新年度に押さえておきたい５つのセキュリティ脅威予測

2023年3月29日掲載

春は始まりの季節。人や組織が変わる新年度はセキュリティの面でも今後の戦略を見直す絶好のタイミングです。しかし、セキュリティ対策はやるべきことが多く新しい脅威も次々と生まれるため、何から手をつければいいか悩まれている方も多いのではないでしょうか。

本記事では今後のセキュリティ強化の中でも鍵となるであろう「ランサムウェア」「製造・重要インフラ」「サプライチェーンリスク」「脆弱性」「ソーシャルエンジニアリング」の５つのトピックに焦点を当てて、現状と今後の予測の解説をしていきます。

１．さらに凶悪化するランサムウェア攻撃

サイバー攻撃は年々増加、巧妙化の一途を辿っています。その中でもランサムウェアが猛威を振るっていて、日本国内でも大規模な被害が相次いでいます。そしてこの流れは今後もしばらく続きそうです。ランサムウェアの攻撃手法としては、データの暗号化と盗んだ情報の暴露を組み合わせる二重脅迫と呼ばれるものが知られています。しかし、被害にあっても身代金を支払うべきではないという原則が多くの方に認知されているためか、手法は巧妙になっているものの攻撃者がやすやすと身代金を入手できているわけではありません。また、米国では政府レベルで身代金の支払いを規制する動きも進んでいます。

そのため、何としても身代金を支払わせたい攻撃者による脅迫は今後ますます熾烈なものとなるでしょう。すでに二重脅迫に加え、被害企業のシステムへのDDoS攻撃や顧客などの利害関係者への連絡を組み合わせた多重脅迫が確認されています。また、単に盗んだ情報を暴露するという脅迫だけでなく、情報を販売しマネタイズするためにも情報の窃取に重きを置いた攻撃が主流となっていくと予測されます。

現在のランサムウェア攻撃は分業化やサービス化が進み、初期アクセスブローカー（IAB）と呼ばれる標的への不正アクセス手段を販売する存在も台頭しています。今後のランサムウェアへの対策には、侵入後の早期の封じ込めや最新の対策ソフトによって実行を防止することに加え、脆弱性対策をはじめとした侵入されない環境づくりも含めた網羅的なアプローチがますます重要になるでしょう。

２．製造・重要インフラへの脅威が現実のものに

ロシアによるウクライナ侵攻などにより国際情勢が混迷を深める中、国家や重要インフラを対象としたサイバー攻撃も脅威となっています。実際に日本においても政府や企業のWebサイトへのDDoS攻撃が発生しました。日本ではG7広島サミットや2025年の大阪・関西万博などの重要イベントも控えています。サイバー空間での争いが激化する中、国の安全保障や経済的影響の大きな重要インフラに対するサイバー攻撃のリスクもかつてないほど高い状態となっており、官民挙げた対策の強化が求められています。そういった中で昨年改定された政府による「重要インフラのサイバーセキュリティに係る行動計画」では、経営主導の対策強化の重要性について言及されています。このように、国やさまざまな業界団体主導の規制やガイドライン整備といった具体的な取り組みが今後活発になっていくと考えられます。

また、DXの推進に伴って製造業では従来クローズドな環境にあった工場システムをインターネットと接続していく動きが進んでいます。そのため、IT環境に加え工場などのOT(Operational Technology：工場などの設備、システムの制御、運用技術）環境のセキュリティ強化もより重要になっています。今後は、IT、OT相互の接続も当たり前となり今後はその境界がより曖昧なものとなっていくでしょう。そのため、経営層やセキュリティ部門に加え、工場部門、DX推進部門などステークホルダーが連携しセキュリティ強化を進めていくことが今まで以上に求められるのではないでしょうか。

３．進むサプライチェーンリスクの管理強化

取引先からの情報漏えいや、サプライチェーン攻撃と呼ばれる取引先を踏み台にした攻撃が発生するなど、昨今サプライチェーン全体でのセキュリティ対策の重要性が高まっています。その中で、大手企業を中心に取引先のセキュリティ対策レベルを確認する動きが進んでおり、今後この流れは一層加速するでしょう。また、大手企業だけでなく中小企業においても、取引にあたってこのような調査を受けるケースが増えてくるでしょう。今後は取引の前提として今まで以上にセキュリティ対策の強化が求められることになるだけでなく、取引先からの確認、調査へ対応するための現状把握・明文化の継続的な実施や、第三者機関による認定を受けるといった取り組みの強化もますます重要になるでしょう。

４．狙われる脆弱性や設定ミス、その対象が大きく拡大

VPN機器の脆弱性を狙った侵入をきっかけとしたランサムウェア攻撃が相次いで発生するなど、脆弱性を放置するリスクに対する危機感をあらためて感じている方も多いのではないでしょうか。脆弱性はVPN機器やPCに限らずあらゆるOS・ソフトウェア上で起こり得る問題です。昨今注目を集めているサイバーハイジーンと呼ばれるIT空間の衛生管理を実現するアプローチにおいても脆弱性管理は中心的な位置付けとなっています。

また、脆弱性だけでなく設定ミスも攻撃を容易に成功させてしまうリスクがあるほか、クラウド環境ではミスひとつでインターネットに情報が公開されてしまうことが起こり得るため細心の注意が必要です。加えて、クラウド利用の拡大などにより脆弱性や設定状態を管理しなくてはいけない範囲は大きく広がっています。また、WebではAPIが普及しており今後APIを狙った攻撃も増加していくと考えられます。アタックサーフェス（攻撃対象領域）と呼ばれる標的となる範囲、すなわち守るべき対象が拡大し続ける中では、今後はいかにそれらを網羅的かつ効率的に管理、防御していく仕組みを作っていけるかが重要になるでしょう。

５．ソーシャルエンジニアリングの巧妙化、AIの活用も

フィッシングやビジネスメール詐欺（BEC）といった人間の隙やミスに付け込む攻撃手法であるソーシャルエンジニアリングでは、常に新しい手口が生み出されています。例えば、WebサービスのID、パスワードが漏えいした場合に備えて多要素認証（MFA）を活用している方は多いと思います。しかし、ID、パスワードによる認証のあと、ログイン承認するための確認メッセージをユーザに執拗に送り、相手が間違って承認してしまうことを狙う、MFA疲労攻撃と呼ばれる手法が最近では増加しています。

また、テクノロジーの進化について考えることも重要です。特に、加速度的な進化を続けるAIはサイバーセキュリティの防御において大きな役割を果たす一方で、攻撃者によって悪用されてしまうリスクもあります。今後は特定の人物に成りすました音声や画像などを作成するディープフェイクを利用した、より悪質な攻撃が増加していくことが予想されます。また、世界中で対話型AI「ChatGPT」が話題となっていますが、自然な文章が容易に作成できることからフィッシングへの悪用も懸念されています。このように攻撃の手法が巧妙化するだけでなく、今後はテクノロジーを活用することで犯罪者とターゲットの間におけるコミュニケーション自体の質も劇的に高まっていくことが予想されるため、技術的な対策に加えて最新の手口を踏まえたユーザ教育を継続的に実施していくことが重要になるでしょう。