前回は 2017年のセキュリティの振り返りについて投稿しました。今回は、パロアルトネットワークスが2017年までの傾向から見る、2018年の主なセキュリティ脅威予測とベストプラクティスについて紹介します。

 

 

 

機械学習が変える医療とサイバーセキュリティ[1]

 

 

2017 年に「機械学習」は多くの産業で流行語になりましたが、医療業界においても例外ではありませんでした。「機械学習による診断が人間の病理医よりも精確で、提案される医療計画がより良い結果に繋がった」とされる研究成果は、何度もニュースのヘッドラインを賑わせています。

たとえばスタンフォード大学では皮膚がんの診断用深層学習アルゴリズムを開発しGoogle も機械学習を使って人間の病理医よりも診断成績の良い乳がん診断ツールを開発しています。

2018 年とそれ以降は、実験的な機械学習実用化からさらに踏み込み、日常の医療現場で機械学習が援用されるシーンが広がることでしょう。

くわえて、機械学習は、医療現場に対するサイバー攻撃手法とその対策においても、医療そのものと同様の変革を起こすでしょう。従来のシグネチャベースのアンチウイルス技術を超え、ユーザの挙動や活動内容が「標準から逸脱していないか」(=アノマリ) を機械学習で分析し、攻撃を検知する対策の導入が進むと予想されます。

医療もサイバーセキュリティも膨大なデータを生み出し、またそれを利用します。一見何のつながりもない巨大なデータから相関する事象を拾い上げ意味のある結論を導き出すことも両分野の共通点です。ばらまき型の攻撃に加え、標的型攻撃のターゲットになりやすい医療業界は、ひきつづきサイバー攻撃による大きな影響を受けやすい業界でもあります。このことから、医療業界は、医療現場とサイバーセキュリティの両分野に、いかにうまく機械学習を取り入れていくかが今後重要になるでしょう。

 

産業用制御システム(ICS)や監視制御システム(SCADA) に対するサイバー攻撃の自動検出・自動対応が進む[2]

 

 

政治、テロ、営利など様々な目的から、産業用制御システム(ICS)や監視制御システム(SCADA) はこれまでも高度なサイバー攻撃の格好の標的でした。2018 年は、こうした高度な攻撃を自動的に検出し、対応までを自動的に行う仕組み (Automatic Threat Response: 以下ATR) が OT (オペレーショナルテクノロジー/運用・制御技術) に取り入れられ、実用レベルにまで成熟することでしょう。

理由はいくつかあります。その一つは業界のリーダー的企業では、すでに可視化やセグメンテーションなどは導入済みで、ATR の実証実験も済ませているケースが多く、十分に機が熟したとみなせること。専用センサーやモジュールで SIEM デバイスを補完するソリューションも登場し始めており、まずはスタンドアロン機器に検出ツールとして配備後、各種情報セキュリティ機器にネットワーク監視ソリューションとして組み込むといった活用がはじまっています。

二つめは、重要インフラを狙った大規模なサイバー攻撃や損害が実際に発生したこと。2015 年 12 月、2016 年 12 月のウクライナ電力施設へのサイバー攻撃2017 年 5 月にマルウェア WanaCrypt0r (WannaCry) が引き起こした製造工場の操業停止事件 などは ATR があれば防げた可能性があります。また OT のインシデント対応もリソース上の制約やリスク回避の流れから半自動化されつつあるという事情も後押しし、ATR の導入につながる素地は整ってきたといえます。

ATR 導入で着眼すべきは「SIEM 機器やセンサーに接続しやすい API が用意されているか」、「制御の粒度を自社ポリシーにあわせて柔軟に設定できるか」という 2 点でしょう。この 2 点を満たすことで、実際のふるまいやアノマリ検出のシナリオごとに柔軟な自動化処理を用意できるようになります。

 

データは次世代の石油 その完全性の確保に注力を [3]

 

 

AWS (Amazon web services) S3 などサードパーティのクラウドストレージサービスを利用する企業の急増とともに、2018 年は、必要なセキュリティ設定を行わない人為ミスにより機密情報が漏えいするインシデントが増えるでしょう。

実際、1800 万人分の米国の有権者に関する個人情報が、必要なセキュリティ設定を行わず、読み書き可能な状態で AWS S3 クラウド上のデータベースに保存されていたことをセキュリティリサーチャーが発見したと事例 が 2017 年 12 月半ばに判明しています。

