＜Kaspersky Security Bulletin：2022年高度なサイバー脅威の動向予測＞

[本リリースは、2021年11月17日にKasperskyが発表したプレスリリースに基づき作成したものです]

Kasperskyのグローバル調査分析チーム（GReAT）^※1 は、年次のサイバー脅威動向レポートで2022年の高度サイバー攻撃（APT）を予測しまとめています。民間企業が新たなAPTグループの流入を後押し、モバイルデバイスへのさらなる攻撃、サプライチェーン攻撃の増加、クラウドセキュリティやアウトソーシング型サービスに対する攻撃の増加、サイバー空間で役割が高まる政治的要素、ローレベルの攻撃の復活などが起こりうると予測しています。

2021年に世界各地で起きた変化は、2022年の高度なサイバー攻撃の開発に直接的な影響を及ぼします。このサイバー脅威の傾向予測は、GReATのリサーチャーたちが2021年に観測した脅威の動向に基づいており、指針や洞察によって、サイバーセキュリティコミュニティを支援する目的でまとめたものです。

民間企業が新たなAPTグループの流入を後押し
iOSを狙ったゼロデイ攻撃は実際には起こらないのではないかという認識が「Project Pegasus」の調査結果^※2によって覆されたこともあり、今年は民間企業が開発した監視ソフトウェアの使用が注目を集めました。また、高度な監視ツールの開発者が、検知や解析を回避する機能を強化したり（「FinSpy」の事例）、それらの機能を実際に使用するケース（「Slingshot」フレームワークの事例）も観測しました。

商用の監視ソフトウェアは、大量の個人情報とより幅広いターゲットにアクセスすることができるため、ソフトウェアの提供側にとっては利益の大きいビジネスであり、それを使用する攻撃者にとっては実効性のあるツールです。そのため、このようなソフトウェアベンダーは、各国政府がその使用を規制し始めるまではビジネス拡大に熱心に取り組み、新規の高度なサイバー攻撃グループにサービスを提供し続けるでしょう。

そのほかの2022年のグローバルと日本の脅威動向の主な予測は次の通りです。

■ グローバル

・幅広い攻撃にさらされるモバイルデバイス
モバイルデバイスは常にサイバー攻撃者にとって理想的なターゲットです。スマートフォンは所有者と一緒にどこにでも移動するだけでなく、価値ある情報を大量に格納しているためです。2021年は、iOSを狙ったゼロデイ攻撃がかつてないほど増加しました。ユーザーがセキュリティパッケージをインストールできるPCやMacとは異なり、iOSはそのような製品は機能が制限されているか、単純に存在しません。このことは、今後もAPTグループにとって非常に大きな機会を生み出します。Android端末も引き続き多数のサイバー犯罪型のマルウェアに悩まされるでしょう。

・サプライチェーン攻撃が増加
GReATでは、サイバー犯罪者がベンダーのセキュリティ上の弱点を悪用し、企業の顧客を危険にさらすケースの頻度に注目しています。このような攻撃は、多数の潜在的な標的への足掛かりを一挙に得ることができるため、攻撃者にとっては特に有益で価値のある攻撃手法となっています。2022年もサプライチェーン攻撃は増加傾向にあると考えられます。

・在宅勤務環境を狙った攻撃の継続
企業ネットワークへの侵入手段として、適切にセキュリティ保護されていない、あるいはパッチが適用されていないまま業務に使われる私物コンピューターを狙うサイバー犯罪が今後も続くでしょう。ソーシャルエンジニアリングで認証情報を盗み出し、企業サービスに総当たり攻撃を仕掛けて保護が弱いサーバーにアクセスしようとするケースも続くとみられます。

・META（中東、トルコ、アフリカ）地域、特にアフリカへのAPT攻撃活動が増加
この地域では地政学的緊張が高まってきていますが、これはサイバースパイ活動も増加傾向にあることを意味します。同地域の新たな防衛手段は絶えず向上し、より高度になっています。これらの傾向を総合すると、META地域における主なAPT攻撃活動はアフリカを標的とすると考えられます。

・クラウドセキュリティ、アウトソーシングサービスに対する攻撃の爆発的増加
多くの企業がクラウドコンピューティングや、マイクロサービスをベースとしたソフトウェアアーキテクチャを取り入れ、ハッキングの影響を受けやすいサードパーティのインフラ上で稼働させています。膨大なデータを抱えるこれらサービスは、高度なサイバー攻撃の格好の標的になると予測できます。

・ローレベルの攻撃が復活、ブートキットが再び「ホット」に
ローレベルの埋め込みプログラムは、作成に高度な技術を要するなどの理由から攻撃者から敬遠される傾向があります。しかし、当社の2021年の調査では、ブートキットに関する攻撃者の研究が頻繁におこなわれていることを観測しています。これは、隠れた利益がリスクを上回るようになった、またはローレベルの埋め込みプログラムが以前より開発しやすくなったことを示しています。2022 年には、この種の高度な埋め込みプログラムの検知件数が増えると考えられます。さらに、セキュアブートの普及が進んだことから、攻撃者はそのセキュリティシステムを迂回するためのエクスプロイトや脆弱性を探し出し、ツールの展開を継続する必要があるでしょう。

・各国が許容できるサイバー攻撃活動を明確化
各国政府では、サイバー攻撃を非難すると同時に、自らもサイバー攻撃を行う傾向が強まっています。2022年は、サイバー攻撃の分類法を発表し許容できる攻撃ベクトルの種類を明確にする国も出てくるでしょう。

