【まじかよ…泣】2019年はサイバー情報漏洩が多発する年らしい…。

注目を集めるようなサイバー情報漏洩のニュースは、珍しいことにここ数ヶ月数が減っている。

しかし最近では、Marriott International/Starwoodが長年にわたり、最大5億人に達する個人情報を盗まれていたことが発覚した。
これに匹敵するのはYahooに対して行われた2013年と2014年の攻撃ぐらいである。

これは2019年のハッキング状況が悪化する前兆なのだろうか。

その答えは間違いないイエスだ。疑いようもなく、サイバー情報漏洩は、長年にわたり世界経済の巨大な悩みのタネだった。
しかし、継続的に改良され続けるマルウェアが、より多くの分野でより積極的に展開されるために、新しい年にはそれらがさらに蔓延することが予想される。

さらに、各企業が、効率性を高め、コストを削減し、データ駆動型ビジネスを構築するために、デジタル化を追求するにつれて、結果としてサイバー攻撃の「標的」として浮上することになる。デジタルエコノミーが拡大するにつれて、自然と脅威の可能性も広がることになる。そして状況を悪化させているのは、ハッカーや他の悪者たちが自分たちの邪悪な行いを拡大しようとするときに、機械学習とAIを使用していることだ。

悪用されるAI駆動チャットボット、サービスとしての犯罪ソフトウェア(crimeware-as-a-service:CaaS)の大幅な増加、データの武器化の加速、ランサムウェアの再増殖、および国家規模のサイバー攻撃の大幅な増加などに注目して欲しい。また、いわゆるクリプトジャックと呼ばれる攻撃も増加している。これは目立たずより狡猾に利益を上げる手段である。疑うことを知らない犠牲者からウエブサイト上のスクリプトを使って計算リソースを奪う侵襲的な手法なのだ。

それから、特定の開発者たちを狙ったソフトウェア破壊行為や、ソフトウェアアップデートサプライチェーンへの攻撃なども大幅に増加するだろう。

以下に、最も心配される脅威をいくつか挙げる。

AI駆動チャットボットの出現

新年には、サイバー犯罪者やブラックハットハッカーたちが、ソーシャルエンジニアリングを用いて被害者たちを、リンクのクリック、ファイルのダウンロード、あるいは個人情報のシェアに導く、悪意のあるチャットボットを作成してくるだろう。ハイジャックされたチャットボットは、被害者を正当なリンクではなく、不正なリンクへと容易に導くことだろう。攻撃者はまた、正当なWebサイトのWebアプリケーションの欠陥を悪用して、悪質なチャットボットを無害だったサイトに挿入する可能性がある。

地下経済の新たな要素であるCaaS(サービスとしての犯罪ソフトウェア)による、都市への攻撃敵は、とりわけデータの整合性を攻撃する新しいツールを利用して、強制的にハードウェア交換をせざる得なくなるようにして、コンピュータを使い物にならなくする。テロリスト関連のグループが主犯となる可能性が高い。

国家による攻撃の大幅な増加

ロシアは、より大きな目的の一環として標的型サイバーアクションを利用する、リーダーであり続けてきた。

例えば、今年の初めにFBIは、ロシアの継続的攻撃者であるSofacyグループが、世界中のホームオフィスルーターやストレージに接続されたネットワークを遠隔操作するために、ウィルス感染を行ったことを暴露した。セキュリティの貧弱な何十億ものIoTデバイスに助けられて、同様のシナリオの遂行を狙う他の国家にも注目して欲しい。

データの武器化が増大

すでに大きな問題だが、技術大手によるユーザーのセキュリティとプライバシー強化にもかかわらず、それらがさらに悪化することは確実だ。マイナス面とプラス面のバランスを考えることで、何千万人ものWebユーザーたちが、果たしてインターネットからどれほどの利益を得ているのかと真剣に疑問視し始めている。

たとえば、個人データと「プライベートな」通信を利用して、毎年数十億ドルの利益を生み出していることを隠さないFacebookのことを考えてみよう。ユーザーは、興味あるものやブランドに対して積極的に「いいね!」を行い、個人情報を差し出している。このことによって、Facebookはユーザーベースのより完全なイメージ ―― 広告主にとっての金脈 ―― を提供することが可能になる。

さらに悪いことに、今年初めにFacebookは「感情的な伝染」実験を通して、ユーザーの気分を操作しようとした。これはユーザーたちに、その仲間たちに向かってその感情に影響を与えさせた。すなわちデータの武器化である。

ランサムウェアの再燃

WannaCryの流行と、それに続いた何件かの、知名度の高い被害者をターゲットとした攻撃によって、ランサムウェアは2017年のシーンに爆発的に広がった。

FBIによると、米国でのランサムウェアに対するトータルの支払い額はここ数年で10億ドルを超えている。ここ数ヶ月は、ランサムウェアの有名な犠牲者はほとんどいなかったが、2019年にはこの問題の激しい揺り戻しが起きる可能性が高い。ランサムウェアは波状攻撃であり、次の攻撃も必須だ。

ソフトウェア開発プロセスの破壊とソフトウェアアップデートサプライチェーンへの攻撃の増加

ソフトウェア開発に関して言えば、マルウェアはすでに一部のオープンソースソフトウェアライブラリで見つかっている。一方、ソフトウェアアップデートサプライチェーンへの攻撃は、ソフトウェアベンダーのアップデートパッケージを侵害する。

顧客がアップデートをダウンロードしてインストールすると、知らないうちにシステムにマルウェアを導入してしまう。Symantecによると、2016年には実質的な攻撃がなかったにも関わらず、2017年には毎月平均1回の攻撃があった。この傾向は2018年も続き、来年はさらに悪化するだろう。

衛星へのより多くのサイバー攻撃

6月にSymantecは、地理マッピングとイメージングに携わる東南アジアの通信会社の衛星通信を、無名のグループがターゲットにすることに成功したと発表した。Symantecはまた、防衛関連契約業者の衛星に対する、中国国内からの攻撃も報告している。

それとは別に、8月に開催されたブラックハットの情報セキュリティ会議では、インターネットに接続するために、船舶、飛行機、そして軍隊によって使われている衛星通信は、ハッカーによる攻撃に対して脆弱であることが示された。最悪のシナリオでは、ハッカーが衛星アンテナをいわば電子レンジのように動作する武器に変えることができる「サイバーフィジカル攻撃」を実行する可能性があると、その研究は述べている。

まとめ

幸いなことに、2019年のサイバー概況は完全に厳しいばかりのものでもない。

サイバーセキュリティの側面では、パスワードのみのアクセスは放棄されて、多要素認証がすべてのオンラインビジネスの標準になると信じている専門家の数が増えている。さらに、多くの州では、欧州の厳格な「一般データ保護規則」(GDPR:General Data Protection Legislation)に準拠した規則の適用が予定されている。そのうちの1つ、カリフォルニア州では、2020年以降、データ漏洩が起きた際に消費者が会社を訴訟するのを容易にする法律を、すでに可決している。

結局のところ、個人、企業、政府機関は、サイバーセキュリティの状態を改善するために、できることは全て行う必要がある。
そのことによって情報漏洩を根絶することはできないが、ある程度の回避を行ったり、被害を軽減する可能性を高めたりすることはできるのだ。