2013年、情報セキュリティや悪意のあるソフトウェア、消費者プライバシーやサイバー犯罪について何が起こるのでしょうか?
この種の成熟された質問は、毎年の終わり(11月頃から)にジャーナリストがセキュリティの専門家にインタビューをし、その回答を各種媒体に掲載します。
当ブログでも"2013年のセキュリティトレンド:モバイルマルウェアの大増殖"という記事を公開しました。
赤道直下にいる私たちの同僚が、2013年の最大トレンドを予測しても賞はもらえません。しかし、モバイル端末をターゲットにしたマルウェアの成長は続くので、"彼らが予測をして、それで終わり"ということにはせず、ぜひ上記記事をお読み下さい。
今回は、筆者とESET社の仲間のブロガー達と共に、2013年の更なる予測を一緒に行いましたので、ご覧ください。
■ 加速するマルウェアの開発
この予測を最初に提示した背景は、私の予測として、2013年は多くのサイバー犯罪およびその他の悪意のある活動が発生すると考えたからです。加速するマルウェアの開発の背後にあるプロセスはどこかで行われており、私たちは当ブログの"マルウェアの産業"の記事で、それらについて議論しました。
2013年は"分布、感染、搾取、および収益化"というマルウェアの全ての側面においてさらなる革新が発生する年となります。もちろん、この革新は、既存のマルウェアの技術の継続的な展開において、交換ではなく、追加になります。
ですので、私たちは、新たな脅威を敗北させるのと同時に、他の分野で油断しないようにします(例えば、ドライブバイによる感染をさせるために冒されたWebサイトの利用増加に対処することは、私たちが、昔からあるUSBフラッシュドライブなどのリムーバブルメディアを介したオートラン感染の防御を停止することを意味するものではありません)。
■ 標的型攻撃
同僚のCameron Campは、競合の製品やサービスを生み出すために利用できる企業秘密を盗むことが目的で、2013年は標的型攻撃が強まると見ています。
考えてみて下さい。
あなたの会社が製品および(または)サービスを研究し、テストすることにそんなに多くのお金を費やす必要がない場合は、はるかに安価かつ迅速に市場に投入することができるわけです。
犯罪者がやろうとしていることがまさにそれです。あなたの競合相手が、研究に注力するために100万ドルを費やす必要があり、それに対し攻撃者の時間とスキルを借りるのに5万ドルが必要だとしたら、安価で相手を騙す方法の方が非常に魅力的に見えてしまいます。
それでは、どのように誘惑しようとしている人に対して自分自身を守るのでしょうか?
Cameronは、多層防御を勧めています。あなたの"デジタル資産"をパブリックネットワークと同じ階層に入れてはいけません。そうした場合、泥棒は1つの防御を貫通しさえすれば良く、あなたは大きな問題を持つことになります。
より良い対策は、外部(インターネット)からアクセスできる場所に置くのは最小限にし(もしくは全くしない)、プライベートネットワーク上に置くようにして外部から離すことです。
プライベートネットワークでは、設定が簡単です。しかし、全体の"心痛因子"と、あなたの重要なデータが盗まれてしまった場合に、あなたの組織が直面する被害の大きさを見積もりを始めましょう。
その被害が多い場合は、より強固なセキュリティ構造とリスク軽減計画が正当化しやすくなるので、その数を把握してから、あなたが採用したい対策の計画を立てて下さい。
■ アウトオブバンドパッチの問題
Java、Flash、その他の技術は、あなたが利用するシステムへの侵入経路を探している詐欺師によって突つかれ続けています。犯罪者は、Javaの脆弱性を悪用し、システムへのアクセスを得ることができれば、それは、オペレーティングシステムへのバイパスを作ることになります。
昨年発生したMac上のOSX/Flashbackは、AppleのOS XオペレーティングシステムではなくJavaを悪用したため、迅速に処置した数多くのアウトオブバンドパッチでも防げませんでした。それらの対策パッチは、基盤となるOSのパッチサイクルによって処理されていないのです。
要するに、あなたのシステムが実行されているすべてのコードにパッチを適用し、新しい脆弱性が犯罪者の武器にされたときに、それによるトラブルに対処する新鮮なバッチを持つことは簡単ではありません。
良いニュースは、あなたがこれらの脆弱性の技術へのアクセスを持っているエンドポイントの数を制限することによって、問題の可能性を減らすことができるということです。可能であれば、最初の段階でそれらをインストールしないようにするか、または、不要になった場合は削除するようにして下さい。
