2021年は、サイバーセキュリティに関して、多くの点で否定的に記憶されるでしょう。 当然のことながら、この年は IT セキュリティ業界にとって落雷で終わりました。Java Log4j の脆弱性により、ハッカーにとって完璧なフレームワークが作成されました。 Log4j、ランサムウェア、サプライ チェーン攻撃 – これらはすべて 2022 年にも発生します。
米国連邦政府の Cybersecurity and Infrastructure Security Agency (CISA) の責任者である Jen Easterly 氏は、Log4j の脆弱性を、彼女が数十年にわたるキャリアの中で見た中で最も深刻な欠陥であると呼びました。 Log4j の影響は、IT、ビジネス、および社会に対して今後数か月で、おそらく今後数年で実感されるでしょう。
Bitdefender Labs は、来年の IT セキュリティ マネージャーの XNUMX つの主要なトレンドも見ています。
1. ランサムウェア攻撃は進化する
ランサムウェアは、2021 年に最も儲かるサイバー犯罪の形態であり、来年もその地位を維持するでしょう。 ただし、ランサムウェアがどのように詳細に開発されるかは非常に興味深いものです。 Bitdefender Labs は、サービスとしてのランサムウェア (RaaS) 攻撃の増加を予想しており、これは恐喝目的でのデータの流出に焦点を当てています。 RaaS は成熟した業界へと進化し続けています。 したがって、支援者は、IT セキュリティのプロバイダーだけでなく、犯罪者の競争相手からも反対されています。
また、Bitdefender Labs は、ESXi ストレージまたはテンプレートを標的とする Linux 環境のランサムウェアが増加すると予測しています。 データを暗号化する前に一定期間休眠状態にあるマルウェアであるサイレント ランサムウェアも、使用が増加する可能性があります。
2. 国家が支援する供給構造への攻撃
政治的緊張は、サイバースペースに大きな影響を与える可能性があります。 多くの国家がデジタルの覇権をめぐる競争に参加しています。 重要なインフラストラクチャは、関係するグループの十字線に入る可能性が非常に高いです。 世界中で「ハッキング」の取り組みが行われている可能性があります。特に、サイバー犯罪者に米国やヨーロッパの機関に対するデジタル犯罪の安全な避難所を提供している国家に対するものです。
選ばれる武器は、電力網、上下水処理場、または公共交通機関を標的とする従来の持続的標的型攻撃 (APT) 攻撃と同様のキルウェアであり、コミュニティや社会に直ちに影響を与える可能性があります。 さらに、インターネットを混乱させるために、インターネットの一部も攻撃されます。 DDoS 攻撃とボーダー ゲートウェイ プロトコル (BGP) のハイジャックも急激に増加し、電気通信、ひいてはデジタル経済に大規模な障害が発生します。
3. サプライチェーンやゼロデイ市場への攻撃が増加
2021 年は、マネージド サービス プロバイダー (MSP) に対するサプライ チェーン攻撃が最も緩和が難しいことを示しています。 他の攻撃とは異なり、それらはより巧妙で、阻止するのが難しく、より速く拡散します。 プロのサイバー犯罪者は、MSP に侵入してランサムウェアをより多くの潜在的な被害者に配布することにますます注力するようになります。 ハッカーは、EDR テクノロジの監視が不十分なため、Windows Management Instrumentation (WMI) の Component Object Model (COM) API を使用します。 サイバー犯罪者は、Python Package Index (Pypi) や NPM などのオープン ソースの公開コード レポジトリも標的にして、悪意のあるコードを製品やインフラストラクチャに挿入し、サプライ チェーン攻撃を開始します。
さらに、Bitdefender は、標的型攻撃でのゼロデイ エクスプロイトの使用が増加していると予想しています。 2021 年という早い時期に、セキュリティの専門家は、すべての主要なテクノロジ スタック (Chrome、Exchange、Office、Windows 10、iOS) でゼロデイ脆弱性が増加していることを記録しています。 Pwn2Own の中国版である Tianfu Cup は、非英語圏の国が利用できる機会を強調しました。
ハッカーはまた、CobaltStrike などのツールを悪用しますが、これは実際には、独自のネットワークで産業スパイをシミュレートすることのみを目的としており、独自の目的で使用されます。 サイバー犯罪者のコミュニティは互いに刺激し合っています。 Emotet マルウェアは、そのような交換の代表的な例です。 CobaltStrike ビーコンを使用して企業ネットワークへのランサムウェアの配信を高速化することに成功し、再び増加しています。
