カスペルスキー2022年脅威予測

セキュリティベンダの2022年脅威予測。今回はカスペルスキー。
Advanced threat predictions for 2022
https://securelist.com/advanced-threat-predictions-for-2022/104870/

●2021年予測の確認
カスペルスキーは毎年の予測の際に昨年を振り返って整理している。

・APTアクターは、サイバー犯罪者から初期のネットワークアクセスを購入
昨年、カスペルスキーはAPTとサイバー犯罪が運用レベルでより密になると予測した。APTの脅威主体は、ハッカーが侵入した企業へのアクセス権を販売するディープウェブ・マーケットを活用すると予想した。この予想は、ほんの数日前に実現した。ブラックベリー社のレポートによると、Zebra 2104は、ランサムウェアの運営者に一部の被害者への最初の足がかりを提供しているとしている。興味深いことに、情報収集に専念しているStrongPity APTも彼らのサービスを利用している。APTとサイバー犯罪との間には、もっと多くの相互作用があるのかもしれない。

・サイバー戦略の一環として法的手段を用いる国の増加
各国政府が敵対的なAPTグループの活動に注目を集めるために「名指しして、さらしものにする」ようになると予測したが、この傾向はさらに進化している。また、敵対的な活動を混乱させ、罰するために、各国が法を全面的に行使し始めるだろうと予測したが、その通りとなった。
たとえば、4月15日、ホワイトハウスは、ソーラーウインズのサプライチェーンへの攻撃について、ロシアを正式に非難しました。この発表に伴い、財務省は攻撃活動の支援に関与したとする複数の企業に制裁を科しました。

サイバー犯罪が外交手段ではなく、起訴などの法的手段で処理されるようになった。

・より多くのシリコンバレー企業がゼロデイ・ブローカー対策に乗り出す
昨年の予測を発表した直後、マイクロソフト、グーグル、シスコ、デルは、フェイスブックとともにNSOに対する訴訟を開始した。この訴訟は現在も継続しており、私たちが知る限り、他のゼロデイソフトや侵入ソフトのベンダーに対する追加の訴訟は始まっていない。
11月3日、米国商務省は、「サイバーツールの売買」を理由に、米国の国家安全保障に反する活動を行ったとして、複数の企業（NSO、Positive Technologies、COSEINC、Candiru）をEntity Listに追加し、ゼロデイ市場に非常に強いシグナルを送った。

・ネットワークアプライアンスへの攻撃増加
2021年には、APT31が仕組んだキャンペーンで、感染したSOHOルーター（具体的にはPakedge RK1、RE1、RE2モデル）のネットワークを活用し、匿名化ネットワークとして、またC2をホストするために使用していた。

・5Gの脆弱性の出現
2021年には5Gに関連する製品、あるいはプロトコル自体に脆弱性が発見され、公開されることになるだろうと予想し、その通りとなった。

・脅迫と金の要求
2019年から搭乗した新しいランサムウェアの戦術の威力はすさまじく、犯罪者のプレイブックに欠かせないものとなった。

・より破壊的な攻撃
2021年の最も象徴的なサイバーイベントの一つは、Colonial Pipelineへのランサムウェア攻撃だった。2021年7月には、イランの鉄道システムが麻痺させられた。

・攻撃者は引き続きパンデミックを利用
2020年には、COVID-19ワクチンの開発に携わる学術機関や研究センターを標的とした複数のAPTグループが確認された。

●2022年の予測
・民間企業が新たなAPTプレーヤーの流入をサポート
民間ベンダーが開発した監視ソフトウェアの利用が注目されている。その一方で政府の規制強化の動き出ている。2021年10月、米国商務省産業安全保障局（BIS）は、商用監視ソフトウェアに輸出許可が必要な場合を定義する暫定最終規則を導入した。
一方、マルウェアベンダーや攻撃的セキュリティ業界は、旧来のプレーヤーだけでなく、新しいプレーヤーの活動を支援することを目指している。

