＜Kaspersky Security Bulletin＞ 2016年のサイバーセキュリティ動向予測：APTは新たな形態へ

Kaspersky Labのグローバル調査分析チーム（Global Research and Analysis Team：GReAT）は、2016年のサイバー犯罪の傾向を次のように予測しています。（*1）

現在知られている形の標的型攻撃（Advanced Persistent Threat：APT）は2016年には姿を消し、より深い水面下での活動になることから、これまで以上に検知および攻撃者の痕跡を追うことが困難になります。APTの「脅威」（Threat）という要素は変わらないものの、「高度」（Advanced）と「執拗」（Persistent）の両要素がなくなります。また、初期投資を抑える目的で、既成のマルウェアの活用が増加傾向になると思われます。

■ 2016年に起こりうる脅威

• APTの「A」と「P」がなくなり文字数が減るも、脅威は増大
  APTの構造と活動は劇的に変化する。
  • 攻撃の痕跡を減らして解析者によるサンプルの入手と調査を困難にし、検知を回避する目的から、「執拗」な攻撃は減り、メモリ常駐型やファイルレスのマルウェアの比重が大きくなると予想します。
  • ブートキット、ルートキットやカスタムマルウェアは、リサーチャー達による解析がすでに進んでいるため、既成のマルウェアを別の用途に作り変える方向で投資が進むと考えています。サイバースキルを誇示する活動は薄れ、国家が関与するとみられる攻撃は、投資対効果（ROI）を基準に意思決定がなされるでしょう。ROIの最大化には、初期投資を抑えることが最も有効です。
• テレビの中の泥棒やコーヒーメーカーに潜む犯罪
  バンキング型トロイの木馬に迫る勢いで増殖しているランサムウェアは、モバイルデバイスやIoTに加えて、より魅力的な標的が所有していることの多いOS Xデバイスなどへ、攻撃の範囲を拡大すると考えられます。
• 金銭窃取の新たな標的
  Apple PayやAndroid Payなどの新たな決済システムのほか、証券取引所を狙った金融系サイバー攻撃が増加するでしょう。
• プライバシーの漏洩
  2015年は、DOXing、つまり暴露や脅迫といった攻撃が目立った年でした。ハクティビストから国家が関与するとみられる攻撃者までが、標的にダメージを与える目的でプライベートな写真や情報、顧客リスト、コードなどを漏洩しました。残念ながらこうした行為は2016年も継続し、さらに増加するでしょう。

GReATのシニアセキュリティエキスパート、ホアン・アンドレス・ゲレーロ-サーデ（Juan Andrés Guerrero-Saade）は次のように述べています。「2016年は、サイバースパイ活動のノウハウの劇的な進化が予想されます。高度な技術力を持つ攻撃者は、既存のマルウェアを流用し執拗な攻撃をやめることで、コストダウンと攻撃ツールやインフラ、自身の隠蔽を図るでしょう」

「サイバー攻撃が莫大な利益を生むことに議論の余地はなく、サイバー犯罪者は今後も増えると思われます。複雑なアウトソース業界が台頭し、新種のマルウェア開発のみならず、攻撃活動全体を外部委託する需要に応えるために、Access-as-a-Serviceという新たな仕組みを生み出しました。これはハッキングした標的へのアクセスを最高入札者に提供するというものです」

■ 脅威の長期予測

• APT攻撃の進化　‐ Access-as-a-Service
  新たにAPT活動を展開する犯罪グループが増加するでしょう。オンライン攻撃によって利益を得ようとするグループが多くなるにつれ、それに携わる犯罪者も増加します。こうした犯罪者は、報酬さえ得ることができれば相手を選ばず専門知識を提供し、要人へのデジタルアクセスを関心のある第三者組織に販売するものと考えられます。いわばAccess-as-a-Serviceとでも呼ぶべき活動です。
• 小国乱立のインターネット
  インターネットは国ごとに小さく分断されるでしょう。その状態で、境界をまたぐサービスの連結点が攻撃されれば、あらゆる地域のインターネットが掌握されてしまう可能性が出てきます。さらには、接続を売買する闇市場が生まれる可能性すらあります。同様に、インターネットのアンダーグラウンドを支える技術が本流から注目され、広く採用されるようになると、闇取引や闇フォーラムに関わる開発者たちはアンダーグラウンドを文字どおり地下に閉じ込めておくべく、新たな技術を開発するようになるでしょう。

「2016年はITセキュリティ業界にとって、前途多難な年になるでしょう。しかし、ITセキュリティ業界内のみならず、政府、法執行機関、民間組織と知見や予測を共有することによって、さまざまな課題をクリアできると信じています」（ホアン・アンドレス・ゲレーロ-サーデ）

■ サイバーリスクと対峙するための備え

• 企業が『今すぐ』実行すべき対策
  • 従業員へのサイバーセキュリティ教育を重点的に実施する
  • プロアクティブな防御策を備える。マルウェアの活動の場であり、情報資産の保存場所でもあるエンドポイントに成熟した多層セキュリティ製品を導入する
  • 脆弱性の早期修正とパッチの適用を自動化する
  • モバイルデバイスすべてに注意を向ける
  • 通信内容と機密データを暗号化する
  • ゲートウェイ、メール、共有など、インフラのあらゆる要素を保護する
• 企業が早期に実行すべき対策
  • 効果的な検知と効率的なレスポンス体制を実現することで、将来のリスクと現在進行中の脅威に対する包括的なセキュリティ戦略を策定し、展開する
  • IT担当者とは別に、サイバーセキュリティ専属者や部門を整備するとともに、セキュリティオペレーションセンター（SOC）の設置を検討する
• 個人ができる対策
  • すべてのオンラインデバイスに強力なセキュリティ製品を使用する>
  • デフォルト拒否による、プログラムやアプリケーションの実行制御、ホワイトリスト、暗号化や自動バックアップなど、セキュリティ製品の追加オプションを活用する
  • サイバーセキュリティの基本を学び、また、周知する
  • 通信は暗号化する
  • オンライン上での習慣や共有する情報を見直す。一度でもインターネット上に公開された情報は永遠に残り、個人や企業に対して悪用される可能性があることを理解する

「2016年サイバー犯罪の予測：APTは新たな形態へ」のレポートは、こちらをご覧ください。

※1 2016年の予測は、Global Research and Analysis Team （GReAT：グレート）のトップセキュリティエキスパート42人がまとめたものです。それぞれが独自の専門分野を持ち、2015年には、フランス語、アラビア語、中国語、ロシア語、英語など、さまざまな言語を「話す」12のAPTグループに関する調査レポートを発表しています。
GReATはKaspersky Labで研究開発に携わる中核部門として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。