Tenable による 2023 年の 6 つの予測

2022 年の年末を迎え Tenable の専門家に来年の見通しについて尋ねました。 情勢を分析した結果、恐喝攻撃、OT セキュリティ、SaaS の脅威、メタバースのリスクなどの動向が予想されています。

Tenable の専門家による 2023 年の 6 つの予測についてご紹介します。

1 - 恐喝攻撃が急増する

セキュリティチームは恐喝攻撃の急増に備える必要があります。 恐喝は犯罪者にとって効果的な手段であり、ランサムウェアの特徴であるデータ暗号化攻撃よりも簡単に実行できるため、この 1 年の間にサイバー犯罪者の間で関心が高まってきました。 

ハッカー集団 Lapsus$ のようなグループによる恐喝攻撃の成功を見て、攻撃者たちは彼らの手口を熱心に真似ています。 2023 年、CISO はさらに勢いを増した恐喝攻撃の嵐を乗り切れるよう備えておかなくてはなりません。

恐喝攻撃について詳しくは以下をご覧ください。

• Cyber Extortion: An Industry Hot Topic (Center for Internet Security)
• What is cyber extortion? (TechTarget)
• 恐喝グループ「LAPSUS$」を理解する (Tenable)
• Cyber extortion surges 78% on spread of ‘ransomware-as-a-service’ (CFO Dive)
• DHS Cyber Safety Review Board to focus on Lapsus$ hackers (CyberScoop)

2 – OT セキュリティは予算削減を逃れる 

マクロ経済の苦境が続く中、企業は新たな年に向けて IT サイバーセキュリティの支出計画は容易く承認されないことが最大の注意が払われるとと予想されます。 ただし、重要なオペレーショナルテクノロジー (OT) システムの保護は優先し、相応な支出の増加がみられるでしょう。 

CISO や経営陣、そして取締役会は、重要なインフラをターゲットとし、世間の注目を集めたサイバー攻撃の影響を目の当たりにしてきました。 そのため、OT に対するリスクが高まっていること、また OT セキュリティの手間暇を惜しむことは不利になることを理解しています。

OT セキュリティについて詳しくは以下の Tenable ブログをご覧ください。

• OT サイバーセキュリティ対策の推奨事項を取り入れて 米国政府のポリシーの成果を向上する
• OT サイバーセキュリティを強化するための 3 つの政策の提言
• IT-OT 環境のセキュリティ対策に IT セキュリティ専門家が苦労する理由
• Log4Shell: OT コミュニティが今すぐ取るべき 5 つのステップ

3 – SaaS ベンダーがハッカーの餌食に

サービスとしてのソフトウェア (SaaS) アプリケーションは、責任分担モデルが採用されており監視機能が限定的であることから、その普及が進むにつれ、攻撃者にとってますます魅力的なターゲットとなっています。 そのため、2023 年には SaaS プロバイダーに対して、大々的に報じられるような重大なセキュリティ侵害が発生する恐れがあり、 SaaS のセキュリティとソフトウェアのサプライチェーンのリスクが注目されるようになると予想されます。

この予想を背景に、企業側は、採用候補の SaaS ベンダーのサイバーセキュリティ対策を徹底的に評価することの重要性を再認識しています。 このようなデューデリジェンス (正式にはベンダーリスク管理と呼ばれるプロセス) を行ったとしても、選択したすべての SaaS ベンダーが今後侵害を受けないと保証されるわけではないのは事実です。 

しかしながら、信頼性の高いセキュリティとコンプライアンスのプラクティスに従っている SaaS ベンダーは、被害を受ける可能性が低くなるため、デューデリジェンスを行うことでリスクは軽減されるでしょう。 また、企業は SaaS ベンダーのうちの 1 社が侵害された場合に備えて、予防策を講じ、事業継続計画や災害復旧計画を立てておく必要もあります。

SaaS ベンダーのリスク管理について、また運用とデータに影響を与える可能性のあるハッキングや大規模なサービス停止が発生した場合に備えた事前対応型の計画について詳しくは、以下の記事をご覧ください。

• Key takeaways from CSA’s SaaS Governance Best Practices guide (CSO Magazine)
• SaaS and Third-Party Risk: Is Your Organization Asking the Hard Questions? (DarkReading)
• クラウドセキュリティ: 責任共有モデルについて情報セキュリティリーダーが知っておきたい 3 項目 (Tenable)
• Best practices for negotiating a SaaS SLA (TechTarget)
• A 10-point plan to vet SaaS provider security (CSO Magazine)