クラウドサービスの利用者はデータを保護する責任が自分自身にあることを忘れがちです。 プロバイダが請け負うのはあくまでもクラウドやインフラ自体のセキュリティ。必要なセキュリティ設定を怠った結果データが漏えいした場合、その責任はプロバイダではなく利用者にあります。しかもセキュリティ対策を怠ったクラウドストレージサービスはインターネットから簡単に検索できます。先の有権者情報漏えいのインシデントのようにストレージ内のデータの読み書きが可能ならば、そこにマルウェアが仕込まれたり、ファイルを削除されたりする場合もあるでしょう。

データは、その資源としての戦略性を考えると、次世代の石油のようなものです。機密性、完全性、可用性の中で、これまでのサイバー攻撃では主に機密性と可用性が問題とされてきましたが、クラウドの時代はデータの完全性確保により注力する必要があります。

利用者は「自社のどんな機密情報がクラウドに保存されているのか」、「漏えいした場合のどれほどの影響があるか」、「誰がそのデータにアクセスできるか」、「データはどのように保護されているか」、「保護レベルはリスクを緩和するに十分か」、といった条件を十分に意識した上で、クラウド上のデータに誰がいつどのデータにアクセスしたかを記録する仕組みも持たなければならないでしょう。また従業員を教育し、二段階認証や二要素認証などの仕組みを利用し、データを暗号化し、暗号化キーをしっかりと管理することも忘れてはいけません。

 

ソフトウェアサプライチェーンの大侵害時代が始まる [4]

 

 

ここ数年、正規ソフトウェアベンダからのソフトウェア更新配信システムを侵害してマルウェアの感染を広げる「ソフトウェアサプライチェーン」関連のインシデントが続いています。2018 年はこのソフトウェアサプライチェーンを狙う侵害事件が多発し、その被害も深刻化するでしょう。

ひとは信頼されているものを信頼する傾向があり、自身が信頼したソフトウェアについてはその開発から配信まで悪意など介在しないはずと思い込みがちです。そこでこの心理を逆手にとった事件がすでに確認されはじめています。

たとえば 2015 年 9 月の macOS や iOS 機器用のソフトウェア開発環境 Xcode に XcodeGhost とよばれるマルウェアが感染した事件では数千個のアプリが影響を受けていたことが判明して Apple の AppStore から削除されましたし、2016 年 3 月には人気 BitTorrent クライアント Transmission のインストーラに macOS 用ランサムウェア KeRanger が同梱されて感染を広げました。 2017 年 6 月に確認されたマルウェア NotPetya が、ウクライナで利用の多い会計ソフト MeDoc の更新機能配信システムを侵害して拡散したことも記憶に新しいでしょう。

いずれのインシデントでもフィッシングや脆弱性の悪用よりもソフトウェアデベロッパを直接侵害して感染を広げています。このため信頼するデベロッパから署名つきアプリケーションが配信された場合は実行を許可するいわゆる「アプリケーションホワイトリスト」では、有効に対処できないケースが増えるはずです。ソフトウェアサプライチェーンの大侵害時代には、アプリケーションの出自による判定だけでなく、アプリケーションのふるまいからアノマリを発見・防止する仕組みをもつことが攻撃のライフサイクルすべての過程で必要になるでしょう。

 

安全性の低いデバイス、匿名通貨高騰がもたらす未知の脅威が小売業界に影響[5]

 

 

2018 年、小売業界は安全性の低い多種多様なデバイスからのアクセスと、匿名通貨の高騰がもたらす未知の脅威に大きな影響を受けるでしょう。

1990 年代の e-コマース市場は主に Windows を搭載する PC からのアクセスを考慮して設計していればすみました。2018 年は Windows、macOS、iOS、Androidなど新旧バージョンの多種多様な PC 用、スマートフォン用オペレーティングシステムに加え、ウェアラブルデバイスやスマートスピーカーをふくむ IoT デバイスからの注文についても安全に取引できるよう設計しなければなりません。

ところがデバイスのサイズ、価格、ユーザーフレンドリーなインタフェースや修正プログラム配布メカニズムの欠落などの様々な制約から、必ずしも PC と同程度のセキュリティを確保できない製品が多く出回っています。このため、あらゆるプラットフォーム上で注文を安全に処理することはますます難しくなると予測されます。

