2018年のサイバーセキュリティ大予測、トレンドを理解する「5つのキーワード」

公開日:
2018年、サイバーセキュリティの大きなトレンド/トピックは、昨年につづき止まらないランサムウェアの猛威、IoTデバイスへの攻撃の顕在化が挙げられるだろう。セキュリティアナリストやベンダーが公表している、新しい年の脅威動向や注目すべき攻撃についての情報を整理し、今年はどんな攻撃が流行るのか、何に注意すればいいのかを解説する。

(3)BEC(電子メール詐欺)は劇場型に

BEC(電子メール詐欺)も古くからある攻撃手法だ。SCAMと呼ばれることもあるソーシャルエンジニアリングを利用した詐欺メールによる攻撃だ。

これまで標的は主に金融機関だったのだが、2017年末にJALにおいてBECによる大きな被害はこれからのサイバーセキュリティトレンドを示唆している。

JALにおけるBEC被害の事例

2017年末に発覚したJALの事例では、攻撃者は、正規の担当者を思わせるメールアドレスや正規フォーマットの請求書などを使って、航空機のリース代、業務委託の費用などおよそ3億8000万円を不正口座に振り込ませたという。

メールの内容は、振込先の変更と支払いを要求するものだった。メールタイミングは絶妙で、請求書のフォーマット、実在の部署と担当者名を使っていた。不審に思って別の担当者に確認したが、そのメールアドレスでOKとの返事もきている。

巧妙に仕組まれたメール詐欺だが、なぜこのようなことが可能になるのだろうか。

それは攻撃者が、標的型攻撃などによって被害にあった企業、取引先のシステム内部に侵入しているからだ。取引先とのメールを盗聴するだけでなく、正規の通信を乗っ取って高度ななりすましを行えるのだ。

正規の取引メールのあとに、攻撃者は担当者を装って「社長命令で振込先をこちらに変更してほしい」と連絡する。必要なら社内書類も再現し、複数のなりすましメールアカウントを利用して、相手を信じ込ませてしまう。

メールの信頼性そのものが問われる

劇場型の振り込め詐欺さながらの攻撃は、海外では比較的頻繁に確認されており、日本でもBEC被害がさらに拡大すると見られている。

振り込め詐欺の被害がなくならないように、BECもソーシャルエンジニアリングを利用した攻撃のため、技術的な対策では限界がある。組織一丸となったセキュリティ対策への意識向上がより求められることになるだろう。

(4)AI vs. AIのサイバー攻防が起こる可能性

セキュリティ対策におけるAI活用は、他の技術と異なり、防御側が先行して利用している数少ない例だ。古くはスパムメールフィルタやマルウェアの検知などに、機械学習や統計的手法によるアルゴリズムが活用されていた。

現在はディープラーニングなども活用し、シグネチャのマッチングによらないマルウェア検知、ログの異常検知、不正アクセス検知の技術が進んでいる。

ログであれば、個別の異常イベントで攻撃やマルウェアを検知するのではなく、ログ全体から攻撃の有無を判断する場面にAI(機械学習など)が使われるようになっている。

また、AI技術を活用したマルウェア検知トラフィック解析を自動化するセキュリティベンダーが大きく市場を伸ばしている。

攻撃側でもAI活用が飛躍的に進みつつある

しかし、2017年のBlackHat USA(ハッカーの世界的なカンファレンス)では、AIやボットを使った攻撃、アンチAI攻撃の発表が相次いだ。

たとえば、AIを使って実行可能ファイルがマルウェアかどうか判断するシステムに対して、攻撃側もAIを使って、それをすり抜ける実行可能ファイルを生成するという発表があった。

いまや脆弱性の発見や攻撃の自動化にもAI技術が活用され始めているのだ。2018年はAIを使った攻撃による被害が初めて発生するかもしれない。将来的にはAI 対 AIサイバーの攻防戦が繰り広げられる日もそう遠くはないだろう。