■ 日本

・モバイルバンキング型トロイの木馬の影響が引き続き増大
強い金銭的動機を持つ「Roaming Mantis」グループは、昨年の予測のとおり、日本をはじめ、中国、韓国、米国、カナダ、フランス、ドイツなど世界中で現在も活発に活動を続けています。この攻撃グループは、主にWroba^※3マルウェアファミリーを使用してAndroid端末を感染させ制御します。日本や韓国の場合は宅配サービスを装い、ほかの地域ではGoogle Chromeをかたるなど、標的の地域で広く知られるブランドに成り済ましたスミッシング^※4によって、感染をさらに拡大させています。特に、Wrobaの2021年第一四半期の検知数はグローバル全体で第二位で、全体の7.98％^※5を占めました。なお、2021年第一四半期、第二四半期ともに、日本はモバイルバンキング型トロイの木馬の攻撃に遭ったユニークユーザー数の割合が最も多い国でもありました^※5。Roaming Mantisグループは、日本を含む多くの地域を標的にし続け、それは2022年も変わらないと予測します。

・フィッシング標的の拡大
スマートフォンの電子決済サービスやフリーマーケットアプリのサービス、携帯キャリアの決済サービスなどの普及に伴い、それらのサービスを装ったフィッシングサイトを使用した攻撃が増加しています。犯罪者はこういったサービスで使用されるアカウント、それにひも付く口座やクレジットカードの情報を狙い、最終的には金銭を窃取します。この傾向は2022年も続くでしょう。また、興味深いケースとして、クラウドサービスやインターネットサービスプロバイダー、ドメイン登録サービスなどのアカウントが攻撃インフラとしての利用を目的に狙われるケースも観測しています。来年は、日本でもインターネット上のさまざまなサービスが標的となり、フィッシング攻撃による被害の拡大が考えられます。

・標的型攻撃グループの活発な活動が継続
日本を標的とする攻撃グループとして、まず注目すべきは「Lazarus」およびそのサブグループです。Lazarusグループはグローバルで活動する非常に有名な攻撃者グループですが、2019年頃から日本を標的とし、「Dtrack」マルウェアや「MATA」フレームワークを用いた攻撃活動が報告されています。2021年には、JPCERT/CCが「Torisma」、「LCPDot」、「VSingle」、「ValeforBeta」といった新たなマルウェアを使用した攻撃を報告しています。そのほかにも、ファイルレス型のバックドア「LODEINFO」や高度なマルチレイヤー型ローダー「Ecipekac」を用いた標的型攻撃を観測しており、これらには高度サイバー攻撃グループ「APT10」の関与をうかがわせる痕跡が見つかっています。こういった攻撃活動は、ファイルレス型マルウェアの使用、マルウェア機能の頻繁な強化と更新、マルウェア感染へ至るプロセスの複雑化、解析妨害技術の強化に加えて攻撃痕跡の消去を徹底するといった傾向にあり、攻撃の全体像の把握や追跡が年々困難になっています。2022年は、このような攻撃グループによる日本国内組織および関連組織を標的とした攻撃は継続し、その手口は年々洗練されていることから、追跡および調査はいっそう困難になると考えられます。

Kaspersky GReATのシニアセキュリティリサーチャー イワン・クフィアトコフスキ（Ivan Kwiatkowski）は次のように述べています。「サイバー空間の世界を変えるような出来事が、毎日何十件と発生しています。このような変化を追跡することは非常に難しく、予測することはさらに困難です。それでもなお、当社専門家の知識を活用して何年にもわたりサイバーセキュリティの動向を予測することに成功してきました。APTグループの活動を追跡し、攻撃活動がもたらす影響を評価し、得られた知見をより広くコミュニティと共有することは極めて重要です。予測を共有することで、サイバー空間で今後待ち受ける出来事に対してユーザーの皆様が準備を整えることへの一助になることを願っています」

2022年に向けたサイバー脅威のグローバル動向予測の全文は、Securelistブログ「Advanced threat predictions for 2022」（英語）、「2022年高度なサイバー脅威の予測」（日本語、PDF）でご覧いただけます。

APT攻撃に関する当予測は、Kaspersky Security Bulletin（KSB）シリーズの一部です。KSBは、サイバーセキュリティに関する主要な変化を毎年予測および分析し、まとめたものです。ほかの予測は「Kaspersky Security Bulletin 2021」（英語）でご覧いただけます。

※1　グローバル調査分析チーム（Global Research and Analysis Team、GReAT）
Kasperskyの研究開発部門の中核として、脅威に関する情報収集、調査研究およびその成果発表などの活動を通じ、社内および業界をリードしています。また、マルウェアによるインシデント発生時の対応措置を担当しています。
※2　Pegasus Projectは、世界のメディア17社、人権団体Amnesty Internationalと仏非営利団体Forbidden Storiesと協力して実施したイスラエルのNSO Groupのスパイウェア「Pegasus」についての調査結果レポートです。
※3　「Trojan-Banker.AndroidOS.Wroba」はKasperskyでの検知名です。
※4　スミッシング：SMS（ショートメッセージサービス）を使用したフィッシング詐欺。
※5　モバイルデバイスに対する脅威の統計「IT threat evolution in Q1 2021. Mobile statistics」、「IT threat evolution in Q2 2021. Mobile statistics」より。