービスの台頭、コンシューマーデバイスを標的とした新たなエクスプロイトの登場などを予測しています。私たちの目標は、防御対策を講じる人々に対して、最新の脅威動向を先取りした高度な脅威インテリジェンスを提供し、サイバー攻撃に対する効果的な防御力を強化してもらうことです」
■ APT攻撃に関する当予測は、Kaspersky Security Bulletinシリーズの一部です。Kaspersky Security Bulletinは、サイバーセキュリティに関する主要な変化を毎年予測および分析し、まとめたものです。当脅威レポートの全文は、Securelistブログ(英語)「Advanced threat predictions for 2024」でご覧いただけます。
https://securelist.com/kaspersky-security-bulletin-apt-predictions-2024/111048/
そのほかの予測は「Kaspersky Security Bulletin」(英語)でご覧いただけます。
https://securelist.com/category/kaspersky-security-bulletin/
当予測には、世界中で使用されている当社の脅威インテリジェンスサービスを使用しています。
※ グローバル調査分析チーム(Global Research and Analysis Team、GReAT、グレート)
GReATはKasperskyの研究開発の中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。
■ Kaspersky について
Kasperskyは、1997年に設立されたグローバルで事業を展開するサイバーセキュリティ企業です。Kasperskyが有する深く高度な脅威インテリジェンスとセキュリティの専門性は、常に当社の革新的なセキュリティソリューションやサービスに反映され、世界中の企業、政府機関、重要インフラから個人のお客様までを保護しています。高度に進化するデジタル脅威に対抗するため、先進のエンドポイント保護製品をはじめ、多くのソリューションとサービスを包括するセキュリティポートフォリオを提供しています。当社のテクノロジーは、4億人以上のユーザーを保護し、22万の企業や組織の重要な資産を守る力になっています。詳しくは https://www.kaspersky.co.jp/ をご覧ください。
[画像: https://prtimes.jp/i/11471/384/resize/d11471-384-e2886dd48492b78f2463-0.jpg ]