サイバー脅威
近い将来どんなサイバー脅威に直面しうるのか、予測することができれば、それらの脅威に対して今から強力な防御策を考えることができます。毎年、カスペルスキーの専門家は、さまざまな業種を調査し、年次プロジェクト、Kaspersky Security Bulletin(KSB)にまとめています。
KSB 2022では、来る2023年にサイバーセキュリティ分野でどのようなことが起こりうるのか、世界中の著名な専門家に洞察や忌憚のない意見を共有していただきました。寄稿いただいた専門家の方々によりますと、現代のサイバーセキュリティ業界がさらに複雑化しつつあるということと、企業、個人、さらに国全体がさらされているサイバー脅威に対抗するためには、さまざまな組織の協力が求められています。
2023年ビジネスに対する最大のサイバー脅威とは?
ウラジーミル・ダーシェンコ(Vladimir Dashchenko)、セキュリティエバンジェリスト、カスペルスキー
地政学的な緊張は、ビジネスに対する一般的なサイバー脅威だけでなく、予測不可能なリスクと「ブラックスワン」(予測ができず、攻撃を受けた時の衝撃が大きい事象)をもたらしています。2023年に主な問題となるのは、サプライチェーン攻撃です。サプライチェーンへの脅威は現在、ビジネスにとって大きな課題になっていますが、一方そのセキュリティ対策は複雑かつ深刻な問題です。サプライチェーンは、攻撃者にとって、標的型ランサムウェアと国家的なスパイ活動を実行する最も効果的なターゲットいえます。
もう一つの問題は、世界的な半導体不足です。これが企業のサイバーセキュリティに影響を及ぼすのは間違いありません。多くの企業で、必要なサーバー、ワークステーション、ネットワーク、ハードウェアなどへの需要は高くなっていますが、その一方で電子機器の価格は上昇し続けています。ハードウェアのニーズをカバーするために、計画していたサイバーセキュリティの経費削減を余儀なくされる企業が多くなる可能性があります。
ユーリ・スロボジャニク(Yury Slobodyanuk)、コンテンツフィルタリング研究ヘッド、カスペルスキー
さまざまな国や組織のインフラを標的とした攻撃が続くでしょう。フィッシング攻撃は、さらに高度なものになるとみられています。今年に入ってベーシックな手法が頻繁にテストされているのが確認されています。企業もそれに対する対応策を学んでいます。
イワン・クフィアトコフスキ(Ivan Kwiatkowski)、シニアセキュリティリサーチャー、グローバル調査分析チーム(GReAT)、カスペルスキー
企業が最も懸念するのは今年に引き続き、ランサムウェアでしょう。ロシアとウクライナの戦争により、近い将来、法執行機関が協力しあう可能性はゼロになりました。したがって、両陣営のサイバー犯罪グループは、ためらいもなく相手方の企業を攻撃すると推測できます。愛国心から相手方を攻撃することは自分の義務だと信じ込む人もでてくるでしょう。エネルギー価格の高騰、インフレ、制裁などによって景気が低迷し、多くの人が貧困に陥ります。これは、サイバー犯罪を含む様々な犯罪の増加につながります。利益を得るためには、ランサムウェア攻撃が効果的であることはよく知られています。
ジェームス・レインジ氏、プレジデント、White Rock Security Group
テレワークやハイブリッドワークが続く中で、セキュリティモデル「ゼロトラスト」がより注目されるようになります。ハイブリッドワークは、ニューノーマルとして広く浸透しており、テレワークによるゼロトラストのニーズは引き続き高まるでしょう。連邦政府がゼロトラストのネットワークポリシーや設計、実装を各機関に義務づけているので、これがさらに普及し、民間セクターもこれに倣うとみられています。2023年は、その効果を検証する年になるでしょう。
アーサー・ロードレイン氏、戦略アナリスト(サイバープログラム)、ハーグ戦略研究センター
2023年は、暗号通貨市場の低迷を反映してランサムウェア攻撃がやや減少するかもしれません。しかし、緊迫するロシア、中国、北朝鮮、イラン情勢については、一向に緩和する気配がないため、脅威全般で見ると、国家主導の攻撃は引き続き多くなります。最もリスクが高いビジネスは、 航空宇宙および防衛関連企業、そして重要インフラ事業者(水道、電気、インターネットなどの公益事業だけでなく、ダムなどの大規模なサイバーフィジカルシステムの事業者や病院を含む)です。
ステファン・ソエサント氏、サイバー防衛上級研究員、スイス連邦工科大学チューリッヒ校セキュリティ研究センター
2023年のビジネスにとって最大のサイバー脅威は、外国の諜報機関による諜報活動が大幅に増加するということでしょう。石油開発への反対活動、温暖化防止活動、さらには財政政策に反対する活動をするハクティビストを装って、諜報活動をするとみられています。もう一つは、DDoS攻撃の増加です。これについてはウクライナにおいて、史上最高レベルのDDoS攻撃が観測されているのが理由です。
イリーナ・ヨルダノヴァ氏、ソフトウェア担当プロダクトマネージャー、Polycomp Ltd.
