サイバー攻撃の性質は急速に変化している。ジェネレーティブ AI、クラウドの複雑性、地政学的緊張は、攻撃者の武器庫にある最新の武器や促進剤の一つだ。セキュリティの意思決定者の4分の3（74％）は、過去12カ月間だけでも、組織の機密データが「潜在的に侵害された、または侵害された」と回答している。これは、CISO が考えるべきサイバーセキュリティの基準値だ。

攻撃者は生成AIを迅速に武器化し、クラウドの複雑性を侵害する新しい方法を見つけ、地政学的緊張を悪用してより高度な攻撃を仕掛けてくるため、良くなる前に悪化していくだろう。

Forrester の報告書「Top Cybersecurity Threats in 2023」（リンク先のアクセスは顧客に限定されている）は、今年のサイバーセキュリティの脅威のトップについて厳しい警告を発するとともに、その対策について CISO（最高情報セキュリティ責任者）とそのチームに対する規定的なアドバイスを示している。攻撃者は、ジェネレーティブ AI を武器にし、ChatGPT を使用することで、ランサムウェアやソーシャルエンジニアリングの技術を微調整している。

世界的脅威にみられる2つのトレンド

CISO は、従来から存在する脅威への対応を迫られる一方で、新たな脅威を阻止するための準備が整っていないことに気づいている。ランサムウェアやビジネスメール詐欺（BEC）を通じたソーシャルエンジニアリングは、CISO が何年も前から防御に力を入れてきた脅威だ。しかし、セキュリティチームがランサムウェアと戦うために、技術スタック、エンドポイント、ID 管理システムの強化に何百万ドルも投資してきたにもかかわらず、侵害は増え続けている。

一つは、攻撃者がランサムウェアの支払い規模や速度を拡大する新たな方法を模索する中で、サプライチェーン、ヘルスケアプロバイダー、病院を格好の標的にしていることだ。一刻を争うサービスを提供し、長期間のダウンが許されない企業は、すぐにオンラインに戻す必要があるため、ランサムウェアの支払額が大きくなる可能性がある。

Forrester の予測や調査結果は、より新しい脅威が進むにつれて、報告されないままの侵害の割合が増える理由も示している。CISO や企業は、自分たちの準備不足を認めたくはないだろう。セキュリティとリスクの専門家の12％が、過去12カ月間に6件から25件以上の侵害を経験したと回答している。この報告書では、BEC、ソーシャル・エンジニアリング攻撃、ランサムウェアによる侵害を紹介している。AI ベースの防御を破壊しようとする、より致命的な新たな攻撃戦略が登場することになる。

AI によるアップグレードパスが設計されていない、境界線上のレガシーシステムが最も脆弱だ。複雑なクラウド構成など、あらゆる企業の最も弱い部分を利用しようとするサイバー攻撃の新潮流が到来しており、報告された侵害と実際の侵害との間のギャップはますます大きくなっていくだろう。

Forrester が考える今年のサイバーセキュリティの脅威トップランキング

脅威の新潮流に伴い、Forresterは、脅威行為者が最新世代のサイバーセキュリティ防御を打ち破るためにAIの専門知識を拡大し、より致命的な攻撃を行うと予測している。VentureBeat は、エンドポイントと ID 保護の間の安全でないギャップが攻撃者の焦点となる弱いリンクであり、これがすでに起こっていることを知った。

CrowdStrike 社長の Michael Sentonas 氏は、最近のインタビューで、エンドポイント保護と ID 保護の間のギャップを埋める必要性が「今日、人々が対処したいと考える最大の課題の1つ」であると語っている。Georgeと筆者が2023年の RSA で行ったハッキングの暴露セッションは、ID に関する課題の一部と複雑さを示すもので、なぜエンドポイントと ID、そしてユーザがアクセスしているデータを結びつけたのかを説明した。これが重要な問題なのだ。これを解決できれば、組織のサイバー問題の大きな部分を解決することができる。