・幅広い攻撃にさらされるモバイル機器
現在、モバイル機器で最も普及しているOSは、iOSとAndroid（およびAndroid/Linuxベースのクローン）の2つ。アプリに関するポリシーの違いから、2つのプラットフォームを標的とするマルウェアの種類が大きく異なる。Android端末は多くのサイバー犯罪者のマルウェアのターゲットとなり、iOSは先進的な国家が支援するサイバースパイ活動の標的となっている。2021年には、Pegasus Projectによって、iOSのゼロクリックによるゼロデイ攻撃が見つかった。また、報告されたiOSのゼロデイ脆弱性は、どの年よりも多かった。

モバイル機器は理想的な攻撃対象となっている。なにしろ所有者と同じ位置におり、所有者のプライベートな生活に関する詳細情報が登録されており、感染の防止や検出が非常に困難なのだ。しかもPCのようなセキュリティ製品をインストールすることはできない。iOSではそのような製品は機能しないか、存在しません。これは、APTにとって非常に大きなチャンスであり、見逃すことのできない。2022年には、モバイル機器を狙ったより高度な攻撃が行われるようになる。

・サプライチェーンを狙った攻撃の増加
今年は、サプライチェーンを狙った攻撃が目立った。サプライチェーン攻撃は攻撃者にとっては、他の多くの標的への足がかりを一挙に得ることができるため、特に価値がある。そのため2022年以降もサプライチェーンを狙った攻撃は増加傾向にあります。

・在宅勤務の継続的な利用
パンデミックにより普及した在宅勤務は攻撃者の格好の標的となっている。ソーシャルエンジニアリングを利用して認証情報を取得したり、保護されていないサーバを探して企業のサービスをブルートフォース攻撃したりすることが行われている。さらに企業のITチームが用意した機器ではなく、自分の機器を使う場合、より脅威は増す。

・META地域、特にアフリカにおけるAPTの増加
地政学的緊張の高まりによって、スパイ活動を中心としたサイバー攻撃活動が増加している。中東とトルコでは、2020年1月以降、地政学的な緊張が著しく高まっており、今後もその傾向が続く。
アフリカは最も急速に都市化が進んでいる地域であり、何百万ドルもの投資を集めており、多くの国は、海上貿易に関しては戦略的な立場にある。そのため2022年にはMETA地域、特にアフリカで大規模なAPT攻撃が発生すると考えられる。

・クラウドセキュリティとアウトソーシングサービスに対する攻撃の爆発的増加
オンラインドキュメント編集、ファイルストレージ、電子メールホスティングなどのアウトソースサービスなど幅広い範囲に影響がおよぶリスクがある。サードパーティのクラウドプロバイダーには、国家機関が注目するほどのデータが蓄積されており、高度な攻撃の主要ターゲットになる。

・低レベル攻撃の復活：ブートキットが再び注目を集める
カスペルスキーが2021年に発表したレポートによると、ブートキットに関する攻撃研究は健在。ステルス性による利益がリスクを上回ったか、低レベルの開発がより身近になったかのどちらかである。2022年には、この種のより高度なインプラントが発見されると予想される。

・各国が許容できるサイバー犯罪行為を明確化
この10年間でサイバースペースがますます政治的になってきた。昨年、カスペルスキーは敵国の作戦にコストをかけるために、法的起訴が西側諸国の武器の不可欠な部分になるだろうと予測した。
しかし、問題は自国へのサイバー攻撃を非難する国が、同時に自らもサイバー攻撃を行っていることである。抗議の正当化のために、許容できるサイバー攻撃とそうでないものとの区別をつける必要がある。2022年には、いくつかの国がサイバー犯罪の分類法を発表し、どのような種類の攻撃ベクトル（例えば、サプライチェーン）や行動（例えば、破壊的、民間インフラへの影響など）が禁止されているかを正確に詳述すると考えられる。