4. データ侵害は企業への攻撃を助長する
サイバー犯罪者による個人情報へのアクセスが増加しています。 これにより、スパム キャンペーンのターゲットをより絞ることができます。 フルネームと電話番号に加えて、パスワード、住所、支払い履歴、性的指向などの他の開示情報も、カスタマイズされた説得力のあるフィッシングまたは恐喝キャンペーンを作成するために使用されます。 スピア フィッシングは、ホエーリング、ビジネス メール侵害 (BEC)、またはメール アカウント侵害 (EAC) のいずれを介しても、ますます巧妙化しており、企業やホーム オフィスにとって重要な攻撃ベクトルであり続けています。
2022 年には、コロナ パンデミックの結果、ますますオンラインで行われる採用プロセスが詐欺に利用される可能性があります。 サイバー犯罪者は、企業になりすまして潜在的な候補者を騙し、一般的なドキュメントの添付ファイルを介してデバイスを感染させるようになります。 さらに、リモート採用を使用して、疑いを持たない求職者をマネーロンダリングなどの違法行為のために採用する可能性があります。
5. IoT、ウェブインフラ、仮想通貨
世界が徐々にどこからでも仕事をするシナリオに向けて準備を進めているため、企業は常に既存のサービスをクラウドに移行しようと奮闘しています。 クラウド インフラストラクチャへの攻撃は、2022 年に増加する可能性があります。 そしてそれは、特に Azure AD と Office365 に焦点を当てた大手プロバイダーにも影響を与えるでしょう。 構成ミスと資格のあるサイバーセキュリティ担当者の不足は、データ侵害とインフラストラクチャの侵害に大きな役割を果たします。
暗号通貨のエコシステムが繁栄するにつれて、サイバー犯罪者は、交換サービス、マイナー、およびウォレット スティーラーに対する攻撃への関心が高まると予想されます。 暗号通貨はサイバー詐欺を引き起こします。
危険にさらされている: スマートカーと車両テレマティクス
Bitdefender の脅威調査およびレポート担当ディレクター、Bogdan Botezatu (画像: Bitdefender)。
よりコネクテッドでインテリジェントな自動車は、サイバー犯罪者にとって新たな機会を生み出します。 車両テレマティクスと自動車メーカーが車両データに基づいて IoT ベースのビジネス モデルを開発しようとする取り組みも、リスクを生み出します。 データ盗難の可能性は、セキュリティ問題の XNUMX つの側面にすぎません。 サイバー犯罪者は、インターネットに接続された車両を悪用して、盗難を助長したり、無許可で侵入したり、さらには車両を制御したりする可能性があります。
違法な市場も動き続けます。 Bitdefender は、2020 年から 2021 年にかけて、犯罪者の市場参加者による混沌とした行動を観察しました。 違法薬物取引などの新しいプロバイダーは、これらの取引の最大 50% がダークウェブ経由で取引されることになります。
結論:新しい防衛技術に焦点を当てる
サイバー犯罪者が損害を与える可能性のある多くの分野を見ると、リスク状況は 2022 年も悪化し続けると思われるかもしれません。 しかし、希望の光があります。サイバーセキュリティ業界は、幅広い高度なサイバー脅威から保護する明日のセキュリティ テクノロジに懸命に取り組んでいます。 機械学習ベースのセキュリティ テクノロジは、従来のエンドポイント セキュリティ ソリューションよりも一貫して優れた複数の防御層を提供します。 企業は、サイバー犯罪者の被害者になる可能性を最小限に抑えるために、このような高度な技術を早い段階で採用する必要があります。
詳しくは Bitdefender.com をご覧ください
Bitdefenderについて Bitdefender は、サイバーセキュリティ ソリューションとウイルス対策ソフトウェアのグローバル リーダーであり、500 か国以上で 150 億を超えるシステムを保護しています。 2001 年の設立以来、同社のイノベーションは、優れたセキュリティ製品と、デバイス、ネットワーク、およびクラウド サービスのインテリジェントな保護を、個人の顧客や企業に定期的に提供してきました。 最適なサプライヤーとして、Bitdefender テクノロジは、世界で展開されているセキュリティ ソリューションの 38% で使用されており、業界の専門家、メーカー、および顧客から信頼され、認められています。 www.bitdefender.de