AI 導入に対する真の脅威が現れる

ジェネレーティブ AI、ChatGPT、およびそれらをサポートする大規模言語モデル（LLM）を使用することで、攻撃者はこれまで不可能だったスピードと複雑さで攻撃を拡大することができる。Forrester は、攻撃者の創造性によってのみ制限されるユースケースは、今後も増え続けるだろうと予測している。

初期のユースケースの1つは、データに毒を入れてアルゴリズムドリフトを引き起こす手法で、メールセキュリティの検出効果や e コマース のレコメンデーションエンジンの収益可能性を低下させるものだ。かつてはニッチな話題であったものが、今や予測・対策が急務の脅威の一つとなっている。Forrester は、多くの組織がこの脅威の直接的なリスクに直面しているわけではないが、AIモデルやアルゴリズムに対する攻撃を防御できるセキュリティベンダーを理解することが不可欠であると指摘している。Forrester は報告書の中で、「自社の AI 実装を保護する必要がある場合は、HiddenLayer、CalypsoAI、Robust Intelligence などのベンダーを検討してほしい」と推奨している。

クラウドコンピューティングの複雑さは増すばかり

クラウドサービスは94％の企業が利用しており、75％がセキュリティが最大の関心事と回答している。企業の実に 3分の2がクラウドインフラを導入している。Gartner は昨年、クラウドシフトが今年の企業 IT 支出に1兆3千億ドル以上、2025年には1兆8千億ドル近くに影響すると推定した。2022年には41％だったIT支出は、2025年には51％が パブリッククラウドに移行すると言われている。また、2022年の57.7%から、2025年にはアプリケーションソフトウェア支出の65.9%をクラウドテクノロジーが占めるようになる。

これらの予測は、クラウドコンピューティングとストレージインフラの複雑化が、いかに重大なセキュリティリスクをもたらすかを浮き彫りにしている。Forrester は、安全でない IaaS インフラストラクチャの構成、マルウェアレス攻撃や権限の昇格、構成のドリフトは、CISO とそのチームが認識し、強化する必要がある多くの脅威の表面の一部であると指摘している。

報告書は、企業が弾力的で堅牢なクラウドガバナンスを構築し、IaaS プラットフォームのネイティブセキュリティ機能、クラウドセキュリティ姿勢管理、SaaS セキュリティ姿勢管理などのセキュリティツールを使用して、脅威と侵害の試みを検出し、修復することを推奨している。

Forrester は報告書の中で次のように述べている。

IaC（Infrastructure as Code）セキュリティ（Checkmarx の「KICS」 や Palo Alto Networks の「Bridgecrew」など）を継続的改善／継続的導入パイプラインに連携したり、統合開発者環境でのコーディング中にさらに早い段階で連携したりすることで、Terraform、Helm、Kubernetes マニフェストファイルの設定ミス（暗号化されていないストレージバケットや弱パスワードポリシーなど）を検知する IaC スキャンも活発化してきている。

地政学的な脅威が大きく立ちはだかる

Forrester は、ロシアによるウクライナ侵攻とウクライナのインフラに対する執拗なサイバー攻撃を、直ちに世界的な影響を与える地政学的サイバー攻撃の例として挙げている。Forrester は、国民国家の行為者は、技術的優位性を得るために、スパイ活動、交渉のテコ入れ、資源管理、知的財産の窃盗などの地政学的目的のために、民間企業へのサイバー攻撃を今後も使い続けると助言している。

Forresterは、企業への攻撃を増加させる可能性のある火種として、中国とアメリカの間で続く外交・貿易の緊張を指摘している。報告書は、2022年後半にアメリカが中国の半導体チップの輸出と通信機器の輸入を制限したことを挙げている。中国は2023年初頭にアメリカの防衛関連業者を制裁した。ロシアはヨーロッパの貿易禁止と輸出規制に直面している。これらの対立は民間企業に影響を与える可能性がある。北朝鮮が 日本から7億4,100万米ドル相当の仮想通貨を盗んだのも、地政学的脅威が国家全体の財政状態を急速に不安定にすることを示す例である。

