クラウド上のデータをターゲットにした攻撃のさらなる増加
ここ2年の間で、企業はOffice 365などのSaaS(Software-as-a-Service)モデル、AWSやAzureなどのIaaS(Infrastructure-as-a-Service)やPaaS(Platform-as-a-Service)のクラウドモデルを広く利用するようになりました。これにより、クラウドにははるかに多くの企業データが蓄積されています。2019年には、クラウド上のデータを標的とする攻撃が大幅に増加すると予測されます。
Office 365の利用が増えるにつれ、サービスへの攻撃、特に電子メールを侵害しようとする攻撃が急増していることがわかりました。マカフィーのクラウドチームが確認した脅威のひとつに、ボットネットの「KnockKnock」攻撃があります。これは、通常、多要素認証を得ていないシステムアカウントを攻撃対象としていました。また、オープンな権限承認規格の信頼モデルの悪用が急増していることもわかりました。そのひとつが、ロシアのサイバースパイ集団であるファンシー・ベア(Fancy Bear)によるもので、ユーザーデータへのアクセス権を得るために偽のGoogleセキュリティアプリでユーザーをフィッシング攻撃するものです。
似たケースでは、ここ数年の間に、設定ミスによるAmazon S3バケットに起因する多くのデータ漏洩が確認されています。AWSの欠陥ではないのは明らかです。共有責任モデルに基づいて、顧客はIaaSやPaaSインフラストラクチャーを適切に構成し、エンタープライズデータとユーザーアクセスを適切に保護する必要があります。やっかいなことに、誤設定されたバケットの多くは、標的の企業ではなく、サプライチェーンに属するベンダーが所有しています。何千ものオープンなバケットや認証情報にアクセスでき、犯罪者たちの間では容易にピッキングできるこうした手法が広がっています。
McAfee Cloud Adoption and Risk Report(クラウドの採用とリスクに関するレポート)によると、クラウド内の21%のデータが知的財産権といったセンシティブデータや、顧客や個人情報データであることがわかっています。過去1年間にこうしたデータを利用しているユーザーは33%増えており、サイバー犯罪者はどうすればより多くのターゲットを見つけられるかを心得ています。
・脆弱なAPIや非管理APIエンドポイントを対象としたクラウドネイティブ攻撃により、SaaSやPaaS、サーバーレスのワークロードのデータへのアクセスを確保
・クラウドデータベース(PaaSまたはIaaSに展開されたカスタムアプリケーション)でデータの探索と漏洩を活発化させ、S3抽出ベクトルをデータベースまたはデータレイクにある構造化データに拡張
・クラウドをクラウドネイティブの中間者攻撃(例えば、誤設定によって導入された誰でも上書き可能なS3バケットを悪用したGhostWriterなど)の跳み台として利用し、MITM攻撃の変種に対してクリプトジャッキングまたはランサムウェア攻撃を開始
音声認識機能を活用したIoTデバイスへの攻撃が次なる標的に
多くのIoTデバイスの安全性は依然としてとても低いながらも、ハイテクファンの家庭がコンセントからテレビ、コーヒーメーカー、冷蔵庫、モーションセンサー、照明といったスマートガジェットで埋め尽くされるのに伴って、ホームネットワークに入り込む方法が格段に広がっています。
2019年、ネットワークに入り込むための真のカギとなるのは、家庭内のすべてのIoTデバイスを制御する目的として製作されたデバイスである音声制御デジタルアシスタントでしょう。好調な売れ行きが続き、ホリデーシーズンともなればそれに拍車がかかるのは目に見えている中で、サイバー犯罪者の関心も惹きつけてやみません。こうした音声制御アシスタントを通じて、ネットワーク上の興味深いデバイスに向かいたくなる衝動は募るばかりでしょう。
現時点で音声アシスタント市場は発展途上にあり、多くのブランドがあの手この手で市場を席巻しようと狙っています。まだ、どのデバイスがユビキタスになるかははっきりしませんが、もしあるデバイスが主導権を握れば、そのセキュリティ機能はメディアに一躍注目されるはずです。ただし、おそらくは、プライバシーに関する懸念が完全に調べ尽くされてからになるでしょう。
(昨年、我々は家庭用IoTデバイスの重要な懸念事項としてプライバシーを強調しました。プライバシーは引き続き懸念事項ではありますが、サイバー犯罪者はボットネットの構築、身代金の要求、家庭と企業への財産に対する脅迫にさらに力を注ぐでしょう。)
サイバー犯罪者が家庭やオフィスのデバイスを制御する機会を逃すはずはありません。サイバー犯罪者は市場の勝者となったデバイスが用いるいかなるタイプの文字も扱います。それは、IoTデバイスだけではなく、IoTデバイスと連携する広い権限を持ったデジタルアシスタントへの攻撃のために設計された悪意あるコードなのです。
スマートフォンはすでに脅威の窓口になっています。2019年には、はるかに大きな扉をこじ開ける道具になっているかもしれません。サイバー犯罪者が保護されていないデバイスを悪用し、実行した脅威の実例が2つあります。1つは2016年に出現したMiraiボットネットで、もう1つは2017年のIoT Reaperです。これらのIoTマルウェアは、ルーター、ネットワークビデオレコーダー、IPカメラなどのコネクテッドデバイスを攻撃するために多くの変種となって出現しました。パスワードを破り、世界的なボットネットワーク構築のために既知の脆弱性を悪用し、その影響力を拡大しました。
2019年、家庭用IoTデバイスを攻撃する二つの主要なベクトルが、ルーターとスマートフォン・タブレットです。Miraiボットネットは、ルーターのセキュリティが不十分であることを証明しました。感染したスマートフォンは、家庭内のデバイスの監視や制御を行えるので、サイバー犯罪者の格好の標的となる可能性があります。サイバー犯罪者は既存もしくは最新の技術を駆使し意のままにすることでしょう。
マルウェア作成者は、コントローラーとして信頼されているスマートフォンやタブレットを悪用し、パスワード解析や脆弱性の悪用によってIoTデバイスを乗っ取ろうとします。これらの攻撃は傍目からは不審なものとは見えません。というのも信頼されたデバイスを通じてネットワークトラフィックが行われるためです。攻撃の成功率は高まる一方、攻撃経路を特定するのは困難になります。感染したスマートフォンは、ルーターのDNS設定をハイジャックするという新たな事象を引き起こす可能性があります。モバイルやクラウドアプリの脆弱性も悪用されており、スマートフォンは、犯罪者のコアストラテジーになっています。
感染したIoTデバイスはボットネットの代役として、DDoS攻撃を開始し、個人情報を盗み出すことができます。より高度なIoTマルウェアは、音声制御デジタルアシスタントを悪用して、不審なふるまいをユーザーやホームネットワークのセキュリティソフトウェアに気づかれないように実行します。ネットワークポートを開いたり、コントロールサーバーに接続するなどの悪意ある操作は、ユーザーの音声コマンド(例えば「音楽を再生して!」「今日の天気は?」)によって引き起こされる可能性があります。やがて、感染したIoTデバイスが次のように叫ぶかもしれません。「アシスタント!バックドアを開け!」と。