サイバーセキュリティの未来:2022年、ソフトウェアサプライチェーン攻撃は当たり前になる
2020年には、金融サービスセクターが最も多くのサイバー攻撃を経験した業界でした。何年もの間、攻撃者がこれらの組織を狙ったのは、大きな利益が見込める標的と考えられていたからです。
しかし2021年には、金融サービスセクターはもはや最も狙われている業界ではありませんでした。その代わりに、通信プロバイダー、ソフトウェアメーカー、マネージドセキュリティサービスプロバイダーその他を含むITおよび通信セクターが最も多くのサイバー攻撃を受けるようになりました。
主要な標的が変化したことは、SolarWinds、Kaseya、GitLabへの攻撃を含め、2021年に発生した数多くの大規模なサプライチェーン攻撃を経験した業界のエキスパート達はよく知っています。脅威アクター達は、ソフトウェアおよび開発者インフラ、プラットフォーム、そしてプロバイダーを、ますます政府、企業、重要インフラへの侵入ベクトルとして見るようになっています。
Darktraceの調査では、DarktraceのAIにより2021年にはこのセクターに対する脅威を毎週およそ15万件、自律的に阻止したことを確認しています。これらの調査結果は、潜在的サイバー攻撃のいくつかの段階における「パンくず」を、攻撃アクターを特定したりこれらが深刻な危機にエスカレートする前に検知する、「早期兆候分析」により生成されたDarktraceのデータに基づいています。
この分析結果から、Darktraceは2022年には脅威アクター達が悪意あるソフトウェアを、ソースコード、開発者のレポジトリ、オープンソースライブラリ、その他ソフトウェアサプライチェーン全体に渡って幅広く埋め込むであろうことを予想しています。私達はおそらくソフトウェアプラットフォームに対するさらなるサプライチェーン攻撃や、多くの公開された脆弱性に対する攻撃を目撃することになるでしょう。
変化が起こった理由
このセクターでの攻撃の増加はおそらく、より多くの企業が自社のデータの処理および保存に、信頼のおけるサードパーティサプライヤーを使うようになっていることがその理由でしょう。このサイバー攻撃ベクトルは、標的の最も貴重な資産に到達するために、関連組織を狙う攻撃者にとってこのシフトは、中小規模の企業が、自身が最終標的ではなくても攻撃に遭う可能性が高くなったことを意味します。
最近では、広範に使われているソフトウェアライブラリに組み込まれた‘Log4Shell’ 脆弱性により数十億台のデバイスが脅威にさらされ、Cybersecurity and Infrastructure Security Agencyがこれに対する正式なガイダンスを発表するきっかけとなりました。
不運なことに、これらのライブラリの多くはボランティアによる更新およびサポートしかなく、脆弱性や意図的な不正が入り込みやすい状況です。開発プロセスのずっと早い段階でアプリケーションにセキュリティを組み込むことの重要性を組織が理解し始めるなかで、DevSecOpsは2022年の重要な論点になるでしょう。オープンソースに依存することのリスクにより、開発チームがこれらの問題の中心に置かれることになります。
Eメールフィッシングは引き続き攻撃者の信頼する手法として残る
Darktraceの調査では、このように標的はシフトしているものの、ITセクターに対しても最も広範に使われている攻撃手法は引き続きフィッシングであることを確認しています。この業界の組織は2021年に毎月平均して600種類のEメールフィッシング攻撃に遭っています。これらの攻撃は巧妙さも増しており、そのほとんどは典型的な不正Eメールのような悪意あるリンクや添付ファイルを含まないものとなっています。
2022年には、攻撃者達はEメール攻撃をさらに進化させ、通信チェーンをより直接的に乗っ取ろうとするでしょう。2021年11月に発生したFBI アカウント乗っ取りで見られたように、攻撃者が信頼されるサプライヤアカウントを乗っ取り、本物で信頼のおけるアカウントからスピアフィッシングEメールを送る事案が発生するでしょう。
最先端のサイバー犯罪者達は普通のテキストを含む「クリーン」なEメールを使って、信頼される第三者になりすまし巧妙に作成したメッセージを送り、受信者が返信し機密情報を教えるよう仕向けます。
攻撃の増加に正面から立ち向かう
世界的なソフトウェアサプライチェーンがますます相互に繋がっていくなかで、政府、企業、重要インフラ関連組織はすべて、自社が契約しているソフトウェアおよび通信サプライヤーだけではなく、世界的なソフトウェアサプライチェーン内で発生したどのようなセキュリティ欠陥からも、侵害の危険にさらされているのです。
こうしたサイバー脅威に直面し、組織は自身のサイバーレジリエンスだけではなく、信頼するサプライヤーに対してサイバーセキュリティのベストプラクティス実施に責任を負わせることに重点を置かなくてはなりません。ソフトウェアサプライヤーに組み込まれた攻撃を見つけるのに魔法の解決策は存在しません。つまり組織にとっての本当の課題は、このリスクを受け入れつつ業務を続けることにあります。今年も、2021年同様に、これらの企業がサプライチェーンを通じた侵害を避けたいと望むのはますます非現実的になっています。むしろ、彼らは侵害が発生した後の攻撃者の存在を検知し、この悪意あるアクティビティを早い段階で食い止める能力を備えなければならないのです。
攻撃者が開発プロセスの最初の段階から自身を組み込むことができるならば、組織は攻撃者が侵入してしまった後でこれらを検知し阻止できなければなりません。この問題には、脅威アクターが脆弱性をエクスプロイトしていることを特定できるサイバー防御テクノロジーが必要となります。
これらの脅威に対し、セキュリティを開発プロセスのより早い段階で組み込む必要性、および攻撃をすばやく封じ込めてビジネスの中断を防ぐことの重要性が再確認されています。これらの攻撃は多段階で行われるものであり、そのあらゆる段階でAIを使って脅威を封じ込め修正することができます。