あなたのエンドポイントが彼らの仕事の遂行に必要とする場合は、それを必要とする人々を新たに寄せつけない環境への更新を自動化することに取り組んで下さい。
これら2つのことを行うことによって、あなたはかなり、潜在的な攻撃の可能性を減らすことができます。
■ マルウェアの流通チャネルが拡大する
私たちは、2013年は新しい方法や経路で広がるマルウェアの多くの発見があるだろうと考えています。2012年初めに、私たちは、IP監視カメラ、ホームルータ、VoIPシステム(ボイスオーバーIP)、スマートフォンやタブレットに見られるような非伝統的な、組み込みオペレーティングシステムを使用してゾンビデバイスのネットワークを作成しようとする悪質なコードであるLinux/Hydra.Bを発見しました。影響のあったデバイス数は、11,000から18,000までの範囲と推定されています。
2012年の終わりには、私たちは、悪質なApacheモジュールとしてインストールされたLinux/Chapro.Aを発見しました。 ESET研究者はまだこの脅威を調査していまして、誰がLinuxサーバ上でこのモジュールを配置したかが明確ではありません。
サーバの所有者が加担したのでしょうか?
犯罪者がこのコードをインストールするためにサーバへのアクセスを取得できるような弱い物理セキュリティの状態は責められるべきですか?
これがペイ・パー・インストール方式の新しいスタイルなのでしょうか?
2013年中に結果をお伝えできると思いますので、お待ち下さい。
また、私たちは、Linux、Android、Javaの分野で、マルウェアの継続的な拡大を予測しています。
ほとんどの読者はおそらく、Linuxは、Webサーバ以外のデジタル機器の多数で採用されているオペレーティングシステムであることをご存知だと思います。Androidは、携帯電話とタブレットで使用されているオペレーティングシステムで、その数は増加しています。Javaは広く導入されているプログラミング言語でAndroidオペレーティングシステムの重要な柱となっています。
これらの3つの技術は、コンピュータからTVセット、DVDプレーヤー、ケーブルセットトップボックスに至るまで様々なものにインストールされています。これらのデバイスは、ますます、個人情報や金銭情報の処理に使われていきます(例えば、昨夜、私はDVDプレーヤーを介して映画をレンタルするためにAmazonアカウントを使いました。しかしDVDプレーヤーには、私の個人的な金銭情報への鍵になるAmazonパスワードは記憶させていません)。
繰り返しになりますが、2013年のこの分野での新たな脅威を調査中のため、しばらくお待ちください。
■ 怖いSCADA
2013年は、インフラ側で、より多くの攻撃がある可能性が非常に高く、他の多くの研究者も同意しています。例えば、昨年話題になったイランの核施設を狙ったアメリカとイスラエルのサイバー攻撃「Stuxnet」など、サイバー戦争のことです。
これらは、すでに損害が出ているかもしれませんが、個人への被害が目的ではないと判明する'敵の行為'が複数出てくるかもしれません(例えサイバー戦争が多くのメディアの注目を取得し、修復のためにいくつかの政府の資金援助を取得しようとする目的であっても、ろくでもない理論が見る価値のあるものになるかもしれません)。
"インフラ攻撃の氷山"の隠れた90%がスパイ活動の筋か、将来の悪意のある行動を視野に重要なユーティリティの状態を監視するバックドアの可能性が高いですが、それは有利になるはずです。同時に、プリインストールされ、現在潜伏しているマルウェアのさらなる出現があるかもしれません。
SCADAの状況はどうなるかについて、私たちは、直接悪意のあるアクションが局所的に認識されるまで、もしくは、非SCADAのものとクロスオーバーがあるまで、そのような侵害に気づかないかもしれません。ですので、この観測は、SCADA / ICSの脆弱性に対する意識の高まりを考えると、本質的には仮説となります。
マルウェア世界のこのコーナーに興味がある人は、ICS-CERTのWebサイト(SCADA)をご覧ください。
■ Windows 8への攻撃
Aryeh Goretskyは、Microsoft Windowsの新バージョンであるWindows 8が、サイバー犯罪への抵抗を研究する研究者だけでなく、お金やリソースを盗むことを望む犯罪者ハッカーのようなセキュリティ上の脆弱性を悪用するために探している人々によって、2013年に注力して検討されようとしていると言っています(監視する手段、あるいは攻撃、彼らの敵を探している国家は言うまでもありません)。
