サイバー攻撃にアジャイル開発、スウォーム技術、AI／機械学習が使われる――新たな脅威をFortinetが説明：攻撃者がAIに悪いことを教えてしまう

FortinetのChief of Security Insightsを務めるデレク・マンキー氏が来日し、最新のリサーチ結果に基づく脅威動向を説明。今後現れる恐れのある新たな脅威について警告した。

[高橋睦美，＠IT]

　FortinetでChief of Security Insightsとして脅威リサーチに当たっているデレク・マンキー氏が2019年7月28日に来日し、最新の動向について解説した。

　同氏は「今はC2（コマンド＆コントロール）サーバで制御されているbotネットが、『スウォーム』（Swarm：群体）化し、感染したマシン同士が自律的にコミュニケーションを取って攻撃を展開するようになる可能性がある。よりアダプティブで、レジリエンスが高く、拡張性のあるbotネットが生まれる恐れがある」など、新たな脅威の姿を警告した。

攻撃者側もアジャイル開発を採用し、高頻度でリリースを繰り返す時代に

Fortinet Chief of Security Insights デレク・マンキー氏

　Fortinetでは、顧客に導入されているUTM（統合脅威管理）をはじめとする同社製品から収集した情報に加え、専門のリサーチャーによるリサーチを踏まえ、最新の脅威動向をグローバルに把握し、ブログや四半期ごとのレポートを通じて成果を公表してきた。

　ただ「われわれのリサーチャーも増強しているが、最近ではサイバー犯罪者側も人数を増やし、アジャイル開発を採用して1日に3〜4回のペースで頻繁にリリースを行ったり、ランサムウェアの誘導にアフィリエイトを活用したりと、活発に活動している」（マンキー氏）

　ちなみに、2019年第2四半期の動向をまとめた最新版のレポートでは、「フォレンジックやネットワーク分析、インシデントレスポンスをより難しいものにするため、侵入後に目に付かないよう、より巧妙に隠れるようになった」ことがトピックだという。

　またテレメトリー情報の観測によると、サプライチェーン攻撃が目立つようになったことも2019年第2四半期のポイントの一つだ。この種の攻撃としてはASUS製品のBIOSのアップデート機構を侵害して侵害する「Shadow Hammer」が有名だが、他にも、医療情報を管理する企業が外注先経由で不正アクセスを受け、情報が漏えいする事件が発生した。こうしたインシデントによって「サプライチェーンの信頼が揺るがされるようになっている」と同氏は述べた。

　Fortinetはまた、四半期ごとのレポート以外に、「Playbook」という形でも脅威情報をまとめている。「相手の出方を研究し、それに応じてさまざまな戦術を用意しているアメリカンフットボールのように、敵をプロファイリングし、どんな戦略、どんな戦術を取ってくるかをまとめている」（マンキー氏）。Playbookの情報は顧客の対応支援に活用するだけではなく、脅威情報を共有する業界団体、Cyber Threat Alliance（CTA）に加盟している信頼できるパートナーや法執行機関と共有することで、「相手の手の内をさらし、隠れにくくすることで、攻撃者にとっての攻撃のコストを上げていく」ことを狙っているという。

　こうしたPlaybookの一つとして、ロシアを拠点とするサイバー犯罪者グループ「Silence Group」の活動についてまとめたものを公開した。Silence Groupは金融機関の職員をターゲットにしたフィッシングメールを通じてWindowsのヘルプファイルを装ったマルウェアを送り込み、感染するとシステム内で侵害を拡大していく。最終的にはATMのシステムをコントロールし、出し子の待ち受ける特定のATMから現金を引き出させてしまうという。

「C2サーバとの通信を絶つ」という根本対策では歯が立たない、スウォーム型botネット