FortiGuard Labによる2016年脅威予測トップ5

翌年の脅威予測というのは、セキュリティベンダーや評論家が必ず年に一度行う恒例行事です。しかしこれは、水晶玉を見て占いをするのとは全く違います。ベンダーは新たに登場する問題に効果的に対処する製品を設計するため、脅威動向における変化を正確に予測する必要があります。組織は後から事態の収拾を行うのではなく、新たな攻撃が起こる前に、適切な防御を計画し、対抗手段を配備しなければなりません。

では、どのようなものがバズワードを越え、トレンドとなっているのでしょうか?新たに登場する脅威は私たちの防御に挑みかかり、ますます抜け目のないサイバー犯罪者や、知的さを増したマルウェア、断固たる決意を強めた国家主体から顧客を守るための新たなソリューションを開発するようベンダーを駆り立てます。そうした新たな脅威の中から上位5つを、フォーティネットのFortiGuard Labsが選びました。

その1:M2M(Machine to Machine)攻撃の登場

趣味の悪いSF映画のタイトルではありません。2015年には、数多くのPOCテストや、接続された「ヘッドレスデバイス」、いわゆる「モノのインターネット」を巻き込んだ積極的な攻撃がみられました。例えば、POS端末を感染させるマルウェアは現在日本で、流行しているマルウェアのトップ10に入っています。また研究者たちによって、運転中のコネクテッドカーに不正侵入し、コントロールを奪うという内容の記事が掲載されました。

2016年には、BluetoothやZigbeeのような、IoTデバイスが一般的に用いている信頼性の高い通信プロトコルを標的とするエクスプロイトやマルウェアがさらに進化するでしょう。そして何より、IoTは「land and expand」型攻撃の主な標的となるでしょう。ハッカーたちは、スマートホームの機器からウェアラブル端末まで、あらゆるものにおける脆弱性を利用し、企業支給のデバイスや企業ネットワークへの侵入を試みます。IoTの攻撃領域は大幅に拡大しています。また、デバイス間でマルウェアを伝搬する機会も広がっています。そうしたものの多くが、企業ネットワークや個人データのレポジトリへ侵入する可能性があります。

その2:ヘッドレスデバイスはヘッドレスワームを標的にする

SF的な言葉が続きますが、良い理由ではありません。IoTは悪用されやすい脆弱性によって攻撃領域を広げてしまうだけでなく、破壊的なマルウェアの新たな標的をも生じさせてしまいます。1989年にUnixベースのオペレーティングシステムを襲ったMorrisワームのことを考えてみてください。これは接続されていたUnixマシン(当時はサーバーとワークステーションがたったの6000台)のおよそ10%に感染しました。このワームによる被害は何百万ドルに達したと見積もられています。ガートナー社が、2020年までにIoTデバイスの数は200億台を超えるだろうと予測していることを考えてみてください。皆さんも計算できますよね。こうしたマシンを無効化できる「ヘッドレスワーム」による潜在的被害は驚くべき規模になるでしょう。

伝搬、存続が可能な少量のコードを使ってヘッドレスデバイスを感染させることが可能であることを、FortiGuardの研究者らはすでに示してきました。デバイスからデバイスへと伝搬できるワームやウイルスは、もう目と鼻の先まで来ています。

その3:クラウドのジェイルブレーク(脱獄)

今年、Venomとして知られる10年前に登場した脆弱性がメディアの注目を集めました。仮想化システムのフロッピーディスクドライバを利用して、ハイパーバイザーから脱出し、ホストオペレーティングシステムにアクセスできることが明らかになったからです。クラウドや仮想化技術の導入が増え続けるなか、アタッカーたちはマルウェアを開発し、ホストシステムへのさらなる侵入を可能にする脆弱性を探し出すでしょう。これは、その他の企業資産や、仮想化環境、プライベート/ハイブリッドクラウド環境におけるより規模の大きいネットワークへの近道なのです。

仮想化システムへの攻撃の他、パブリッククラウドやプライベートクラウドベースのシステムへの攻撃も同様に増加しています。モバイルアプリケーション(パブリックアプリストアと企業のアプリストアの両方で提供されているもの)の普及によってモバイル端末は、クラウドベースのアプリケーションや仮想化システムへのリモート攻撃の潜在的ベクトルになっています。

その4:不正侵入の痕跡を消すゴーストウェア

2014年、私たちは「ブラストウェア」の登場を予測しました。ブラストウェアとは、アンチウイルスソフトウェアによって検知されると、自身とホストシステムを破壊するよう設計されたマルウェアのことです。メディアでは少々話が大きくなっていますが、こうした種類のソフトウェアが感染したシステムに対してどのようなことを行うのかは、Rombertikによって明らかにされました。今後は特にハクティビズムや国家支援のサイバー犯罪において、ブラストウェアが用いられるだろうと私たちは予測しています。

しかし、ゴーストウェアはこのコンセプトをさらに推し進めたものです。ブラストウェアは不正侵入の 痕跡を残します(クラッシュしたシステム、あるいは無効化されたシステム)。一方、ゴーストウェアはデータを取り出し、その後は検知される前に侵入の痕跡を消すよう設計されています。そのため、組織が攻撃によって引き起こされたデータ損失の程度を追跡することが非常に困難になります。

その5:2つの顔を持つマルウェア

感染後の検知の回避がゴーストウェアの特徴だとしたら、2つの顔を持つマルウェアは最初の段階で、高度なサンドボックス技術によるインスペクションの間に検知を回避するところが注目すべき点でしょう。サンドボックスは、実行時の疑わしいファイルの挙動を観察するよう設計されており、従来のアンチウイルスでは警告が出ないかもしれないようなソフトウェアを検知します。インスペクション中は通常の挙動を見せ、一旦サンドボックスを通過すると不正なペイロードを仕込むようなマルウェアが開発されたら、これは検知がかなり困難になるでしょう。

そして何より、2つの顔を持つマルウェアはサンドボックスによって安全であるとフラグを付けられ、ベンダーの脅威インテリジェンスシステムに報告されてしまう可能性もあります。そうなると、将来はインスペクションが行われず、このタイプのマルウェアによって、ベンダーや組織の問題は悪化してしまいます。

ベンダーが注意すべきことは、マルウェア作成者がより抜け目なくなってきており、アタッカーが拡大する攻撃領域を悪用するようになってきているということです。こうした新たな脅威に対応していくことができるベンダーを選び、マルウェアをしっかりと把握することが、2016年におけるデータ損失やシステム破壊を避ける上で、企業にとって重要なこととなるでしょう。