2022年 サイバー脅威の動向予測：世界そして日本

2020年に始まったコロナ禍による社会の変化は、2021年も影響力を持ち続けました。昨年のサイバー脅威の予測では、コロナ禍という状況を悪用したサイバー攻撃やネットワーク機器に対する攻撃の増加を予測しましたが、そのような傾向が実際に見られています。

Kasperskyのグローバル調査分析チーム（GReAT）は、今年も1年を振り返り、2022年のサイバー脅威の動向を予測しました。

世界的な動向と予測

2022年の動向について、ここでは予測の一部を取り上げます。全文は『2022年 高度なサイバー脅威の予測』をご覧ください。同レポートでは、2021年度の世界的な動向予測を基に2021年の振り返りも行っています。

サプライチェーン攻撃のさらなる増加

サプライチェーン攻撃は、多数の標的への足がかりが一挙に得られるという性質から、攻撃者にとって価値のある攻撃手法です。2021年にも目立ったサプライチェーン攻撃ですが、今後も増加傾向と考えられます。

在宅勤務環境を狙った攻撃の継続

ロックダウンが解けたとはいえ、在宅勤務を継続する社員は少なくありません。コロナ禍では、リモートデスクトッププロトコル（RDP）に対する攻撃が急増しました。この傾向は続くでしょう。また、適切に保護されていない私物コンピューターが業務に使われ、企業ネットワークへの侵入経路として狙われる傾向も続くと見られます。

クラウドセキュリティおよびアウトソーシングサービスに対する攻撃の爆発的増加

クラウドコンピューティングを取り入れる企業が増え、マイクロサービスをベースとしたソフトウェアアーキテクチャをサードパーティのインフラ上で稼働させる企業も増加しています。膨大なデータを抱えるこれらサービスは、高度な攻撃の主要な標的となると考えられます。

低レベル攻撃が復活：ブートキット再び

低レベルのインプラントは、高度な技術を要するなどの理由から攻撃者に敬遠される傾向にあります。しかし、2021年の当社の複数レポートからは、ブートキットに関する攻撃者の追求は健在であることが読み取れます。隠れた利益がリスクを上回るようになった、または低レベルインプラントが以前より開発しやすくなったと見られ、この種の高度なインプラントの検知が増加すると考えられます。

日本における脅威の動向と予測

2021年に見られたモバイルプラットフォームへの活発な攻撃活動およびAPTの進化の傾向は継続傾向、また、フィッシングの標的拡大が予測されます。

モバイルバンキング型トロイの木馬

昨年の予測のとおり、Roaming Mantisグループは強い金銭的動機のもと、日本、ウクライナ、インド、中国、台湾、米国、フランス、ドイツ、韓国およびカナダなどの地域で現在も活発に活動を続けています。このアクターは主にTrojan-Banker.AndroidOS.Wrobaファミリーを使ってAndroidデバイスへ感染して制御を握り、スミッシングによって感染を広げます。スミッシングの際に詐称するブランドは国によって異なり、日本や韓国の場合は宅配サービス、その他地域ではWebブラウザーサービスの名前をかたるなどしています。当社レポート（英語）によると、2021年第1四半期、Trojan-Banker.AndroidOS.WrobaはTrojan-Banker.AndroidOS.Agentに次いでグローバル全体で第2位の検知数で、全体の7.98%を占めました。なお、第1四半期および第2四半期ともに、日本は金融関連のモバイル脅威による攻撃に遭ったユニークユーザー数の割合が最も多い国でもありました（リンク先は英語）。Roaming Mantisグループは2021年を通じ、主要な標的である日本をはじめ多くの地域を狙い続けており、この傾向は2022年も変わらないと予測します。

フィッシングの標的の拡大

QR/バーコード決済アプリ、フリーマーケットアプリ、携帯電話会社の決済サービスなどが普及するに伴い、これらサービスを装ったフィッシングサイトを使用する攻撃が増加しています。こうしたサービスのアカウントと、それにひも付く口座情報やクレジットカード情報を狙ったもので、最終的に金銭の窃取に及びます。また、興味深い例としては、クラウドサービスのアカウント、インターネットサービスプロバイダーやドメイン登録サービスのアカウントが、攻撃インフラとしての利用を目的に狙われています。2022年、日本ではインターネット上のさまざまなサービスが標的となり、被害額は引き続き増加すると考えられます。

日本を標的とした標的型攻撃グループの活動

日本を狙う標的型攻撃グループの活動は、2021年も継続して観測されています。中でも注目すべきものとして、まずはLazarusグループおよびそのサブグループによる攻撃が挙げられます。Lazarusグループはグローバルで広範に活動する著名な攻撃者グループですが、2019年頃から標的に日本が加えられ、「Dtrack」マルウェアや「MATA」フレームワークを用いて日本の組織およびその関連組織を標的とする活動が報告されています。2021年には、JPCERT/CCが「Torisma」「VSingle」「ValeforBeta」といった新たなマルウェアを使用した攻撃について報告しています。

2021年は、このほかファイルレス型のバックドア「LODEINFO」や高度なマルチレイヤー型ローダー「Ecipekac」を用いて日本の組織を狙う標的型攻撃も観測されており、いずれもAPT10の関与をうかがわせる痕跡が見つかっています。

これらの攻撃活動は、ファイルレス型マルウェアの使用、マルウェア機能の頻繁な強化と更新、マルウェア感染へ至るプロセスの複雑化、解析妨害技術の強化に加え攻撃痕跡の消去を徹底するといった傾向にあり、攻撃の全体像の把握や追跡が年々困難になっています。2022年も、これらの攻撃グループによる日本国内組織および関連組織を標的とした攻撃は継続され、追跡および調査はいっそう困難になると予想されます。

最後に、予測とは少し離れ、脅威のリバイバルについて触れたいと思います。今年1月にEmotetの攻撃インフラがテイクダウンされましたが、11月になって再びEmotetの活動が観測されました。これに象徴されるように、終息したかに思われた脅威が復活することがあります。また、実効性が証明された攻撃手法は、模倣されて繰り返し現れます（例えばEmotetが主に用いた「実在する人からの業務上のやりとりに見せかけたメールに悪意あるファイルを添付して送りつける」手法）。具体的な脅威が活動停止されたとしても、ガードを緩めることなく、継続的に対策をしていくことがサイバーセキュリティの基本的姿勢であることを忘れずにいたいものです。