MicrosoftがWindowsオペレーティングシステムをよりセキュアにするのと同じように、Aryehは、私たちがさらなるソーシャルエンジニアリングベースの攻撃を発見するかもしれない、そしてそれは、悪意のあるコードを実行する上でオペレーティングシステムのセキュリティメカニズムに抜け道を作るために、ユーザーを騙すかもしれないと考えています。
これらの攻撃の1経路は、従来のWindowsデスクトップインターフェースと異なって見える新しいWindows 8ストアインターフェースの新規性を活用することが考えられます。旧称メトロデザイン言語として知られている新しいインタフェースは、何がオペレーティングシステムからの正当なメッセージか(そうでないか)についての混乱を引き起こします。その混乱を悪用しようとする攻撃者が出てくる可能性もあります。
Windows 8のスレートデバイスへの、新しいハードウェアセンサーの追加が、攻撃の入口を潜在的に開いている別のエリアです。温度計、加速度計、GPSは、コンピュータに物理的環境との対話を可能にするすべてのセンサーではありますが、これらのセンサーからのデータが悪用され改竄された、または、中傷する意図のために操作されたときに何が起こるでしょうか?
もう1つのターゲットは、Windows 8のアプリケーション開発者です。過去、ソフトウェアまたはハードウェアの開発者はターゲットにされることはほとんどありませんでしたが(Win32/Induc infectorはDelphiのIDEを使用する開発者を標的としていました。また、Stuxnetのワームは異なるハードウェアメーカーから盗まれたデジタル証明書に含まれていました)、ソフトウェアを購入してダウンロードするためのWindows 8のWindowsストアが紹介されると、サイバー犯罪者にとって、それを利用する開発者のことがより魅力的に見えてきます。
■ データマイニング
2011年の終わりに、Cameron Campは大規模なデータセット内のパターンを探し、データマイニングに懸念を表明しました。2012年には、私たちは、ウェブ分析会社のCompete社が、そのデータ収集を実践する上で連邦取引委員会(FTC)に費用を費やしていた記事を読みました。
明らかに、FTCはデータマイニング会社は、彼らが収集した情報で何をすべきかについて、もっと透明であるべきであると考えており、多くの消費者は同意しています(Googleが潜在的に採掘したデータの多様性を示す私たちのインフォグラフィックは、この年の当ブログ上で最も広く共有された記事の1つでした)。
そのインフォグラフィックは、Googleプライバシーポリシーの変更によって促されました。このような変化は、一年間全体を通じた議論の波を引き起こし、そしてそれは、さまざまな秘密のデータ収集の実践が明るみに出た後に、プライバシーの謝罪の長い文字列として注目されました。
モバイルソーシャルネットワーク「Path」で表示される本の情報に対処するための対応は、このような事件の1つに過ぎませんでした。最近、私たちは、2012年で最も急速に成長し100万人以上のユーザーを持つソーシャルネットワークサイト、Instagramのサービスの条件の変更について、大量の議論を見ました。
消費者にとって、昨今のデータマイニング動向の意味するところは、それを引き渡すことに同意する前に、また、それがあなたの同意なしに引き渡されるかもしれないような方法でオンライン上に置く前に、個人情報の取り扱いに注意することです。
企業にとっては、このレッスンが意味するところは、ユーザーは少なくともあなたが怒りの発生を回避したい場合、「データ取り扱いに対する透明性」が最善の策であると思っているようです。
■ コールドコール詐欺
※コールドコール詐欺の例:知らない人から電話がかかってきて、その知らない人が「あなたはウイルス感染しています。ただ、私たちにあなたのPCへのリモートアクセス権限とあなたのクレジットカードの詳細情報をもらえれば、ウイルスを除去することができます。」と言ってくる詐欺の類です。
David Harleyは、コールドコール詐欺をサポートする古典的な技術は、現在の型(かなり定型化されたソーシャルエンジニアリングを使ってインドのコールセンターからコールドコーリングする形式)の中では減少し続けていくだろうと考えています。
なぜでしょうか?