2017 年には匿名通貨の価格高騰を受け、web サービスに不正にデジタル通貨採掘を行うスクリプトが埋め込まれる攻撃も相次ぎました。2018 年も匿名通貨に関連した攻撃は加速し、インターネット上で顧客と金銭のやりとりを行う小売業界はその主要な攻撃対象になるでしょう。有名ショッピングサイトの知名度を利用し、利用者のコンピュータリソースでマイニングを行う場合もあれば、窃取した匿名通貨がギフトカード購入を通じて資金洗浄される場合もあるでしょう。

安全性の低い機器からの接続を受け入れざるを得ない小売業界が現実的な対策を行うには、「ゼロトラスト」アーキテクチャの採用を検討すべきでしょう。さらにデジタル通貨関連の脅威は登場してから日が浅く、今後どのような脅威が出て来るかは未知数なので、引き続き脅威の動向を注意深く観察する必要があるでしょう。いち早く脅威情報をつかむため、情報共有プログラムへの積極的な参加を検討しましょう。

 

物理的破壊を伴うセキュリティ侵害が増え、規制導入が相次ぐ[6]

 

 

これまでサイバー攻撃による「損害」といえば情報漏えいや DDoS 攻撃など「画面の向こう側」で起きる問題が主でしたが、2018 年には人命に直接影響するような物理的破壊を含む事件が発生すると予測されます。社会に与えるこうした深刻な影響から、2018 年はセキュリティ対策水準の底上げが必須となり、それがさらなる規制の導入へ繋がるでしょう。

たとえば 2016 年 7 月に可決した欧州の NIS ディレクティブ (サイバーセキュリティ情報共有法) では、2018 年 5 月までに EU 加盟各国が同規制を国内法に落とし込むことを要求しています。またその後 6 ヶ月以内 (2018 年 11 月) に同規制の対象となる OES (Operator of Essensial Services 重要サービス提供事業者) を特定することも要求しています。OES のカテゴリのひとつに「デジタル・サービス・プロバイダ (DSP)」があげられており、従来の金融、輸送、エネルギー、電力・ガスなどの重要インフラに加え、新たにオンラインマーケットプレイス、クラウドコンピューティング、検索エンジンの各サービス提供事業者がこの規制対象となります。

このほか欧州では決済サービス司令 (Revised Payment Services Directive、通称 PSD2) も 2018 年 1 月までに加盟各国が国内法に落とし込むことが求められていますし、2018 年 5 月には EU 市民の個人情報を扱う組織を対象とした GDPR 施行も控えています。

これら規制の中には EU 加盟国だけでなく EU 市民の情報を扱う世界のすべての組織が影響を受けるものもあります。とくに GDPR は日本企業であっても EU 市民の個人情報を扱う限りは適用対象となりえます。

各社の CISO、CSO はこうした規制の求める変化に追随しなければなりません。世界各国で導入される規制が自社のビジネスに与える現実的影響の査定には時間がかかります。こうした規制の違反者に課せられる潜在的制裁金はとびぬけて高額になる場合がありますから、どの企業もできるかぎり早い段階で自組織のビジネスへの影響を法律的・実際的見地から把握する作業に入るべきでしょう。

 

IoT で消失する公私の境界[7]

 

 

ここ数年で社員の私物携帯電話やスマートフォンを一定の条件つきで仕事の利用に許可している組織が増えてきました。とくにクラウドサービスと連携すれば同じデータにいつどんな端末からでもアクセスできるので、会社は機器管理コストを節約でき、社員はすきま時間を有効活用して柔軟に仕事を進めることができるようになりました。

2018 年は Android デバイス、iOS デバイス、タブレット端末などのスマートデバイスに加え、ウェアラブルデバイスなどの IoT 機器も組織のネットワークに入り込み、公私デバイスの境界がますます不明確になるでしょう。これにともない、各社の CISO や CSO は、スマートフォンに限定されない社員の私物デバイスからの情報流出対策に重点をおく必要が生じるでしょう。

こうしたスマートデバイス、IoT デバイスには、業務上の正当な理由から会社の重要情報、機微な個人情報を保存されることもあります。個人の所属する組織の情報は SNS サイトから簡単に探すことができるので、セキュリティ対策が手薄になりがちな IoT デバイスが組織への侵入口として狙われるようになるでしょう。

様々な種類のスマートデバイスや IoT デバイスが混在する環境で組織のサイバー衛生をたもつには、変化するデバイスに合わせた社員教育が必須です。スマートフォンに限定することなく、IoT デバイスのセキュリティ設定、アプリを安全に使う方法などを柔軟に BYOD 教育に加えるべきでしょう。

