サイバーセキュリティにおける最悪のシナリオは「不意打ちを食らうこと」です。未知の脅威、死角からの攻撃、自社ネットワークに潜んでいたハッカーなど、「分からないもの」こそが企業を破滅に追い込む可能性があるのです。そのベールを剥がすことが、脅威インテリジェンスの役目です。
2022年、企業は、高度な持続的脅威(APT)、冷酷なサイバー犯罪者、所属組織に不満を持つインサイダー、ハクティビズムや分散型サービス妨害(DDoS)攻撃の復活など、さまざまな脅威アクターに立ち向かいました。妨害工作、スパイ活動、金銭などさまざまな目的の脅威アクターが、絶えず戦術やテクニックを変え、ツールの共有なども行う中、メディアの見出しやサイバー領域において中心となったテーマは地政学的問題でした。
そして2022年、官民が協力し、情報を共有することで、組織の防御力は強化されました。
PwCのレポート「サイバー脅威:2022年を振り返る」では、昨年のサイバー脅威環境における主な脅威アクター、トレンド、ツール、目的について考察しています。また、侵入に使用された戦術・技術・手順(TTP)に関する直接的かつ詳細な洞察を含むインシデント対応ケーススタディも掲載しています。そして、組織のシステムやネットワークをスキャンする防御者を支援し、悪意ある脅威アクターの特定に役立つ検出ロジックを、レポート全体にわたって提供しています。
本レポートから2023年に期待される事項を踏まえ、PwCは今後も、クライアントが敵対的サイバー活動に対応するだけでなく、機先を制し優位性を保つために、尽力していきます。
脆弱性と脅威アクターのアジリティ
2022年
- ApacheのLog4j JavaロギングフレームワークにおけるLog4Shellの脆弱性は、事業クラウド環境の93%、数億台の端末に影響を与えたと考えられています。さまざまなサイバー脅威がこの脆弱性を悪用する機会に飛びつき、組織は環境内で影響を受けるインスタンスの特定に奔走しました。
- さまざまな目的や洗練度の攻撃者が、汎用の共有ツールやフレームワークを用いて、活動の加速化、最適化を図りました。また、攻撃者は、ソーシャルエンジニアリングや多要素認証(MFA)の回避を通じてユーザーやセキュリティ担当者を消耗させるべく、動きの速い、総当たり的な試みを行っています。
- 一部の脅威アクターは、スパイ活動や知的財産の窃取を難読化する優れた方法を開発しており、脅威アクターが一体、何者で何を盗んでいるのか、その特定がより困難になっています。こうした脅威アクターが被害組織を危険にさらし、機密情報を流出させる際、自らの痕跡を隠蔽する方法として、「難読化サービス(obfuscation-as-a-service)」プロキシの使用が定番化してきたのです。
今後の展望
攻撃者は、Log4Shellやその他の脆弱性について、パッチ未適用のシステムを探し続け、悪用していくでしょう。また、ソフトウェアライブラリの脆弱性も、今後1年間、脅威アクターにとってエクスプロイトの主だった標的となる可能性があります。
パッチ適用体制の不備や一貫性のなさがネットワーク侵入の主な成功要因として挙げられます。成功した攻撃の大半は、メーカーや開発者がすでに修正を施し、あとは顧客が実装するだけ、という状態の脆弱性を悪用したものです。ゼロデイ攻撃はまだ比較的まれなケースです。攻撃者は、ネットワークにアクセスするために必要な最低限の行為しか行わず、不必要にハイエンド機能を消費することはありません。
したがって、PwCは、攻撃者による侵入に対するハードルを高めるために、セキュリティ戦略において多層防御と厳格なパッチ適用を最優先に実施することを推奨します。
地政学的問題および脅威環境
2022年
- スパイ活動や妨害工作を目的とする脅威アクターが、戦争における従来の戦術を補完するものとして攻撃的サイバー能力を使用しました。標的となったのは、敵国を支援していると思われる国や民間企業であり、デジタルおよび物理的なインフラを弱体化させることで、戦略的優位性を得ようとしたのです。
