サイバー脅威インテリジェンスの未来 ５つの傾向

　サイバー脅威はかつてないスピードで急速に進化しており、その背後にあるアンダーグラウンドのサイバー犯罪社会は、組織化されたサイバー犯罪エコシステムの様相を呈しています。ランサムウエア攻撃の件数は劇的に増加しており、KELAが監視するソースで確認した被害企業の数も、2021 年には 1,460 から 2,860 と約 2 倍に増加しました。サイバーセキュリティ担当者がランサムウエアグループとの闘いで首尾よく立ち回るためには、サイバー犯罪の最新トレンドを常に把握しておくことが必須となります。

　本稿では、サイバー犯罪脅威インテリジェンスの未来を形成する 5 つのトレンドと、組織で導入可能な自衛方法について解説します。また、5 つのトレンドが組織の防御体制に与える影響についても説明します。

1. サイバー攻撃の件数と被害額がともに増加

　ある報告によると、企業の約 3 分の 2 が「過去 1 年間にサイバー攻撃を受けた」と回答しています。サイバー攻撃が経済にもたらす影響は著しく、世界全体で見ると毎年約 4,450 億ドルの経済損失が生じており、状況は今後も悪化の一途をたどると思われます。

　サイバー攻撃の件数と被害額に見られる増加傾向は、様々な機器やシステム、データがつながりあう今日の世界において、企業がデータを保護し、事業の継続性を確保する必要があることを浮き彫りにしています。そしてそれを実現するためには、セキュリティチームが脅威の特定・評価・対応に活用できる情報を入手できる仕組みが必要であり、企業においては、進化するサイバー脅威の情勢について理解を深め、システム内の脆弱性を特定し、効果的なリスク緩和戦略を策定することが必須となります。

2. サイバー犯罪者がそれぞれの専門分野に特化し、互いに協力する事例が増加

　昨今では、ほぼすべてのサイバー犯罪が組織的グループによって行われており、単独で活動するハッカーは基本的に過去の遺物となっています。ハッキングツールを開発するスキルのない幼稚なハッカーでさえ、もはや単独では活動せず、小規模なグループを作って活動しています。また、非常に大規模かつ高度な攻撃を実行する場合には、ハッカー数十人（ときには数百人）のスキルが必要となります。さらに、特に攻撃件数の多いサイバー犯罪グループが各専門分野で組織を細分化して運営している様子や、他のハッカー（または犯罪グループ）と協力している様子も観察されています。

　サイバー犯罪グループには、特定の分野（ウィルスの作成、クレジットカード情報の窃取、DDoS 攻撃の実行、企業ネットワークへの侵入など）を専門とするグループが存在します。そして彼らが互いに協力することによって、個々のグループに欠けているスキルや能力が補完され、1人のハッカーでは想像もつかない、甚大な被害をもたらす攻撃を実行することが可能となります。

　ここ数年、サイバー犯罪グループの活動はより大胆に、そしてより巧妙になっています。しかしそんな彼らの活動も、一般企業と同じ方法で運営されています。つまり、サイバー犯罪を専門とする企業（サイバー犯罪グループ）が何を企んでいるのか、どのような攻撃手法を使用する傾向があるのか、主にどのような企業を標的にしているのかを知ることで、サイバー犯罪にさらされている自組織のアタックサーフェス（攻撃対象領域）と攻撃リスクを理解することが可能となるのです。

3. マルウエアの自動展開ツールやボットネットの進化

　モノのインターネットの範囲が拡大するにつれ、攻撃者にとっての「チャンス」も拡大しています。インターネットに接続される機器が増えれば増えるほど、悪意あるアクターにとっての新たな侵入ポイントが生まれます。また、インターネットに接続される機器の性能が高度になるにつれ、攻撃者の使用するツールやテクニックもより高度になっています。

　またここ数年、サイバー犯罪者がマルウエアの自動展開ツールやボットを利用する事例が増加しています。いずれのツールやボットも簡単に購入できるうえ、操作性も良いため、いまやスキルの低いアクターでも簡単にサイバー犯罪を実行できるようになっています。またそれらのツールやボットの機能も向上しており、組織にとっては検知や防御がますます困難になっています。