2023年はサイバー脅威が増加すると予想しています。企業を標的とするランサムウェアのようなマルウェア攻撃がより頻繁に発生するでしょう。また、ITチームは、クラウドセキュリティ、IoT、AIに関連する地域標的型のフィッシング攻撃など、新しいテクノロジーがもたらす新たな脅威に対応する準備をしておく必要があります。教育機関や医療機関に対する攻撃が増加する傾向に加えて、大手企業、特に重要な情報(機密データ、最高レベルのノウハウ、最新テクノロジー)を保有する企業に対する標的型キャンペーンが増えると思います。それを踏まえると、従業員は、セキュリティに関するトレーニングを受け、このような精巧な攻撃に対応する能力を身につける必要があります。 企業として今準備できることは、外部の経験豊富なセキュリティパートナーと連携することです。エンドユーザーは、フィッシング攻撃であれそのほかの脅威であれ、身に迫る課題に対して使いやすいセキュリティソリューションで備えることができます。
各業界が直面するサイバーセキュリティの課題とは?
ウラジーミル・ダーシェンコ、セキュリティエバンジェリスト、カスペルスキー
2023年は、脅威モデリングのアプローチが変わります。インターネットの「バルカン化」、進行中の戦争、政治団体の間の緊張がサイバースペースやサイバー犯罪に影響を及ぼしています。私たちは政治的な動機に基づいて違法行為を行うサイバー犯罪者の数が増えると予想しています。また、「スクリプトキディ」(スキルの低いハッカー)が、スキルの高いハッカーや国家主導のサイバー犯罪グループに参加することが増えるでしょう。
サイバーセキュリティそのものに関して大きな課題となるのは、企業間の透明性と情報共有の欠如でしょう。「旧態依然」のまま中立の立場を維持するのは難しくなります。残念なことですが、外交関係がサイバースペースやサイバーセキュリティに影響を与えることになるでしょう。
アーサー・ロードレイン氏、戦略アナリスト(サイバープログラム)、ハーグ戦略研究センター
来年もこれまでみられた傾向が続くと見ています。特に、政府、重要インフラ事業者、多くの海外拠点を持つ企業は、サプライチェーンのセキュリティと整合性を、ソフトウェアとハードウェアの両面で維持するという課題に取り組むことになります。少なくとも米国やEUでの新しい規制義務を順守するために、業務委託先や仕入れ先とより緊密に連携することが求められるでしょう。
ジェームス・レインジ氏、プレジデント、White Rock Security Group
ランサムウェア攻撃は、2022年前半だけで2.8倍増加しました。この傾向が続けば、サイバー保険のニーズに対応することがより重要となるでしょう。特にSMB市場においてです。業界の多くの専門家は多額の保険料の支払いに反対していて、サイバー保険の意義が長い間議論されていますが、進化し続ける脅威を考えると、サイバー保険を組織のサイバー戦略の一環として最優先の検討事項にすべきでしょう。そうなればサイバー保険業界が急成長すると予想しています。また企業には、サイバー保険に加えて、指定のディザスタリカバリまたはローリングリカバリ計画が必要になります。
クボ・マチャーク氏、リーガルアドバイザー、ティルマン・ローデンハウザー氏、リーガルアドバイザー、マウロ・ビニャーティ氏、戦争におけるデジタル技術アドバイザー、ICRC
2023年は、紛争下におかれている民間人がサイバー作戦に巻き込まれることを懸念しています。政府サービス、重要インフラ、または企業など、民間のデータ、デバイス、ネットワークが故意に停止または破壊される恐れがあります。これらは戦時国際法違反です。個人や企業といった民間人は、サイバー活動への参加やテクノロジーを使った軍事作戦の支援を強いられる形で、サイバー戦争に巻き込まれる可能性があります。 このような流れは、人々や社会にとって極めて危険で、戦争に参加する国は、軍人と民間人を区別しなければならないという鉄則を破るものです。
ステファン・ソエサント氏、サイバー防衛上級研究員、セキュリティ研究センター(CSS)
ランサムウェアグループや他のサイバー犯罪者は、医療データの窃盗(2020年のフィンランドのVastamoo、2022年のオーストラリアのMedibank)や非常に機密性の高い個人情報の窃盗(2015年のAshley Madison)を主要目的に活動するだろうと予想しています。なぜかというと、何千人という多数の個人に対して大きな心理的プレッシャーを直接与えることができるという点と、身代金の要求に個人が応じる可能性があるという教訓を得たからです。
エンドユーザーにとって最大の危険をもたらすサイバー脅威とは?
