Google Cloudチームは先日、2つの公開バーチャルセッションにおいて、2023年の最も注目すべきサイバーセキュリティの脅威である多面的な恐喝とゼロデイ攻撃について講演し、2024年にはゼロデイ攻撃が増加すると予測しました。さらにGoogleは、攻撃者と防御者の両方が生成AIを活用し続けると予測しています。ただし、生成AIが2024年に独自のマルウェアを作成する可能性は低いでしょう。
2023年に最も注目すべき2つのサイバーセキュリティの脅威
Google Cloud の主席信頼および安全性アナリストであるルーク・マクナマラ氏によると、2023 年の最も注目すべき 2 つのサイバーセキュリティの脅威は、多面的恐喝 (二重恐喝とも呼ばれる) とゼロデイ攻撃でした。
多面的な搾取
多面的なエクスプロイトにはランサムウェアやデータ盗難が含まれますが、Google Cloud が追跡したランサムウェア攻撃の数は 2023 年に減少しました。多面的なエクスプロイト攻撃で使用される最も一般的なランサムウェア ファミリーは、LockBit、Clop、ALPHV でした。
ランサムウェア攻撃のほとんどは、盗まれた認証情報に端を発しています。次にランサムウェアの初期感染経路として多かったのは、ブルートフォース攻撃とフィッシングでした。
参照: 他人があなたの Google アカウントにアクセスした場合の警告サインを知っておく。(TechRepublic)
マクナマラ氏によると、攻撃者は盗んだ認証情報をデータ漏洩サイトで販売することが増えているという。「この四半期(2023年第3四半期)は、2020年に追跡を開始して以来、DLSサイトへの投稿件数が最も多かった」とマクナマラ氏は述べた。
多くの攻撃者は業種を問わず攻撃を行っていますが、「四半期ごとに見ると、製造業が特に大きな打撃を受け、不均衡な影響を受けているようです」とマクナマラ氏は述べています。「量的に見て、攻撃活動が最も活発なのは製造業です。」
ゼロデイ攻撃
Google Cloudでは、ゼロデイ攻撃とは、既知のパッチが公開されていない脆弱性で、脅威アクターが積極的に悪用しているものと定義されています。2023年、Google Cloud Securityはこのような攻撃を89件追跡しました(図A)。これは、2021年の過去最高を上回りました。
図A
ゼロデイ脅威の多くは国家と関連しているか、国家の支援を受けています。ゼロデイ脅威を利用する脅威アクターの間で2番目に多い動機は、金銭の獲得です。
参照:Cisco Talos Year in Reviewレポートで明らかになったこと(TechRepublic)
Google Cloudの2024年サイバーセキュリティ予測
GoogleのMandiantコミュニケーションセンターの主席脅威インテリジェンスアナリスト、アンドリュー・コプシエンスキー氏は、2024年のサイバー脅威に関するプレゼンテーションの中で、国家主導の脅威アクター、ゼロデイ攻撃、クラウド環境間の移動、認証情報の盗難などについて語った。特に中国とロシアはゼロデイ攻撃に注目している、とコプシエンスキー氏は述べた。
「2024年には、国家支援を受けた攻撃者だけでなく、サイバー犯罪者によるゼロデイ攻撃がさらに増加すると予想しています」とコプチェンスキー氏は述べています。「ゼロデイ攻撃は、攻撃者がネットワークに侵入した後、検知されないための最良の手段の一つです。」
中国が支援する脅威アクター
コプチェンスキー氏は、中国が支援する攻撃者は、ゼロデイ攻撃やボットネットを発見・利用する能力の開発に注力し、検知を逃れようとしていると述べた。Google Cloudは、中国のサイバー脅威への取り組みが半導体開発などのハイテク分野に集中すると予想している。
ロシアが支援するスパイ活動
ウクライナを標的としたロシアの諜報活動が問題となっているとコプチェンスキ氏は述べた。Google Cloudは、ロシアがウクライナ国外でも攻撃活動を展開していることを発見したが、それらは主にウクライナに関する戦略的な情報の入手を目的としているとコプチェンスキ氏は述べた。ロシアの支援を受ける攻撃者は、マルウェアを必要としない「living off the land(現地調達型)」攻撃を駆使する。彼らはネイティブ機能を悪用し、トラフィックはネイティブトラフィックのように見える。Google Cloudは、2024年にはロシアの支援を受けた攻撃者による攻撃がさらに増加し、主にウクライナ国内またはウクライナに関連する被害者を標的とすると予想している。
北朝鮮が支援する脅威アクター
Google Cloud は、北朝鮮と関係のある国家主体についても詳しく調査しました。
「彼らはソフトウェアサプライチェーン攻撃を仕掛けるための小規模な能力を開発してきた」とコプチェンスキー氏は述べた。
北朝鮮は、互いに影響を及ぼし合う「カスケード型」のソフトウェアサプライチェーン攻撃を初めて用いた国家攻撃者として知られています。これらの攻撃の多くは、暗号資産や暗号資産取引を行う企業の窃盗を目的としています。Google Cloudは、北朝鮮に関連する脅威アクターによる攻撃が2024年に拡大すると予測しています。
資格情報の盗難と恐喝
2024年のもう一つの懸念は恐喝です。「認証情報の窃盗(図B)が主流です。…これは多くの攻撃者が用いる最も過激で最も一般的な手段となっています」とコプチェンスキー氏は述べています。
図B
「2024年にかけて、特に恐喝目的の攻撃者によるデータ漏洩サイトへの注目が高まると予想しています」と彼は述べた。
クラウド環境間の移動
2024 年の攻撃者は、クラウドおよびハイブリッド環境の使用増加により、さまざまなクラウド環境間を移動できる戦術、手法、手順を使用する可能性があります。
生成AIは2023年と2024年にサイバーセキュリティにどのような影響を与えたか、そして影響を与えるか
攻撃者は生成 AI を使用してテキスト、音声メッセージ、画像を作成できるため、Google Cloud ではこれがより一般的になるものと予想しています。
「AIは、主に偽情報キャンペーンにおいて、特定の種類の悪意ある攻撃者を助長しています。特に2024年の選挙に関しては、AIによって増幅された偽情報の影響について、来年に向けて非常に懸念しています」とコプチェンスキー氏は述べた。
2023年には、攻撃者と防御者の両方が生成AIを活用しています。2024年には、ランサムウェアの交渉を行うコールセンターにAIが導入されるなど、AIは攻撃の規模を拡大するために利用される可能性があります。
生成AIは将来のある時点でマルウェアを作成できるようになるかもしれないが、コプクエンスキー氏は、それが2024年という早い時期に起こるとは期待しない方が良いと述べた。サイバーセキュリティの専門家は、生成AIに関しては「地に足のついた対応」をし、夜も眠れないほどの心配をしないようにと勧告している。生成AIの脅威の多くは「仮説的」だとコプクエンスキー氏は述べた。
「AIが何ができて何ができないかについては、すでに多くの誇大宣伝や偽情報が飛び交っている。…(AIは)もたらされる脅威の点では圧倒的な革命ではない」と同氏は述べた。
