2019年のサイバー脅威には3つの変化があった――取引先のセキュリティ対策確認で何を聞けばいい？：セキュリティ・アディッショナルタイム（38）

Sophosのチーフ・リサーチ・サイエンティストに、2019年のサイバー脅威、3つの変化と2020年に注意すべき傾向を聞いた。

[高橋睦美，＠IT]

　セキュリティ企業、Sophosでチーフ・リサーチ・サイエンティストを務めるChester Wisniewski（チェスター・ウィスニエフスキー）氏が、2019年11月に来日した。200人に上るリサーチャーが日々まとめている解析結果や調査動向を集約し、全体像を描くことを主な任務としている同氏に、昨今のサイバーセキュリティ動向について尋ねた。

2019年のサイバー脅威、3つの変化とは

　ウィスニエフスキー氏は2019年を振り返って、脅威トレンドには主に3つの変化があるとした。

Sophos チーフ・リサーチ・サイエンティスト Chester Wisniewski（チェスター・ウィスニエフスキー）氏

　1つ目は、ランサムウェアの変化だ。数年前とは異なり、コンシューマーではなく企業を主なターゲットにし始めた。「理由は簡単で、その方がお金がもうかるからだ。個人をターゲットにした場合、得られる身代金はPC1台当たり500ドル程度だが、企業ならば1万ドル以上になることもある。このため、ランサムウェアの感染件数自体は減っても、被害額は増えている」（ウィスニエフスキー氏）

　日本国内でも話題になった「Emotet」も、感染先が個人のPCならばオンラインバンク関連の情報を盗み出すが、もし企業内にあるコンピュータだと分かればランサムウェアに感染させ、金銭を取ろうとするという。

　2つ目は、攻撃対象の変化だ。デスクトップPCやラップトップPCの代わりに、「サーバ」が狙われ始めているという。皮肉なことかもしれないが、数々の痛い経験を踏まえながらPC側のセキュリティ対策が向上してきたのに対し、「サーバの保護レベルは低い」とウィスニエフスキー氏。

　サーバが狙われる理由は幾つかある。まず、サーバには価値のある情報がたくさん保存されている。そして、ひとたび問題が発生すると、バックアップから復旧させるのは難しい。

　何より、「サーバへのパッチ適用は、（クライアントPCに比べ）遅れがちだ。たいていのデスクトップPCならば、WindowsやOfficeの脆弱（ぜいじゃく）性を修正するパッチは2週間程度で適用されるし、ブラウザも自動更新機能を備えるようになった。だがサーバの場合、Oracleのようにクリティカルなエンタープライズアプリケーションが稼働しており、パッチを適用する前に何度もテストし、慎重に適用しなければならない。このため、90日から180日たっても脆弱性が修正されないことがある」（ウィスニエフスキー氏）

　その上で同氏は「かといって、サーバの安定稼働を優先させたい事情を考えると、この状況を変えるのは難しい。パッチ適用はクライアント環境には有効な手段だが、サーバの場合はそうとも限らない。従って、次世代保護ツールなどを用いて攻撃コードからサーバを保護するなど、リスクを緩和する手段を取ることをお勧めしたい」とした。

　3つ目は、サプライチェーン攻撃の増加だ。取引先やパートナーを介した攻撃は、2020年以降、さらに増加する恐れがあるという。

　「この数カ月の傾向を見ると、何百もの企業と契約しているサービスプロバイダーをターゲットにしたサプライチェーン攻撃が非常に増加している。1カ所を侵害するだけで、そこから何百、何千社もの顧客企業にアクセスできてしまうので、攻撃者にとってはとても効果的だ。非常にスケーラブルなことから、サプライチェーン攻撃の件数はいろいろな分野で増加している」（ウィスニエフスキー氏）

　そして、サーバを狙う攻撃にしてもサプライチェーン攻撃にしても、今後の攻撃パターンを占う上で、APT（高度標的型）攻撃の動向に注目すべきだという

　「当初は、政府機関が関与していたAPT攻撃で使われていた手法を、サイバー犯罪者がまねするようになった。どの国が関与しているかに関係なく、彼らにとって『いいアイデア』があればすぐにまねして活用し始める。しかもマルウェアは、物理的な武器とは異なりいくらでもコピーできるため、より危険度は高い」（ウィスニエフスキー氏）

2020年、特に注意が必要なのは？