Endpoint Protection

新年のサイバーセキュリティとプライバシーについてトレンドを予測したければ、この 1 年を振り返ってみましょう。手がかりがたくさん見つかります。大手企業のシステムや Web サイトに対するサイバーハッキングは、今では珍しい攻撃形態ではなくなりましたが、2019 年のサイバーセキュリティシーンでも不可避でしょう。世界中の名だたる組織で、今年も甚大なデータ漏えいが発生しました。マーケティングおよびデータアグリゲーション企業 Exactis 社を襲った大規模なデータ漏えいでは、ほぼ 3 億 4,000 万人分もの個人情報がデータベースから流出しています。

このように企業に対する攻撃が日常茶飯事になる一方、2018 年にはマルウェアの活動が加速し、その標的と被害も広がりました。ソーシャルネットワークの世界では、Facebook でユーザー情報が流出し、その数は 3,000 万件に近いと概算されています。国家が後押しするサイバースパイや攻撃も広がっており、企業秘密から、政府やインフラ系の機密システムまで、あらゆるものに魔の手が迫っています。個人のレベルでは、Under Armour 社のヘルストラッキング向け MyFitnessPal アカウントがデータ侵害を受け、およそ 1 億 5,000 万人分のプライベートデータが盗み出されました。

では、来たる 2019 年、サイバーセキュリティの最前線はどうなるのでしょうか。2019 年とそれ以降、企業や政府、個人が特に影響を受けそうなトレンドや活動についてまとめました。

攻撃者は、人工知能（AI）システムに侵入し、攻撃にも AI 支援を利用する

しばく前から期待されてきた AI の商用化が、この数年で現実のものになり始めました。AI 搭載のシステムは、すでにビジネスの世界でも多くの分野で使われています。AI によるシステムは、手作業だった仕事を自動化し、意思決定をはじめとする人間の活動を強化してくれます。しかし同時に、攻撃の的としても注目を集めることになりました。AI システムの多くは、膨大な量のデータも抱えているからです。

しかも、研究者が以前から憂慮しているとおり、AI システムは外部からの攻撃に弱く、ロジックが損なわれて運用に支障をきたすこともあります。2019 年には、一部の AI 技術の脆弱性がますます問題になるでしょう。ある意味、クリティカルな AI システムが攻撃の標的になるというのは、20 年前のインターネットで見られた経緯の繰り返しと言えます。インターネットも、特に電子商取引が爆発的に増えてからは、にわかにサイバー犯罪者やハッカーの関心を集めるようになりました。

攻撃者は、AI を標的にするだけではなく、自分たちが AI 技術を取り込んで、犯罪行為を補強しようとするでしょう。AI を利用した自動システムでネットワークやシステムを探り、悪用できそうな未知の脆弱性を見つけ出すかもしれません。また、AI を利用すれば、フィッシングなどのソーシャルエンジニアリング攻撃がさらに巧妙になることも考えられます。ごく自然な動画や音声、巧みなメールを作成して標的を欺けるようになるからです。AI を使ったリアルな偽情報が横行する可能性もあります。たとえば、企業の CEO が重大発表を行うリアルな偽動画を AI で作り出し、莫大な損失を計上したとか、深刻なセキュリティ侵害があったなどと語らせたら、どうなるでしょう。こうした偽動画を大々的に広められたら、真実をわかってもらうまでに甚大な影響を受けることになるかもしれません。

また、攻撃ツールキットがオンラインで販売されており、攻撃者が新しいマルウェアを作るのもわりと容易になっている現状を踏まえると、いずれは間違いなく AI 機能を備えた攻撃ツールが登場します。そうなれば、未熟な犯罪者でも高度な標的型攻撃を実行できることになります。そのようなツールがあれば、極端に対象を限定した標的型攻撃も自動で作成でき、多大な労力とコストがかかるという話はもう過去のことになるでしょう。AI 搭載のツールキットなら、新たな標的型攻撃をしかけるときの限界費用は、原則的にゼロです。

攻撃者は、AI を標的にするだけではなく、自分たちが AI 技術を取り込んで、犯罪行為を補強しようとするでしょう。

防御側も、脆弱性を見極め反撃するために AI への依存度を強める

AI とセキュリティの関係には、明るい面もあります。脅威検出システムは、まったく新しい脅威を識別するために、すでに機械学習を利用しています。そして、AI システムを使って未対応の脆弱性を探れるのは攻撃者だけではありません。防御側でも、AI を利用して攻撃に対する備えを強化することができます。たとえば、AI 搭載のシステムで企業ネットワークに対する攻撃のシミュレーションをひと通り実行すれば、攻撃者より早く脆弱性を見つけて対策を講じ、繰り返される攻撃に歯止めをかけられるかもしれません。

