セキュリティ最新ニュース SECURITY NEWS

  • このエントリーをはてなブックマークに追加

Security

2019年のセキュリティトレンド ―サプライチェーン攻撃、IoTエクスプロイトが活発に

2018年が終わりました。誰もが先々のことに意識を向け、2019年に起きる出来事について考えていることでしょう。

F-SecureのJanne Kauhanenは、2018年を振り返り2019年がどのような年になるか専門家を集めて話し合うべく、昨年暮れにCyber Security Saunaを開催しました。この議論の内容は、ポッドキャストやこちらの記事(外部リンク)から確認できます。
F-Secureの社員、Laura Kankaala、Artturi Lehtio、Adam Sheehan、Andy Patel、Tom Van de Wieleの5名が、2019年に注目すべき点として挙げた内容を紹介します。

サプライチェーン攻撃は増加する

サービス技術部門のリーダーArtturi Lehtioは、近年サプライチェーン攻撃がさらに活発化しており、2019年もこの傾向が続くと予測しています。
サプライチェーン攻撃の中で最も有名なものと言えば、2017年のNotPetyaのランサムウェア攻撃が思い浮かぶのではないでしょうか。
しかしながら、サプライチェーン攻撃にはランサムウェアを用いたものだけでなく、非常に多くの方法があるとArtturiは指摘しています。例としては、顧客のデータを盗み取るためにサービスプロバイダを攻撃したり、ユーザーが日頃信頼している情報を操作したりすることが挙げられます。オンラインサービスを変更することもセキュリティ上のリスクとなりますが、そのことをユーザーは認識していません。

企業は事業を進める際、自社の管理外のリソースにも大きく依存しています。しかしその依存度や信頼性について意識することは中々ありません。そもそもどうやって信頼性を確かめるかも難解な問題です。– Artturi Lehtio, F-Secure

TomとLauraは、この言葉に共感しました。クラウドコンピューティングや開発者が使用するコードリポジトリ数の増加など、企業側の理解が十分でないまま相互関係が深まりつつあることを2人は指摘しています。

企業に対する攻撃は、管理や責任の及ばないものを通して行われる可能性もあります。

強化学習が大きな進歩を遂げる

近年、人工知能が話題となっています。サイバーセキュリティーやテクノロジーの分野においても影響力の大きい部分です。強化学習は今年大きな進歩を遂げることになると人工知能研究センターの上級研究員Andy Patelは考えています。

強化学習とは、取るべき行動を選択できたときに報酬を与えることでアルゴリズムを学習させるものだとAndyは説明しています。(詳細はポッドキャストをお聞きください。その中の一例として、強化学習によってコンピュータにゲームのやり方を学ばせる方法を紹介しています。)

Facebookも強化学習を活用しているとAndyは言います。ユーザーが通知を受け取るタイミングを判断するために用いられているのです。他の企業の活用例としては、金融取引モデル、動画のストリーミングなどが挙げられます。さらに、今年のBlack Hat conferenceで発表された調査に基づくと、2019年にはサイバーセキュリティにおいても強化学習を活用した人工知能が登場するとAndyは考えています。

サイバーセキュリティの分野でも似たようなアプリケーションが存在します。主にペネトレーションテストや脆弱性診断で、パスワードの推測やアプリケーションのファジングなどに使います。学術目的のものも含めて、今述べたようなことを目的として強化学習を活用したものが発表されることでしょう。– Andy Patel, F-Secure

自動化、検出と対応の普及によってサイバー攻撃のコストが増加する

ポッドキャストを聞かれた方は驚かれたかもしれませんが、プリンシパルセキュリティコンサルタントのTom Van de Wieleによると、2019年はセキュリティ分野において大きな発展を期待できる年になると言います。より多くの企業が自動化と検出・対応プラットフォームを活用するようになるにつれて、標的型攻撃を行うコストは増大するとTomは考えています。TomはF-Secureの顧客向けによくレッドチームテストを実施していますが、その内容は彼が仕事を通して目の当たりにした出来事に基づいています。

自社や競合他社がサイバー攻撃を受けてきた実情があるため、企業の間ではますます多くのソフトウェアやサービスが導入されるようになりました。検出の自動化が進むと企業が気づかないような攻撃を行うことも難しくなりますし、一部の攻撃者は攻撃を諦めるでしょう。– Tom Van de Wiele, F-Secure

ハッキングされる原因について企業が考え始めている

セキュリティリスク上の問題が生じる原因について関心を持つ企業が増えていると行動科学部門のリーダーAdam Sheehanは言います。

これは私が長年考えている仮説ですが、もし組織Aと組織Bで、フィッシングメールに対して同程度の高いクリック率が観測されるのであれば、これらの企業には同じようなソリューションが提供されるべきではないでしょうか。– Tom Van de Wiele, F-Secure

この仮説には試す価値があるとTomは主張し、ポッドキャストでその根拠を説明しています。

IoTは発展し、攻撃者の関心も高まる

インターネットに接続されているデバイス、特にIoTデバイスが急激な勢いで普及していることは誰の目にも明らかです。セキュリティコンサルタントのLaura Kankaalaは、2019年のセキュリティと密接に繋がるトレンドだと言います。
そうしたデバイスのエクスプロイトも今年は増加すると彼女は予想しています。

同時に、エクスプロイトの増加により、IoTデバイスがGDPRのような規制の対象になることや、多くのデバイスベンダーがバグ報奨金制度の導入を推進するという展開もLauraは期待しています。

GDPRがIoTデバイスを適用範囲に含むか、GDPRがIoTデバイスを適用範囲とできるような規制が施される可能性があります。– Laura Kankaala, F-Secure

消費者とデバイスベンダーの両方がIoTデバイスの保護に真剣に取り組むよう促す必要があるとTomは考えています。現在はどちらも不十分ですが、バグ報奨金制度や規制の導入は良い影響を与えるでしょう。

2019年はサイバーセキュリティにおいて様々な変化が予想される年になりそうです。実際に何が起きるかについてはこれから共に見ていきましょう。

オリジナル記事情報

Supply chain attacks, IoT exploits, and other trends coming in 2019
掲載日:2019年1月2日
執筆者:Adam Pilkey

本記事はF-Secure KKの許諾のもと、オリジナル記事を日本語に翻訳・編集したものです。
当社では、F-Secure社のエンドポイントセキュリティソフト、エフセキュア プロテクションサービス ビジネスを取り扱っております。
F-Secure

記事一覧に戻る