 

ランサムウェアの蔓延は続く[8]

 

 

2017 年は疑いもなくランサムウェアが大成功を収めた年でした。ノストラダムスでなくとも 2018 年も同様の傾向が続くことが容易に予想できます。ただし、ランサムウェアの背後にある攻撃意図や手法は 2018 年も利益最大化を求めて変化しつづけるでしょう。

これまでのランサムウェアの「ビジネスモデル」では、主にファイルを個別に暗号化する方法で被害者を脅迫し、それぞれの被害者から一定の金銭的利益を引き出そうとするものでした。しかし 2017 年 3 月には政治的な目的でランサムウェアを利用するケースが確認されていますし、2017 年 6 月の NotPetya のケースでは一見ランサムウェアのようにふるまいながら、実際にはファイルを個別に暗号化して金銭を要求するかわりにハードデイスクの MBR (マスターブートレコード) を暗号化することでシステムをクラッシュさせることを目的としていました。

営利目的であっても、どの被害者にも同じ額を要求するのではなく、相手の経済状態や窃取したデータを分析した結果から柔軟に身代金の要求額を変更するケースも増えてくるでしょう。

目的の変化のほか、対象となるプラットフォームも Windows から macOS、Linux などへ広がり、ワームとしてネットワーク内外に拡散する機能が追加されたものやエクスプロイトキットを悪用するものなどランサムウェアに別の脅威のテクニックを組み合わせたものが増えてくることでしょう。

成功報酬を山分けするサービス事業者やランサムウェアによる攻撃を簡単に行えるツールが安価で豊富に提供されていることから、2018 年もランサムウェアを利用した攻撃が蔓延する点については間違いありません。

残念ながら、ランサムウェアの被害をシグネチャベースのアンチウイルス対策だけで防ぐことは難しいでしょう。機械学習による次世代の検出メカニズムであっても、一部はすり抜けて被害を及ぼすことがありえます。オフラインで定期的にバックアップと復元テストを行うこと、ふるまい検出、機械学習による検出ですり抜けを最小限に押さえること、これらの対策に加え、ネットワーク内のマルウェア拡散を早期防止できるような、異なるセキュリティ対策製品が自動連携できるしくみも重要になります。

 

日本における脅威予測

 

 

先に述べたように日本ではここ数年、不正送金を目的としたばらまき型攻撃が大量に見られました。こうした事態を受け、金融機関や法執行機関による周知が頻繁に行われるようになり、ユーザもセキュリティ対策の強化や、不審なメールの取り扱いに慎重になっています。攻撃者はユーザの警戒による攻撃の失敗と、それにともなう収益の低下を避けるため、これまでとは異なる新たな戦術をとる可能性があります。

その一つは仮想通貨を採掘するマイニングです。これは採掘用ソフトウェアをコンピュータにインストールし大量の計算を行うことで仮想通貨を得るものです。侵害したコンピュータを使って勝手にマイニングさせる数は増加傾向にあり、すでにランサムウェアを使っていた一部の攻撃者はマイニングにシフトしていると言われています。日本に対して大量のばらまき型攻撃を行っていたグループが新しい戦術をとるようになった場合、再び大量の感染端末が出る可能性が考えられます。また、計算を行うだけという特性上、ユーザが感染そのものに気づかず被害が長期化することが懸念されます。

機械学習や深層学習の急速な発達にともない、AIを搭載した機器やサービスなども身近になってきました。文章や音声で人とコミュニケーションを行うチャットボットやスマートスピーカーなどの技術導入も容易になってきたので、これを悪用する攻撃者が増える可能性もあります。振り込め詐欺やビジネスEメール詐欺、知人を装ったSNSメッセージによるカード番号の詐取などは、会話のやり取りで金銭を騙し取る犯罪です。こうしたコミュニケーションを伴う犯罪は人手に頼るものであり、大量に仕掛けるためには人手を増やさなければならないという攻撃側の課題があります。

しかし、AIを活用したテクノロジーが発達すれば、機械による自動化・効率化で人手に頼らずに攻撃量を増加させることが可能になります。すでにその要素技術は揃っており、詐欺AIを開発し、学習をくりかえせば精度が上がり、日本で被害が多数報告される振り込め詐欺に悪用されれば、個人情報リストからターゲットの選定、電話・メール・チャットアプリによる相手との会話や必要な情報の引き出し、送金の指示まで、すべて自動化される可能性が考えられます。