連邦取引委員会からの法的な圧力があるからです。ちなみにFTC以外にも、その関連会社、セキュリティグループの他の連合、法執行機関などからも圧力があります。
この種の詐欺への意識が増加すると、おそらく、攻撃者の収益性を削減するのにも役立ちます。しかし、Davidが思っているのは、これまでのところ、それほど決定的に定義されておらず、広く認識されてもいないので、この種の詐欺は多様化され続けます(住宅ローンやその他の融資詐欺、還付金詐欺、詐欺調査などというように)。
おそらく、彼らは、フィリピンなどの他の地域へコールセンターを移住させ、北米人の耳で聞いてもより違和感の無いアクセントや方言を身につけさせるという動向が続いていくでしょう。
■ ドメイン登録の詐欺
Aryeh Goretskyが2012年に以下の詐欺メールの種類について書きましたが、それは私たちのブログの記事で最も頻繁に読まれた記事の1つとなりました。私たちは、この詐欺は、2013年も継続する可能性があると思っています。
その詐欺メールの内容を編集、抜粋した版を、以下に掲載します。
--------
私たちは、ドメイン登録サービス○○です。今回、あなたに確認してもらいたい事項があります。私たちは○月○日に、○○という会社から、当事務所を通じてネットブランドと一部のドメイン名にあなたのドメイン○○.comに良く似た○○.netを登録したいという申込を受け取りました。
今回、登録しようとしている○○.net があなたの会社のドメイン○○.comと類似していたので、連絡させてもらいました。私たちは、○○.net を登録することをできますか?もし良いようでしたら、私たちは一度に○○.net の登録を実施します。あなたが承認しないということでしたら、私たちに7営業日以内にお知らせください。
--------
もちろん、被害者がこれに応答した場合、○○.net や○○.biz などを他の誰も登録できないように、あなたの名前でそれらを登録しましょう!という詐欺師のアドバイスがあります。そして、もちろん、それはコストがかかり、そのコストは(監査が含まれているとしても)通常、払ってしまえそうな値段です。
AryehとDavid Harleyの両者が指摘しているように、これらの詐欺は新しいものではなく、それらは法的助言の声を明確に定義された通信チャネルと、よく組織化された企業に対しては効果的ではないかもしれません。しかし、個人から中小企業、さらには、大規模な組織でも、罠に陥らせることができます。
■ アンチウイルスの死
David Harleyは、主流のセキュリティ業界で大物である競合技術の御用達か、または自称専門家のどちらかが「"既知ウイルス"を検出するだけなのアンチウイルスはなくなるだろう」と予測するだろうと予測しています。
・アンチウイルスは、20-30年間、静的なシグニチャに頼っていません。
・アンチウイルスは、行動分析やジェネリック検出をかなり利用しています。
・アンチウイルスは、すべての既知および未知のマルウェアを100%検出できるようなものは提供していませんし、Marcus Ranumの"Ultimately Secure DEEP PACKET INSPECTION AND APPLICATION SECURITY SYSTEM"に代わる何かも提供していません。
・遅かれ早かれ、悪用する方法が判明してしまうので(またはそれが限定的すぎるか、知識集約すぎて、平均的なユーザーには使用できず、ビジネスプロセス上で不必要に悪影響を及ぼす可能性があるので)、"今流行りの技術"に頼るよりも、ESETをインストールすることをお勧めします。
このような予測をしましたが、2013年、ESETのセキュリティ研究者たちは悪意のあるコードや、あなたのデジタル資産を盗用し、悪用しようとする悪意のある人々との闘いを継続していきますのでご安心ください。
ESETの製品開発者が同社の受賞歴のあるセキュリティ製品を改良し続けるのと同じように、このブログ上で私たちは、あなたにセキュリティとプライバシーへの脅威について収集した最高の情報をご紹介します。
出典:blog.eset.com