　さらにサイバー犯罪者の間では暗号化した通信の利用が増加しており、セキュリティチームにとっては彼らを監視し、追跡することが困難になっています。これに加え、サイバー犯罪者の間では暗号化技術そのものの利用も普及しており、暗号化を悪用した攻撃の検知や防御もこれまで以上に困難になっています。

　これらの傾向は、重要インフラ企業のみならず、あらゆる企業や組織において、これまで以上に優れた脅威インテリジェンスが必要とされている状況を浮き彫りにしています。攻撃が高度になるにつれ、企業は正確かつ適切なセキュリティ情報をタイムリーに提供してくれる脅威インテリジェンスプロバイダーを確保することが重要となります。

4. 国家支援を受けたアクターとサイバー犯罪者の協力関係

　国民国家レベルのアクターと、サイバー犯罪者が協力体制をとる事例が増加しています。両者の協力関係は、広範な領域に被害をもたらす可能性があり、危険な傾向と言えます。国民国家レベルのアクターは、高度なサイバー攻撃を実行するために必要な人材や、潤沢なリソースを持っています。その一方でサイバー犯罪者は、政治ではなく利益を動機に活動しているため、最も高い金額を支払ってくれる相手に自分のスキルを提供する可能性が高いと考えられます。

　両者が手を組むことにより、今後、非常に高度なサイバー攻撃が増加することはもはや避けられません。そして高度なサイバー攻撃は、誰にも気づかれることなくセキュリティツールを回避して行われる可能性があるため、企業はこの傾向を注視し、今後も警戒を強めていく必要があります。

5. あらゆる規模の組織が危険にさらされている中で、特に狙われる中小企業

　脅威アクターの標的は大企業だけではありません。我々がニュースで頻繁に目にするのは大企業に対するサイバー攻撃ですが、実際には中小企業も標的となっています。中小企業の多くは、脅威を検知したり、自社を攻撃から防御するための堅牢なツールを導入していないため、攻撃しやすい標的になっているものと思われます。

　また、2021 年のある調査では、中小企業の 60 ％が「少なくとも 1 回はサイバー攻撃を受けた」と回答していました。この調査で「基本的なセキュリティ対策を導入している」と回答した中小企業がわずか 18 ％であることを考えると、残念ですが驚くべき結果ではないと言えるでしょう。

　「中小企業は規模が小さいがゆえに、攻撃を受けるリスクが高い」ということを考えると、解決策の一つとして、中小企業の経営者がセキュリティの優先順位を上げるということが挙げられます。これは言い換えれば、中小企業はセキュリティにかかる費用をビジネス上の必要経費と見なし、自社とその顧客、データの安全性を確保するためのツールに投資する必要があるということです。

●サイバー犯罪の脅威から自組織を保護するためにできること

　アンダーグラウンドのサイバー犯罪社会では新たな脅威が次々に出現し、その攻撃も高度さを増しています。皆さんの組織がリスクにさらされている今、インシデント発生時に速やかに対応するためには、「最も緊急で対処すべきアラート」を効率的に把握できる手段を導入する必要があります

　世界がますます互いにつながりあい、これまで以上に多くの機器やシステムがインターネットに接続されるようになるにつれ、サイバー攻撃を受ける可能性も増加しています。同時に、サイバー犯罪者が組織化し、攻撃が高度になるにつれ、個人や企業が自衛することがより困難になっています。しかし、進化を遂げているのはサイバー犯罪者だけではありません。サイバーセキュリティも急速に進化しています。そして、皆さんが今後もビジネスで成功してゆくためには、今すぐ行動を起こすことが重要となります。

KELA CEO デービッド・カーミエル
　サイバーインテリジェンス業界で15年以上の経験を持ち、軍と民間の両方でKELAのCEOを務める。 インテリジェンスに関する広範な専門知識と戦略的ビジネスへの理解を兼ね備え、KELAのグローバル展開を推進し、会社の成長軌道を加速させている。 テルアビブ大学機械工学科卒業。