ユーリ・スロボジャニク、コンテンツフィルタリング研究ヘッド、カスペルスキー
地政学的に緊迫した状況であるため、今後起こる事象を悪用する詐欺がでてくるでしょう。また、AIを活用してあらゆるフェイクニュースが生まれる可能性があります。
スヴェン・ヘルピッヒ氏、サイバーセキュリティディレクター、シンクタンクStiftung Neue Verantwortung
サイバー犯罪は、エンドユーザーにとって最大の脅威であることは間違いありませんが、ユーザーは間接的に影響を受ける程度だと思います。地方自治体、病院、さらにベビーフード製造業者など、日々の生活に必要不可欠な製品やサービスをオフラインで提供するプロバイダーに対して、数日間または数週間、業務を一部または全面的に停止させるようなサイバー犯罪が迫っています。こういった攻撃は、市民の生活に直接大きな影響を及ぼします。
デニス・ケンジ・キプカー教授・博士、ブレーメン大学ITセキュリティ法教授、リガ法科大学院客員教授、European Academy for Freedom of Information and Data Protection(EAID)ボードメンバー
ホームオフィスでのテレワークが続くなか、個人用デバイスの使用が増え、企業のIT担当者がデバイスを管理しきれていないのが現状です。そのため、2020年以降、スピアフィッシング、ソーシャルエンジニアリング詐欺、CEO詐欺などが、ランサムウェアと同じように増加しており、2023年も引き続き増加すると見込んでいます。サイバー犯罪が職業となり、今や独立した「業界」も確立しつつあります。そのため、低コストで大規模な攻撃が可能になっています。これによりエンドユーザーにとってセキュリティを確保することがさらに厳しくなっています。
モハメド・アール・クウェイティ閣下、UAEサイバーセキュリティカウンシル
IoTの脆弱性:セキュリティの問題は今日市場を席巻しているIoTデバイスにとって常に悩みの種です。IoTは、物理的な世界と仮想空間をつなぎます。そのため、最も恐れられているIoTがもたらす脅威の一つとして、家庭への侵入が挙げられます。
自動運転車の脆弱性:これには特有のリスクがあり、 データ漏えい、サプライチェーンの混乱、物的損害、金銭的な損失、負傷または死亡につながるような攻撃に対して、ますます脆弱になっています。
2023年にサイバーセキュリティが直面する最大の課題は何でしょうか?
