F-Secure（エフセキュア）は12月15日、同社のセキュリティエキスパートによるサイバー脅威を取り巻く環境に関する2020年の総括と2021年の予測について発表した

1.IoTデバイスへの攻撃は更に増加

Tom Van de Wiele（トム・ヴァン・デ・ヴィーレ）
F-Secure Consulting　プリンシパルセキュリティコンサルタント

インターネット接続デバイスのセキュリティとプライバシーに対処する効果的な品質管理対策が浸透するまでは、今後1～3年の間に別のワームやMiraiのような攻撃が発生し、定期的に再発すると考えられる。

2021年に向けて、IoTデバイスの透明性（通信先や送受信するデータ）に関しては、大きな変化はないだろう。ユーザーがスマートデバイスを購入する際、攻撃者がデバイスやユーザーのデータ／プライバシーに対してどのようなレバレッジをかけることができるのかを知らないことは大きな懸念だが、こうした状況は今後何年も継続する。

IoTは何年にもわたって私たちのプライバシーに大きな影響を与え、データ漏洩による個人情報盗難のリスクを高めるということを忘れてはならない。デバイスメーカーはユーザーに関して驚くべき量の情報を入手できる立場にあり、メーカーはこれらの情報をもとに新たな収益源やビジネスを開拓することができる。

EU（欧州連合）のような機関は、マイクのデフォルトでのオフ設定など、プライバシーに関する法律を施行しようとしているが、ソフトウェア開発プロセスの大部分は、どのような技術が使用され、どのように使用され、どのくらいの期間サポートされ、どのような情報が収集されて第三者に送信されるのかについて、何の透明性もないままに行われている。そして、DDoSボットネット運用者は、脆弱性を抱える特定のブランド／モデルのデバイスの数の多さにつけ込んで大規模なボットネットを構築して、破壊的なオペレーションのために使用するサイバー攻撃者たちに販売していくことになる。

2.ランサムウェアを使用する新しい攻撃が登場

Maria Patricia Revilla Dacuno（マリア・パトリシア・レヴィラ・ダクノ）
戦術防衛ユニット　リサーチャー

「Buer」と「BazarLoader」という、Ryukランサムウェアを展開するための新しいローダーの登場は、2020年における大きな出来事の1つとなった。Emotetの威力の大きさが実証されたことが、新しい「ローダー・アズ・ア・サービス」につながったと推測される。Emotetが侵害されたWebサイトを使用していたのに対して、新しいローダーはペイロードを配信するためにGoogle Docsなどのクラウドストレージを使用している。2021年にはランサムウェアを使用するサイバー犯罪者に対して新しいツール／サービスを提供する者が増加するだろう。

また、パスワード保護された悪意のある添付ファイルを利用するキャンペーンが観測されているが、サイバー攻撃者たちはこの手法を使用して、悪意のある添付ファイルがサンドボックスによる自動分析を受けないようにしたり、セキュリティツールによるスキャンを受けないようにしたりしている。この手法は2020年のEmotetのキャンペーンにも使用されていたが、2021年以降は同様の手法を用いた攻撃が増加することが予想される。

3.リモートワークにおけるシステムの不備／デバイスの脆弱性／対人関係の希薄さを突いた攻撃が増加

Vic Harkness（ヴィク・ハークネス）
F-Secure Consulting　セキュリティコンサルタント

リモートワークが奨励されている中、企業は新しいワークスタイルに対応していくことを余儀なくされているが、技術的／社会的レベルの両方においてより大きな攻撃可能領域を生み出し、2020年はランサムウェア攻撃が増加する結果となった。

コロナ以前にリモートワークに対応できていなかった企業が付け焼き刃で実施したリモートアクセスは、攻撃者が内部ネットワークに侵入するための演習場と化している。また、企業内の対人関係の希薄さに一因がある可能性がある。リモートワーク環境においては、自社の技術サポート部門の担当者だと名乗る人物が本物かどうか、判断が難しくなるケースが出てきている。大きな変化が生じるタイミングは、攻撃者にとっては大きなチャンスとなり得る。

「オフィスへの出社の際は、このリンクをクリックして個人情報を入力のうえ、出勤日をお知らせください」や「社員のリモートワークの状況を把握するため、このツールをインストールしてください」など、攻撃者たちは様々な罠を仕掛けてくることが考えられる。リモートワークがニューノーマルとなるまでは、攻撃者は社員を操り安全でない行動を取らせ、自分たちに有利な状況を作り出していくことが予想される。

Calvin Gan（カルビン・ガン）
戦術防衛ユニット　シニアマネージャー

新型コロナウイルスの感染拡大／ロックダウン／リモートワークなどの要素により、働き方改革が着々と進んでいる中、Eメールは依然としてマルウェアの主要な感染経路となっており、特に個人所有のデバイス（PC、スマートフォン、タブレット）が業務に使用される場合、ソフトウェアの脆弱性が悪用され、更にメール経由での感染が広がる可能性があると言える。より多くのCVE（共通脆弱性識別子）が発行され、ショッピングアプリや配送追跡アプリなど、多くのコンシューマが使用するソフトウェアの脆弱性が発見されることを期待しているとともに、セキュリティリサーチャーはサイバー犯罪者より先にこうした脆弱性を発見／修正することにより注力していくであろうと考える。

Teemu Myllykangas（テーム・ミリカンガス）
F-Secure Radar　ソリューションディレクター

2021年になっても、多くの企業は、パンデミックの初期に急遽採用したしたリモートワークの制度を、少なくとも部分的には維持しようとしていくものと考えられる。このような状況下で新しい手法や技術を導入しても、セキュリティ上上手くいくことはほとんどない。2021年には、攻撃者は企業がまだ対処できていないリモートワークにおけるセキュリティの脆弱性を悪用する方法を模索している可能性が高く、今後の攻撃に対処するうえで、企業はアプリケーションとデータを保護し続けるために、新しい分散型ネットワークとクラウドの導入を推進し、より適切にセキュリティを担保していく必要がある。

4.政府／司法機関による、より積極的なランサムウェア対策への関与

Callus Roxan（カルム・ロクサン）
MDR　シニアレスポンス調査官

近年のランサムウェアの進化は、技術的な進化ではなく、ランサムウェアとデータの流出を組み合わせて攻撃者が収益源を多様化／最大化するなど、運用面での進化がほとんどである。2021年には多くの政府／司法機関がこうした動きを追い、法的手段を用いてランサムウェアとの戦いに、より積極的に関与していくことが予想される。

また、特にいくつかの業種が攻撃者の標的となることが考えられる。例えば、特に機密性の高いデータを扱う企業（法律関係など）や、製造業などランサムウェアの被害を受けやすい業種が想定される。また、企業のランサムウェア対策費が増加していくため、当局はより高い意欲を持って攻撃に対処しようとするだろう。

しかし、サイバー犯罪のエコシステムは分散化され、様々な断片化された性質を持っているため、標的型攻撃に対してはどのような対策を講じても完全に防ぐことは難しいと言える。例えば、攻撃者への身代金の支払いを制限しようとする取り組みは、響きのいい措置ではあるが、企業が直面するビジネス上の現実と、サードパーティが身代金支払いのエージェントとして介在可能であることから、このような戦略の有効性は疑問視されるものとなる。

■エフセキュア
https://www.f-secure.com/en/welcome（英語）
https://www.f-secure.com/ja_JP/（日本語）