サイバー攻撃にアジャイル開発、スウォーム技術、AI/機械学習が使われる――新たな脅威をFortinetが説明:攻撃者がAIに悪いことを教えてしまう
FortinetのChief of Security Insightsを務めるデレク・マンキー氏が来日し、最新のリサーチ結果に基づく脅威動向を説明。今後現れる恐れのある新たな脅威について警告した。
FortinetでChief of Security Insightsとして脅威リサーチに当たっているデレク・マンキー氏が2019年7月28日に来日し、最新の動向について解説した。
同氏は「今はC2(コマンド&コントロール)サーバで制御されているbotネットが、『スウォーム』(Swarm:群体)化し、感染したマシン同士が自律的にコミュニケーションを取って攻撃を展開するようになる可能性がある。よりアダプティブで、レジリエンスが高く、拡張性のあるbotネットが生まれる恐れがある」など、新たな脅威の姿を警告した。
攻撃者側もアジャイル開発を採用し、高頻度でリリースを繰り返す時代に
Fortinetでは、顧客に導入されているUTM(統合脅威管理)をはじめとする同社製品から収集した情報に加え、専門のリサーチャーによるリサーチを踏まえ、最新の脅威動向をグローバルに把握し、ブログや四半期ごとのレポートを通じて成果を公表してきた。
ただ「われわれのリサーチャーも増強しているが、最近ではサイバー犯罪者側も人数を増やし、アジャイル開発を採用して1日に3〜4回のペースで頻繁にリリースを行ったり、ランサムウェアの誘導にアフィリエイトを活用したりと、活発に活動している」(マンキー氏)
ちなみに、2019年第2四半期の動向をまとめた最新版のレポートでは、「フォレンジックやネットワーク分析、インシデントレスポンスをより難しいものにするため、侵入後に目に付かないよう、より巧妙に隠れるようになった」ことがトピックだという。
またテレメトリー情報の観測によると、サプライチェーン攻撃が目立つようになったことも2019年第2四半期のポイントの一つだ。この種の攻撃としてはASUS製品のBIOSのアップデート機構を侵害して侵害する「Shadow Hammer」が有名だが、他にも、医療情報を管理する企業が外注先経由で不正アクセスを受け、情報が漏えいする事件が発生した。こうしたインシデントによって「サプライチェーンの信頼が揺るがされるようになっている」と同氏は述べた。
Fortinetはまた、四半期ごとのレポート以外に、「Playbook」という形でも脅威情報をまとめている。「相手の出方を研究し、それに応じてさまざまな戦術を用意しているアメリカンフットボールのように、敵をプロファイリングし、どんな戦略、どんな戦術を取ってくるかをまとめている」(マンキー氏)。Playbookの情報は顧客の対応支援に活用するだけではなく、脅威情報を共有する業界団体、Cyber Threat Alliance(CTA)に加盟している信頼できるパートナーや法執行機関と共有することで、「相手の手の内をさらし、隠れにくくすることで、攻撃者にとっての攻撃のコストを上げていく」ことを狙っているという。
こうしたPlaybookの一つとして、ロシアを拠点とするサイバー犯罪者グループ「Silence Group」の活動についてまとめたものを公開した。Silence Groupは金融機関の職員をターゲットにしたフィッシングメールを通じてWindowsのヘルプファイルを装ったマルウェアを送り込み、感染するとシステム内で侵害を拡大していく。最終的にはATMのシステムをコントロールし、出し子の待ち受ける特定のATMから現金を引き出させてしまうという。
「C2サーバとの通信を絶つ」という根本対策では歯が立たない、スウォーム型botネット
関連記事
- 君のコンパイラや開発環境は侵害されていないか?――開発者が「サプライチェーン攻撃」に加担しないためにすべきこと
セキュアな開発やコードスキャンに取り組むだけでは防ぎ切れないリスクとして「サプライチェーン攻撃」がある。Kaspersky Labは、2019年4月9〜10日に開催した「Security Analyst Summit 2019」で、その実態を紹介した。 - データやリソースを盗む攻撃への新たな対策を考案、ミズーリ大
米国ミズーリ大学工学部などの研究チームが、データ窃盗(APT)やリソース窃盗(APM)といった標的型攻撃に対抗する新手法を考案した。APTへの対応とAPMへの対応はほぼ正反対になっている。 - 東京五輪が標的の攻撃も? CYFIRMAが2019年のサイバーリスクを予測
CYFIRMAは2018年のサイバー脅威を総括し、2019年について予測した。AIを利用した高度で大規模な攻撃や国家によるスパイ活動の増加の他、クラウド環境への攻撃の拡大などを挙げた。東京五輪を標的とする攻撃の発生も予測した。
Copyright © ITmedia, Inc. All Rights Reserved.