身近なところでも、AI などのテクノロジーが個人のデジタルセキュリティやプライバシーを守る時代は到来しつつあります。AI をスマートフォンに組み込めば、ユーザーが危険な操作をしそうなときには警告してくれますし、新しいメールアカウントを作るときには、2 段階認証の設定を AI が自動的に推奨してくれるでしょう。さらには、アプリケーションや付随する便利機能と引き換えに個人情報を提供していいのかどうか、その妥当性の判断に、こうしたセキュリティベース AI を利用できる日も来そうです。

5G の配備と導入が進み、攻撃の範囲が拡大する

5G ネットワークインフラの配備も、今年次々と口火が切られました。2019 年は、5G 事業が加速する年になると見られています。5G ネットワークも、スマートフォンをはじめとする 5G 対応のデバイスも、普及までには時間がかかるでしょうが、成長は急速に起こるものです。調査会社 IDG も、2019 年を 5G 展開の「節目となる年」としており、5G と 5G 関連のネットワークインフラ市場は、推計で 2018 年の 5 億 2,800 万ドルから、2022 年には 260 億ドルに伸びると予測しています。118% という脅威の年平均成長率です。

5G で関心が集まっているのは主にスマートフォンですが、5G 対応スマートフォンの登場は、2019 年はまだ限定的になる見込みです。5G 通信ネットワークが広く展開されるまでの途中段階として、固定の 5G ホットスポットや、5G 対応の家庭用ルーターを提供しようとしているキャリアもあります。最大データレートが、4G の 1 Gbps に対して 5G ネットワークでは 10 Gbps になることを考えると、5G への移行は新しい運用モデル、新しいアーキテクチャを生み出すきっかけになるでしょう。そして、それは新しい脆弱性が生まれるきっかけにもなるのです。

やがては、IoT（モノのインターネット）デバイスも 5G が主流となり、Wi-Fi ルーターではなく 5G ネットワークに接続するようになるでしょう。その傾向から、IoT 機器は攻撃に直接さらされることが増えてきます。ホームユーザーからすると、IoT 機器すべてを監視するのは難しくなってきます。中央のルーターはバイパスするからです。さらに広く考えると、大量のデータをクラウドのストレージにバックアップしたり転送したりできるようになったことで、攻撃者には侵入する標的を増やす結果になります。

IoT ベースの普及で、大規模 DDoS 攻撃を超えた新しく危険な攻撃が出現する

最近、ボットネットを利用した大規模な分散サービス拒否（DDoS）攻撃によって、感染した万単位の IoT 機器が悪用されるというインシデントが発生しました。致命的に大量のトラフィックが、被害者の Web サイトに送りつけられています。DDoS 攻撃は、最近メディアの関心こそあまり引かなくなりましたが、今でも実際に発生しており、今後もしばらくは続くでしょう。と同時に、セキュリティの弱い IoT 機器が狙われ、悪質な目的に利用されることも予測されます。なかでも厄介なのが、デジタルとリアルの世界をつなぐ IoT 機器に対する攻撃です。そうした IoT 対応機器のなかには、クルマのように動く乗り物や、クリティカルなシステムを制御する機器も含まれています。特に、配電施設や通信ネットワークといった基幹のインフラストラクチャを制御する IoT に対する攻撃は増える傾向にあります。また、家庭用の IoT 機器が至るところに存在するようになったため、今後はそれが武器として悪用される恐れも出てきました。たとえば、ある国が厳寒期に、敵対している国の一般家庭のサーモスタットを停止に追い込むといった事態です。

移動中のデータの捕獲がさらに盛んになる

家庭用の Wi-Fi ルーターなど、セキュリティの弱いコンシューマ IoT 機器が新たに悪用されるケースも増えています。たとえば、IoT 機器をマーシャリングして大規模なクリプトジャッキングを実行し、暗号通貨をマイニングする攻撃が確認されています。

2019 年以降には、ホームルーターなどの IoT ハブに不正アクセスし、そこを通過するデータを盗取する攻撃が増えるものと予測されます。そうしたルーターにマルウェアを仕込めば、オンラインバンキングのアカウント情報を盗み出す、クレジットカード番号を抜き取る、偽装した悪質な Web ページを表示して個人情報を漏えいさせるといったことも可能になります。このような機密データも、1 カ所に保管されているときのほうが概して安全です。電子商取引業者は、クレジットカードの CVV 番号は保存していないため、攻撃者がその業者のデータベースからクレジットカード情報を盗み出すのは困難です。攻撃者が、移動中の消費者データを盗み出す技術を磨き続けていることは、間違いありません。