出典

  1. Matt Mellen. "2018 Predictions & Recommendations: Advances in Machine Learning Will Improve Both Patient Care and Cybersecurity." https://researchcenter.paloaltonetworks.com/2017/11/2018-predictions-recommendations-advances-machine-learning-will-improve-patient-care-cybersecurity/
  2. Del Rodillas. "2018 Predictions & Recommendations: Automated Threat Response Technology in OT Grows Up." https://researchcenter.paloaltonetworks.com/2017/11/2018-predictions-recommendations-automated-threat-response-technology-ot-grows/
  3. Sean Duca. "2018 Predictions & Recommendations: Data is the New Oil and Integrity is the Key." https://researchcenter.paloaltonetworks.com/2017/12/2018-predictions-recommendations-data-new-oil-integrity-key/
  4. Ryan Olson. "2018 Predictions & Recommendations: The Era of Software Supply-Chain Attacks Has Begun." https://researchcenter.paloaltonetworks.com/2017/12/2018-predictions-recommendations-era-software-supply-chain-attacks-begun/
  5. Christopher Budd. "2018 Predictions & Recommendations: What Retailers Should be Thinking About and Planning for." https://researchcenter.paloaltonetworks.com/2017/12/2018-predictions-recommendations-retailers-thinking-planning/
  6. Greg Day. "Predictions & Recommendations: Horizon Scanning in EMEA for 2018 and Beyond." https://researchcenter.paloaltonetworks.com/2017/12/2018-predictions-recommendations-horizon-scanning-emea-2018-beyond/2018
  7. Paul Calatayud. "2018 Predictions & Recommendations: The Internet of Things Blurs the Line Between Personal and Corporate Security." https://researchcenter.paloaltonetworks.com/2017/12/cso-2018-predictions-recommendations-internet-things-blurs-line-personal-corporate-security/
  8. Danny Milrad. "2018 Predictions & Recommendations: The Ransomware Epidemic Continues." https://researchcenter.paloaltonetworks.com/2017/12/2018-predictions-recommendations-ransomware-plague-just-beginning/

 

パロアルトネットワークス管理者ガイド日本語版

このガイドで、パロアルトネットワークスのファイアウォールのWeb管理画面の使用方法を説明します。対象は設置、運用管理、メンテナンスを行うシステム管理者向けです。 ※このページで提供する管理者ガイドが最新版でない可能性があります。最新版に関しては、製品をご購入された販売代理店にご相談ください。  
  • 3
  • 15312

PA-800 Series

主なセキュリティ機能: すべてのアプリケーションをすべてのポートで常時識別 • 使用されているポートや暗号化(SSLまたはSSH)、セキュリティの回避技術に関わらず、アプリケーションを識別します。 • 許可、拒否、スケジュール、スキャン、帯域制御の適用などのセキュリティ ポリシー決定の要素として、ポートではなくアプリケーションを使用します。 • 不明なアプリケーションを、ポリシー制御、脅威のフォレンジック、またはApp-ID™アプリケーション識別テクノロジの開発が行えるよう分類します。
  • 1
  • 10581

PA-3200 Series スペックシート

パロアルトネットワークス® PA-3200 Series の次世代ファイアウォールは、PA-3260、PA-3250、およびPA-3220 で構成されています。これらのモデルはすべて高速の インターネット ゲートウェイでの導入を目的としたものです。PA-3200 Seriesはネットワーキング、セキュリティ、脅威防御および管理のための専用処理およびメモリ を使用して、暗号化トラフィックを含むすべてのトラフィックを保護します。
  • 0
  • 3091

PA-3000 Series スペックシート

PA-3000シリーズの主な機能、パフォーマンスと容量、および仕様。
  • 1
  • 8521

PA-5200 Series

パロアルトネットワークス® PA-5200 Seriesの次世代ファイアウォール アプライアンスは、PA-5260、PA-5250、PA-5220から構成されており、高速データセンター、インターネット ゲートウェイ、およびサービス プロバイダでの導入に適しています。PA-5200シリーズは、ネットワーキング、セキュリティ、脅威からの防御と管理の重要な機能領域専用の処理機能とメモリを使用して、最大80Gbpsのスループットを提供します。
  • 0
  • 5428