4 – 国家支援を受ける攻撃者たちの標的はクラウド MSP 

より迅速かつ手軽にクラウドの利用を拡大することを目的として、クラウド向けのマネージドサービスプロバイダー (MSP) を使用する企業が増えていますが、国家支援を受ける悪意のある攻撃者はこの傾向を利用しようとすると予想されます。 この種の攻撃者は、MSP やその主な顧客を侵害して、国家に代わり地政学的な破壊活動を行い、誤った情報を拡散し、知的財産を盗み、重要インフラを侵害しようとするでしょう。

ここでもまた、採用予定のベンダーのサイバーセキュリティプロセスとインフラの防御態勢の強度を評価するために、デューデリジェンスを行うことが重要になる状況が予測されています。特にクラウド MSP は、国家支援を受けている攻撃者の標的となる可能性が高まっているので、慎重な評価が必要です。

このトピックについて詳しくは以下をご覧ください。

• US, allies warn of nation-state attacks against MSPs (TechTarget)
• Protecting Against Cyber Threats to MSPs and their Customers (CISA)
• IT サービスプロバイダーと MSP のサイバーセキュリティ対策を評価する (Tenable)
• Risk Considerations for Managed Service Provider Customers (CISA)
• US Secret Service reports an increase in hacked MSPs (ZDNet)

5 – 急がば回れ: 多くの企業がメタバースのセキュリティを見落とす

企業はメタバースへの進出を急いでいます。しかし、新興技術の導入時によくあることですが、多くの企業がサイバーセキュリティを後回しにしてしまい、その結果メタバースは新旧さまざまなサイバーリスクにさらされ、脆弱な状態に置かれてしまうと予想されます。 

実際、最近 Tenable のレポート Measure Twice, Cut Once: Meta-curious Organizations Relay Cybersecurity Concerns Even as They Plunge Into Virtual Worlds では、これらの 2 つの要因 (メタバースの積極的な採用とサイバーセキュリティの準備不足) がすでに現実化している状況について調査報告しています。 

オーストラリア、英国、米国における IT、サイバーセキュリティ、DevOps の専門家 1,500 人を対象に調査を行ったところ、81% の企業がメタバースで既にサービスを開始しているか、来年中に開始する予定であることがわかりました。 ただし、このような仮想世界で脅威の抑制に強い自信を持つ専門家は半数以下でした。

堅牢なサイバーセキュリティに支えられた企業のメタバース戦略を実現する第一歩としてお勧めするのは、この 18 ページのレポートをダウンロードし、インフォグラフィックを参照し、関連するブログを読むことです。 このトピックについては以下の記事でもご確認いただけます。

• How to ensure a secure metaverse in your organization (TechTarget)
• The metaverse is coming, and the security threats have already arrived (ZDNet)
• Top metaverse cybersecurity challenges (TechTarget)
• A Survey on Metaverse: Fundamentals, Security, and Privacy (西安交通大学、ウィンザー大学、ウォータールー大学)
• As the metaverse evolves, businesses must think differently about virtual security (ITPro)

6 – 経済の混乱が暗号資産の詐欺を加速

最後に、Tenable は、世界的な経済状況に対する人々の懸念が深まるのに乗じた詐欺師たちが、一攫千金を狙える詐欺に力を入れ、ソーシャルメディアプラットフォームやオンラインの出会い系サービスで偽の暗号資産投資を積極的に売り込んでいくだろうと予想します。

2023 年がもうすぐ始まりますが、暗号詐欺の被害には遭わないようにお気をつけください。このトピックに関連して、リスク軽減に役立つ情報を以下にご紹介します。

• 9 common cryptocurrency scams in 2023 (TechTarget)
• What To Know About Cryptocurrency and Scams (U.S. 連邦取引委員会)
• Twitter の暗号通貨詐欺: Bored Ape Yacht Club、Azuki、その他のプロジェクトが NFT や暗号通貨を盗むために偽装される (Tenable)
• Bitcoin Scams: How to Spot Them, Report Them, and Avoid Them (Investopedia)
• How to Avoid Becoming Another Crypto Fraud Statistic (Lexology)