ソフォスの2022年脅威予測

Sophos 2022 Threat Report　Interrelated threats target an interdependent world（https://www.sophos.com/en-us/medialibrary/pdfs/technical-papers/sophos-2022-threat-report.pdf）
セキュリティ企業ソフォスの2022年脅威予測を整理してみました。他社の予測に比べると、マクロな動きよりも個々の問題に焦点をあてている印象です。

　止まらないランサムウェアの拡大
　進化する攻撃手法
　AIはサイバーセキュリティ不可欠の技術

●止まらないランサムウェアの拡大
ランサムウェアは、現在最も被害の大きなマルウェア攻撃の1つであり、2022年に入っても、その勢いは衰えません。ランサムウェアのビジネスモデルは変化を続けている。
独自のランサムウェアを使って組織を攻撃する手法から、ランサムウェア作成グループと侵入の専門家に貸し出す手法への移行が、ランサムウェア・アズ・ア・サービス(RaaS)」というビジネスモデルを生んだ。
このビジネスモデルの詳細は、2021年にConti RaaSのアフィリエイター向けの手順書やガイダンスを豊富に含むアーカイブの公開によって明らかになった。これにより、異なる攻撃者グループがほぼ同一の戦術、技術、手順(tactics,techniques and procedures = TTP)を採用していた理由が明らかになった。
現在、脅威アクターの間でRaaSのTTPは標準化が進んでおり、攻撃の成功をもたらしている。その一方で防御側も標準化されていることを前提に検知技術を向上させてきた。

ランサムウェアへの対策方法が広まった後、その脅威はだいぶ下がり、身代金を支払わない被害者が増加した。しかし、2重恐喝型のランサムウェアが登場したことによって状況は激変した。2重恐喝とはデータを暗号化するだけでなく、身代金を支払わなければそのデータを公開すると脅迫するものだ。個人情報保護の概念の広がりや法制度化もあるうえ、競合する企業にデータが渡る危険もある。また、犯人が盗んだ情報を公開する可能性を示せば株価が下がる。これらから2重恐喝型ランサムウェアは猛威をふるうことになった。
こうした脅威に対処する交渉会社も現れたが、いくつかのランサムウェアグループは「警察あるいは交渉会社に相談したことがわかればデータを公開する」という声明を発表した。
2021年9月、米国財務省はランサムウェアの身代金仲介に利用されていたロシアを拠点とする暗号通貨ブローカーおよび市場に対して金融制裁を発動した。残念ながら、こうした措置は短期的な対処でしかない。

●進化する攻撃手法
悪意あるアクターの攻撃をエミュレートする商用のエクスプロイトツールであるCobalt Strikeのソースコードが漏れ、フルバージョンの海賊盤が攻撃者側に渡った。Cobalt Strikeはサタデーナイト・スペシャルと呼ばれるほどに広く利用されている。
その結果、ランサムウェアの事例の多くでCobalt Strikeが利用されることになった。多くのマルウェア運営者はオープンソースのMetasploitフレームワークに関連したバックドアを使用しているが、Cobalt Strikeはランサムウェアのアフィリエイトやアクセスブローカーが好んで使用するツールとなっている。また、暗号通貨マイナーのLemonDuckをはじめとする他のマルウェア事業者が、Cobalt Strikeを使用していることも確認されている。

・マルウェア配布フレームワーク
1年半前にはEmotetファミリーが世界で最も広く配布されているマルウェアと考えられていたが、Emotetグループがビジネスをやめて以来、他の競合製品との間で覇権争いが続いている。
Emotetは感染したマシンにリモートでアクセスしたり、パスワードを盗んだりするためのツールとしてだけでなく、マルウェアのエコシステムの中で一種の犯罪コンテンツ配信ネットワーク(CDN)になった。犯罪者グループは、Emotetと契約して感染したPCからなる巨大なネットワークにマルウェアを送り込むことができるのだ。
IcedIDやTrickBotなど他のいくつかのマルウェア・ファミリーもビジネスモデルをマルウェア配信ネットワークに切り替えた。TrickBotの開発者はマルウェアのペイロードを配信するボットネットBazarLoaderの開発を進めている。

・ショットガン攻撃と標的型攻撃を組み合わせたハイブリッド攻撃
ソフォスは攻撃を2つの大きなカテゴリーに分類している。1つは、大量無差別攻撃の「ショットガン攻撃」。スパムメールを大量にばらまいたり、SEOの技術を使って検索エンジン利用者を悪意のあるウェブページに誘導したりするものである。2つ目は、ねらった標的に対して行う高度な標的型攻撃です。
2021年には、ハイブリッド型の攻撃が登場しました。まず、多くの人をおびき寄せるための広範な攻撃を行い、罠にかかった人々の中から特定の条件を満たした相手だけをさらに攻撃するというものです。マルウェアアナリストの調査を邪魔でき、また、セキュリティリサーチャーやIT管理者から攻撃の全容を隠すことができる。
今年登場した「Gootloader」と呼ばれるマルウェアはそのひとつ。Gootloaderは、英語、ドイツ語、フランス語、韓国語での検索語句のみを対象とし、検索キーワードと地域で絞り込みんでいる。
さらに、第2段階の攻撃で、相手のコンピューターのハードウェアとソフトウェアをチェックし、Windowsのみを対象とする。そして検索結果から訪問してきたIPアドレスを記録し、同じIPアドレスをブロックし、2度目には訪問できないようにしている。
また、BazarLoaderという脅威アクターグループは大量の比較的無害のスパムメールをばらまき、そしてメールに記載された電話番号に相手が電話してくるのを待つ。電話で会話してカモになる可能性を判断する。
このハイブリッドな攻撃手法は2022年にも拡大するだろう。

●AIはサイバーセキュリティ不可欠の技術
2021年には、AI技術(きわめてリアルな画像やテキストを生成するAI)が、専門家ではない開発者でも利用できるようになり、攻撃に利用されるようになった。また、防御側でのAI利用も進み、機械学習(ML)が脅威の検知に欠かせない要素になった。
AIは専門分野からテクノロジーエコシステムへと進化し、先進的な研究の成果は、防御側と攻撃側の双方がアクセスできるようになった。
たとえばGAN（Generative adversarial network）は、2014年の段階では研究用だったが、現在ネット世論操作などで用いられるSNSのプロフィール用の画像を生成するのに利用されている。
今後は水飲み場攻撃用のコンテンツやフィッシングメールの生成などに悪用されることが予想される。また、音声合成技術やディープフェイクも。

現在、ほとんどのセキュリティベンダーは、ニューラルネットワーク技術を使用して、脅威の検出を支援している。
今後、攻撃者がニューラルネットワークを採用して、新規のマルウェアや変化の激しいマルウェアの生成効率をあげるのは時間の問題である。その一方でソースコードを認識するニューラルネットワークを活用して、悪意のあるコードをより効果的に検知する方法を開発することが防御側の課題となっている。

ソフォスは、2つの分野を今後の革新分野と考えている。1つは、ユーザー視点の機械学習という新分野。今後数年でセキュリティ製品の開発は直感的に行えるようになる。ネットサービスのレコメンデーションシステムのようにAI駆動のセキュリティ・オペレーション・センター(SOC)が効率的に運用される。
2つ目は、スーパーコンピュータ規模のニューラルネットワークを利用して、これまで自動化されたシステムでは難しいと考えられていた問題(自動脆弱性検出やパッチ適用など)を解決できる可能性だ。

AIが攻撃および防御の面でサイバーセキュリティの核となることは間違いない。