イワン・クフィアトコフスキ、シニアセキュリティリサーチャー、カスペルスキーGReAT
セキュリティ業界は、国際情勢がもたらす直接的なプレッシャーに直面するでしょう。もともと事態は複雑でしたが、悪化の一途をたどっています。2023年にベンダーが向き合わなければならない最大の課題は、いかに中立な立場を守るかということになるでしょう。(この問題についての見解は、こちらの動画(英語)で説明しています。)全般的にみて、政治と脅威インテリジェンスはますます複雑に絡み合うようになります。一方私たちは、コミュニティとしてこれに対応する準備は整っていません。
ユーリ・スロボジャニク、コンテンツフィルタリング研究ヘッド、カスペルスキー
来年、攻撃はめまぐるしく進化すると思います。重要な課題は、それでも常に2歩も3歩も先の先手を打っていくことが重要です。
スヴェン・ヘルピッヒ氏、サイバーセキュリティディレクター、シンクタンクStiftung Neue Verantwortung
基本的に2023年は何か新しいことが起こるとは思いません。問題の一つは、これまでと同様、基本的なセキュリティとレジリエンスの手段が導入されていないことです。この弱みに付け込んで、サイバー犯罪者は攻撃を成功させるからです。
デニス・ケンジ・キプカー教授・博士、ブレーメン大学ITセキュリティ法教授、リガ法科大学院客員教授、European Academy for Freedom of Information and Data Protection(EAID)ボードメンバー
サイバーセキュリティには、セキュリティソフトウェアだけでなく、信頼性できるハードウェアも必要です。あまりにも長い間、私たちはITセキュリティにおけるグローバル化に頼るばかりで、デジタルサプライチェーンの保護を重要視していませんでした。ドイツでこの課題が明るみになったのは、センシティブな5Gネットワークの保護に関する議論がされたときです。また、中国と台湾の地政学的な対立によって私たちは半導体危機の真っただ中にあり、信頼できるITの安全な供給が脅かされています。このように、重大なサイバーセキュリティの課題は、政治的な緊張の高まりと並行して、2023年も増え続けると推測されます。
セルジュ・ドローズ氏、テクニカルアドバイザー、ボードメンバー、FIRST
サイバー犯罪は、これまでのように、一つの攻撃でどれだけ収益を上げることができるかに重点をおいたものになります。これは規模が小さい組織やまだ成熟していない組織が標的となることが増えることを意味します。標的となる組織には、SMBやITをコアビジネスに据えていないセクターの中小企業や、ビジネスが該当する可能性があります。特に医療サービスです。このような組織の問題は、一般の企業とは優先事項が異なるということ(身代金を要求された病院は、復旧を待つ余裕はないので支払う)、そして組織を守るためのリソースがないか、単に専門知識がないかのいずれかです。
ウェンディ・ネイター(Wendy Nater)氏はこれについて「セキュリティ貧困ラインを下回っている」と表現しています。セキュリティ業界の課題は、このような組織でも購入可能で、効果的な保護をどうすれば提供できるかという点です。言い換えると、セキュリティの専門家ではない人々にセキュリティサービスを提供できるかどうか、ということです。この目標を達成するにはさまざまな業界の協力が必要だと考えています。特に保険の役割を明確にし、連携させる必要があると思います。
ジェームス・レインジ氏、プレジデント、White Rock Security Group
サイバーチームは重要な役目を任されています。まずは自社のセキュリティの状況を把握することが大切です。現在利用可能なツールと自社のインフラで何が足りないのかを知ることは、企業を守る上で役に立ちます。サイバー予算を増やし適切な人材を配置することもきわめて重要です。才能ある人材が不足している状況が続いているので、失敗のないプロセス、ドキュメント、定期的な第三者評価を維持するためにサードパーティの企業と組むことを検討しましょう。
モハメド・アール・クウェイティ閣下、UAEサイバーセキュリティカウンシル
DDoSボットネット:近年観測された大規模な攻撃の一つに、Mērisボットネットと呼ばれるマルウェアを使用したものがあります。これは、2021年6月末ごろ観測されました。このマルウェアは、その新しい特性から「インターネット上の新しい攻撃部隊 – 新種のボットネット」と呼ばれました。このようにリアルタイムで進化するマルウェアが、今後のDDoS攻撃にも使用されることになるでしょう。
Randomware as a Service(RaaS、ラース):他の形式のマルウェアとは異なり、RaaS(身代金要求型のランサムウェアをサービスとして提供するもの)は、「違法なコンテンツ配信ネットワーク(CDN)で、理論的には主要なインターネットポータルによって使用されるものと同じですが、実際はマルウェア拡散のために使用されるものを提供」します。スイスを拠点とするサイバーセキュリティ企業アクロニスの『サイバー脅威レポート2020年上半期』(2022年7月24日公開)によりますと、2022年上半期に確認された情報漏えいの半数近くは、盗まれた認証情報でした。ランサムウェアベースのマルウェアは、2022年に活発になり国家がサイバー攻撃に対して初めて非常事態を宣言する事態になりました。
ディープフェイクがビジネスにもたらす危険性:ディープフェイクを利用した脅威もこれまで確認されています。これは攻撃者が、AI(人工知能)や機械学習を使って、標的の動画または音声を加工、または生成し、経営幹部になりすまして従業員をだまし大金を送金させるものです。
ヒント