- 脅威アクターは知的財産の窃取による経済的覇権争いを続け、サイバー攻撃によってサプライチェーンに関する足元の課題や財政問題はより悪化しました。脅威アクターは、調達したインフラや侵害した資産を利用してサプライチェーンに侵入し、妨害活動を行うとともに、世界中のセキュア通信を弱体化させました。主な標的は、ハイエンドのテック系企業や通信、製造、物流セクターなどでした。
今後の展望
セキュリティ機関や法執行機関は引き続き、民間セキュリティ業界とともにAPTの活動に対抗し、その活動を阻止すべく公開情報を活用していくでしょう。極めて高度な技術を有する脅威アクターが、スパイ活動や知的財産の窃取対象組織への侵害に必要となる規模のアクセスを実現しようとする中、今後一層、顧客ネットワークへの特権アクセスを有するクラウドサービス、マネージドサービス、ID・アクセスマネジメント(IAM)プロバイダーが狙われることになると予想されます。
「サイバー脅威:2022年を振り返る」レポート本文では、これらの重要な事象やトレンドについて、より詳しく解説しています。
サイバー犯罪の進化
2022年
- ランサムウェアは2022年も世界中の産業にとって大きな脅威であり続けました。脅威アクターはセキュリティ対策を回避し、製造から小売、さらにそれ以外のセクターでもネットワークの感染に成功し、被害者から高額な身代金を奪うことに成功しました。政府や民間企業は、制裁措置やブラックリスト作成でサイバー脅威に対応し、少なくとも1つの主要なランサムウェアグループを活動停止に追い込みました。しかし、ランサムウェアグループはもともと分裂的・流動的であるため、多くのサイバー犯罪者は、自分たちのスキルや能力をあまり知られていない他のブランドや活動で展開するようになっただけでした。
- 認証情報を窃取するマルウェアがサイバー犯罪のエコシステム内で急増し、アクセス・アズ・ア・サービス(AaaS)、その他の汎用化したサイバー犯罪製品の需要が高まり、複数の業界や国にまたがるサイバー不正やばらまき型攻撃が活発化したことで、その勢いが加速しました。
今後の展望
政府は、ランサムウェア、その他の脅威アクターおよび強奪・窃取された資金へのアクセスや使用を防ぐ方法として、引き続き制裁措置を図るものと予想されます。汎用化した「サービス提供型(as-a-Service)」サイバー犯罪エコシステムを用いた、より高頻度の攻撃に対して、組織は防御策およびセキュリティ戦略の構築が一層求められるでしょう。
セクター
各脅威アクターによって目的や技術力は異なり、さまざまなセクターで活動やばらまき型攻撃を仕掛けています。2022年には、あるセクターにおける攻撃が他の産業に連鎖し、より大きな損害が発生する事例も見られました。これは、デジタル化が進むサプライチェーンや産業間の相互接続の増加によるものです。
セクターをクリックすると、PwCの脅威インテリジェンスが2022年のケーススタディと社内分析からまとめたセクター別の目的を確認いただけます。
航空宇宙・防衛
目的:スパイ活動、サイバー犯罪、妨害工作、ハクティビズム
事業が軍事に関わること、また用いられるテクノロジーが高度であることから、機密性や重要性が非常に高いこのセクターは、毎年サイバー脅威の格好の標的となっています。しかし2022年は、特に欧州において脅威アクターが同セクターの組織やその下請業者への侵入を盛んに仕掛け、厳しい1年となりました。その目的は多岐にわたっています:
スパイ活動目的の脅威アクターは、研究開発の秘密事項や軍事計画・能力を得ようとしていました。
ライバルの防衛力弱体化を望む妨害者は、研究の阻害や生産停止を図ろうとしたと思われます。
ランサムウェア攻撃者は、高価値の防衛関連契約企業が機密データ復旧に身代金を支払うものと見込んで積極的に仕掛けました。また、身代金要求データをリークサイトに公開するとして、被害組織に2回目の脅迫を行い、より高額な要求を行うケースも多く見られました。
※本コンテンツは、CYBER THREATS 2022: A YEAR IN RETROSPECTを翻訳したものです。翻訳には正確を期しておりますが、英語版と解釈の相違がある場合は、英語版に依拠してください。