ランサムウェアが組織を襲い続ける

Forrester によると、ランサムウェアは依然としてサイバー脅威のトップであり、攻撃者はデータの漏洩を防ぐために二重の恐喝を要求している。攻撃者はまた、侵害された企業の顧客に対しても、データの非公開を求める身代金を要求し、企業の評判と信頼をさらに損なっている。

Forrester は、重要なインフラやサプライチェーンを標的としたランサムウェア攻撃を目の当たりにしており、遅延によって数百万米ドルのコストがかかる可能性がある。攻撃者は、サプライチェーンを混乱させることができれば、ランサムウェアによる高額な支払いを求める要求が、長期間のダウンが許されない企業によってすぐに満たされることを知っている。

最も厄介なのは、2016年から2021年の間に、病院のランサムウェア攻撃が倍増し、人命を危険にさらすという Forrester の調査結果だ。ランサムウェアは、 北朝鮮がスパイ活動やミサイル開発プログラムの資金を調達するために使う一般的な戦術である。

これを受けて、30カ国以上が2021年10月に Counter Ransomware Initiative（CRI）を結成し、世界的なランサムウェアに対抗している。オーストラリアは、CRI 戦略の一環として、ランサムウェアに取り組む国際ランサムウェア対策タスクフォース（ICRTF）を主導している。Forrester は、企業も「同様にランサムウェアの防御を優先し、CrowdStrike や Mandiant  のようなターゲットを絞ったランサムウェアのインテリジェンスを持つ外部の脅威情報サービスプロバイダーに加入すること」を推奨している。

また、重要インフラ企業のセキュリティおよびリスク管理チームに対し、2022年、重要インフラ向けサイバーインシデント報告法に従い、72時間以内にサイバーインシデントを、24時間以内に身代金の支払いを CISA に報告する準備をしなければならないことを喚起している。

保険金請求で BEC ソーシャルエンジニアリングがランサムウェアのトップに

FBI の犯罪苦情センターは、2021年に企業が被ったBECソーシャルエンジニアリングの損害額を24億米ドルと報告している。BEC 攻撃による不正送金被害は、2022年にはランサムウェア攻撃を抜いて全種類の被害額でトップになった。BEC ソーシャルエンジニアリング攻撃は、人為的なミスを利用したものだ。フィッシングを利用して、認証情報を盗んだり、アカウントを不正利用したりする。

Forrester は、BEC ソーシャルエンジニアリングキャンペーンが新しい段階に入り、被害者に行動を起こさせるために複数のコミュニケーションチャネルを組み合わせることを模索していると指摘している。キャンペーンによっては、正当性を高めるために CAPTCHAプロセスを導入しているものもある。同報告書は、電子メールの認証にDMARC（ドメインベースのメッセージ認証、報告、適合性）を採用するだけでは不十分であるとアドバイスしている。企業は、ソーシャルエンジニアリングによる攻撃が成功するリスクを減らすために、データ駆動型のアプローチで行動変容を図り、トレーニングやテクノロジーを追加して軌道修正する必要がある。

セキュリティチームは準備が必要

サイバーセキュリティの脅威に関する Forrester の最新の報告書は、世界中の組織に対して、新たな攻撃戦略の時代に備えるよう厳しい警告を発している。攻撃者は、ジェネレーティブ AI を武器に、クラウドの複雑さを利用し、地政学的緊張を利用して、より高度な攻撃を仕掛ける新しい戦術を含め、その技巧に磨きをかけ続けている。

企業は、BEC ソーシャルエンジニアリングやランサムウェア攻撃を封じ込めるためにサイバーセキュリティの予算を確保し続けているが、AI モデルやアルゴリズム、それらが使用するデータに対する脅威を予測、特定、対処する方法についても計画を開始する必要がある。脅威インテリジェンスを向上させるため、セキュリティチームは、次世代のサイバー攻撃を阻止するために、これらの多様な取り組みを統一する必要がある。

【via VentureBeat】 @VentureBeat

【原文】