2019年のサイバー脅威には3つの変化があった――取引先のセキュリティ対策確認で何を聞けばいい？：セキュリティ・アディッショナルタイム（38）

Sophosのチーフ・リサーチ・サイエンティストに、2019年のサイバー脅威、3つの変化と2020年に注意すべき傾向を聞いた。

[高橋睦美，＠IT]

　セキュリティ企業、Sophosでチーフ・リサーチ・サイエンティストを務めるChester Wisniewski（チェスター・ウィスニエフスキー）氏が、2019年11月に来日した。200人に上るリサーチャーが日々まとめている解析結果や調査動向を集約し、全体像を描くことを主な任務としている同氏に、昨今のサイバーセキュリティ動向について尋ねた。

2019年のサイバー脅威、3つの変化とは

　ウィスニエフスキー氏は2019年を振り返って、脅威トレンドには主に3つの変化があるとした。

Sophos チーフ・リサーチ・サイエンティスト Chester Wisniewski（チェスター・ウィスニエフスキー）氏

　1つ目は、ランサムウェアの変化だ。数年前とは異なり、コンシューマーではなく企業を主なターゲットにし始めた。「理由は簡単で、その方がお金がもうかるからだ。個人をターゲットにした場合、得られる身代金はPC1台当たり500ドル程度だが、企業ならば1万ドル以上になることもある。このため、ランサムウェアの感染件数自体は減っても、被害額は増えている」（ウィスニエフスキー氏）

　日本国内でも話題になった「Emotet」も、感染先が個人のPCならばオンラインバンク関連の情報を盗み出すが、もし企業内にあるコンピュータだと分かればランサムウェアに感染させ、金銭を取ろうとするという。

　2つ目は、攻撃対象の変化だ。デスクトップPCやラップトップPCの代わりに、「サーバ」が狙われ始めているという。皮肉なことかもしれないが、数々の痛い経験を踏まえながらPC側のセキュリティ対策が向上してきたのに対し、「サーバの保護レベルは低い」とウィスニエフスキー氏。

　サーバが狙われる理由は幾つかある。まず、サーバには価値のある情報がたくさん保存されている。そして、ひとたび問題が発生すると、バックアップから復旧させるのは難しい。

　何より、「サーバへのパッチ適用は、（クライアントPCに比べ）遅れがちだ。たいていのデスクトップPCならば、WindowsやOfficeの脆弱（ぜいじゃく）性を修正するパッチは2週間程度で適用されるし、ブラウザも自動更新機能を備えるようになった。だがサーバの場合、Oracleのようにクリティカルなエンタープライズアプリケーションが稼働しており、パッチを適用する前に何度もテストし、慎重に適用しなければならない。このため、90日から180日たっても脆弱性が修正されないことがある」（ウィスニエフスキー氏）

　その上で同氏は「かといって、サーバの安定稼働を優先させたい事情を考えると、この状況を変えるのは難しい。パッチ適用はクライアント環境には有効な手段だが、サーバの場合はそうとも限らない。従って、次世代保護ツールなどを用いて攻撃コードからサーバを保護するなど、リスクを緩和する手段を取ることをお勧めしたい」とした。

　3つ目は、サプライチェーン攻撃の増加だ。取引先やパートナーを介した攻撃は、2020年以降、さらに増加する恐れがあるという。

　「この数カ月の傾向を見ると、何百もの企業と契約しているサービスプロバイダーをターゲットにしたサプライチェーン攻撃が非常に増加している。1カ所を侵害するだけで、そこから何百、何千社もの顧客企業にアクセスできてしまうので、攻撃者にとってはとても効果的だ。非常にスケーラブルなことから、サプライチェーン攻撃の件数はいろいろな分野で増加している」（ウィスニエフスキー氏）

　そして、サーバを狙う攻撃にしてもサプライチェーン攻撃にしても、今後の攻撃パターンを占う上で、APT（高度標的型）攻撃の動向に注目すべきだという

　「当初は、政府機関が関与していたAPT攻撃で使われていた手法を、サイバー犯罪者がまねするようになった。どの国が関与しているかに関係なく、彼らにとって『いいアイデア』があればすぐにまねして活用し始める。しかもマルウェアは、物理的な武器とは異なりいくらでもコピーできるため、より危険度は高い」（ウィスニエフスキー氏）

2020年、特に注意が必要なのは？

　こうした現状に対し、守る側にできることは何だろうか。ウィスニエフスキー氏は、例えばラップトップPCのセキュリティが短期間で大幅に改善された経験を踏まえ、「攻撃者に常に先回りするのは難しいため、ついネガティブになりがちだが、『どのように守るべきか』についての情報を共有し、継続的に対策を向上させていくことで、質の高い防御が可能になる。組織的犯罪には組織的な防衛で対策していく必要がある」とした。

　また、「対策に取り組む際には、クラウドベースのサービスやマネージド型のセキュリティサービスが手助けになるだろう」と付け加えた。特に、人手やリソースが限られている中小企業にとって、運用について考える必要のないSaaS型のクラウドサービスやSOC（Security Operation Center）や専門スタッフをシェアできるマネージドサービスは有効だという。

　Sophos自身も、AI技術を活用した「Sophos Intercept X」の他、クラウドベースの管理プラットフォーム「Sophos Central」、脅威を検知した際の対応をプロフェッショナルが支援する「Managed Threat Response」といったサービスを提供していることも付け加えた。また、かかりつけ医のように定期的に顧客のセキュリティ状態を診断してアドバイスを行うサービスも提供している。こうしたサービスやAIを活用し、ただでさえ少ないセキュリティエンジニアのリソースを、クリティカルな領域に集中できるようにすることが大切だという。

　さて、この先は何が起きるだろうか。ウィスニエフスキー氏は「未来を予想するのは難しい」としながらも、「より洗練されたサイバー犯罪者が増加するだろう。ひとたびいい方法を見いだせば、彼らはどんどんそれをコピーする。被害件数や人数は少なくなっても、被害額は増加するだろう」とした。

　そして、ランサムウェア攻撃に加え、特にサプライチェーン攻撃に警鐘を鳴らした。「もしあなたが業者のサービスを利用する立場ならば、サービスプロバイダーや取引先に対し『御社ではどんなセキュリティ対策を採っていますか』『多要素認証は実施していますか』といった事柄を尋ねた方がいいし、自社がサービスプロバイダーならば、顧客に被害を与えないためにも、きちんと費用を投じて対策を実施すべきだ」（ウィスニエフスキー氏）

　ある意味では、セキュリティ製品やセキュリティサービスもまた「サプライチェーン」を構成する要素の一つだ。事実、ここを狙ったサイバー攻撃も増加している。「セキュリティソフトが大きなターゲットになっていることは認識している。顧客を保護するという本来の目的を果たすことを第一に考えていく」（ウィスニエフスキー氏）