一方、企業の側でも、移動中のデータが狙われた例は 2018 年に無数に発生しました。攻撃グループ「Magecart」は、クレジットカード番号など重要な消費者情報を電子商取引サイトで盗み出しましたが、このときは悪質なスクリプトを、標的の Web サイトに直接埋め込む、あるいはサイトで利用されているサードパーティのサプライヤに侵入するという手口でした。この手口を「フォームジャッキング」といい、いくつものグローバル企業の Web サイトが最近、影響を受けています。また、移動中の企業データを狙った別のケースでは、VPNFilter というマルウェアが、多数のルーターやネットワーク接続ストレージ（NAS）機器に侵入しました。感染した機器は、資格情報の盗難、ネットワークトラフィックの改変、データの解読に使われたほか、標的の組織で他の攻撃をしかける足がかりとしても利用されました。

攻撃者は、被害者の業務やインフラストラクチャを独自に見抜いていることから、ネットワークベースの企業を集中的に攻撃する傾向は 2019 年も続くと考えられます。

サプライチェーンを悪用する攻撃が、質量ともに増大する

ソフトウェアのサプライチェーンに対する攻撃も、増加傾向にあります。攻撃者が、もともとは正規のソフトウェアパッケージに、通常の流通経路でマルウェアを埋め込む手法です。サプライチェーン攻撃は、ソフトウェアベンダーでの製造段階で発生する場合と、サードパーティサプライヤの段階で発生する場合があります。攻撃のシナリオとして典型的なのは、攻撃者が正規のソフトウェアアップデートを悪質なバージョンにすり替えるという手口です。狙った標的に、短時間で人知れず拡散することができます。このソフトウェアアップデートを受け取ったユーザーは、知らないうちにコンピュータに侵入され、その環境に攻撃の足場を築かれてしまいます。

このようにサプライチェーンを狙う攻撃は、量が増えているだけでなく巧妙にもなっているので、今後はハードウェアのサプライチェーンにも広がる恐れがあります。たとえば、チップに侵入したりチップを書き換えたりすれば、あるいは UEFI/BIOS のファームウェアにソースコードを忍び込ませれば、そのコンポーネントが何百万台ものコンピュータに搭載されて出荷されることになります。削除はきわめて難しく、影響を受けるコンピュータを再起動したり、ハードディスクを再フォーマットしたりしてさえ、この脅威は残り続けるかもしれません。

まとめると、攻撃者は狙った組織のサプライチェーンに侵入するために、新しいチャンスを巧みに狙い続けるだろうということです。

セキュリティとプライバシーの意識向上に伴って、立法や規制活動が進む

欧州連合（EU）は 2018 年 5 月、「一般データ保護規則（GDPR）」を施行しました。これも、EU 圏以外の各国でセキュリティとプライバシーに関するさまざまな施策が進む先駆けにすぎないことが明らかになってくるでしょう。カナダではすでに、GDPR 的な法律が施行されています。ブラジルも先日、GDPR に類似したプライバシー法を可決し、2020 年に施行する予定です。シンガポールとインドでは、データ漏えい報告制度の採用に向けて審議が進んでおり、オーストラリアはすでに GDPR に匹敵する各種の通知タイムラインを採用しました。そのほかにも世界各国が、GDPR 十分性認定を採択したか、交渉中です。米国では、GDPR の施行直後にカリフォルニア州でプライバシー法が通過。これは国内で最も厳格なプライバシー法と見なされています。GDPR の影響は、2019 年になれば全世界でさらに明白になることでしょう。

米国の連邦レベルでは、議会がすでにセキュリティとプライバシーの入念な検討に入っています。こうした法制化の動きは今後もさらに力を強め、2019 年には具体化する可能性があります。2 年後の 2020 年には大統領選を控えていることもあって、選挙システムのセキュリティに今後も注目が集まることは必至です。

セキュリティとプライバシーに対応するための立法や規制活動が強まることは間違いありませんが、その要件によっては、生産性の阻害につながる可能性も否定できません。たとえば、規制の及ぶ範囲が過度に広くなった場合、セキュリティ企業は攻撃を識別して対策するうえで欠かせない汎用的な情報さえ共有できなくなる恐れがあります。計画が適切でなければ、セキュリティとプライバシーに関する規制は、脆弱性に対処する一方で新たな脆弱性を生み出すという結果にもなりかねません。