- 2022.03.15
- サイバーセキュリティ
2022年度のセキュリティ業界トレンド予測
サイバーセキュリティ関連コラム~第10回~
皆さん、こんにちは。クラウドセーフの平原伸昭です。このコラムは、セキュリティ分野でのスキルアップを考えているエンジニアの皆さんにお届けしています。今回は、2022年のセキュリティ業界のトレンドについて予測を書いてみたいと思います。
2022年のサイバー脅威に関しては、2021年に引き続き標的型攻撃、ランサムウェア、Emotetといったマルウェアを起因とするサイバー攻撃の脅威が今年も続くのではないでしょうか。20年間サイバーセキュリティの業界にいますが、マルウェアの被害がなかった年がないことからも間違いないと思います。最近は2021年11月に復活したEmotetの攻撃に関する対応依頼が後を断ちません。
ランサムウェアに関しても度重なる医療機関を標的にした問題を受けて、厚生労働省が医療機関向けの新たな情報セキュリティの指針を策定するといった発表を行ったのは記憶に新しいと思います。
2022年のサイバー攻撃対策
2022年のサイバー攻撃対策として、まず一つ目はEmotetが侵入する原因の一つにもなっているPPAPと呼ばれるパスワード付き圧縮ファイルを廃止する企業がますます加速するのではないかと思われます。今年に入ってソフトバンク株式会社が、パスワード付き圧縮ファイルの利用廃止について発表をしました※1。このように影響力ある会社が発表してくれると他企業も追随しやすいのではないのかなと考えています。
続いて2つ目は、ランサムウェア対策としてバックアップの重要性の再認識が加速するのではないでしょうか。バックアップのベストプラクティスには「3-2-1」ルールが有名ですが、正直敷居が高いかなという印象を持っています。というのもバックアップの「3-2-1」ルールとは、最低でも「3つのデータコピー」を「2種類のメディア」に保存し、「1つはオフサイト(別の場所)に保管する」というものですがクラウド全盛の時代に「2種類のメディア」に保存というのは敷居が高いのでは思います。もちろん「3-2-1」ルールを否定するわけではなくこのルールに沿って出来るに越したことはないとは思います。
※1 ソフトバンク株式会社「当社におけるパスワード付き圧縮ファイルの利用廃止に関するお知らせ
ランサムウェアの機能を逆手に取る対策
このように、バックアップの方法を全面的に刷新するのは難しい読者の方に簡単な対応案をインプットしたいと思います。それは、ランサムウェアの機能を逆手に取ってランサムウェアが暗号化しない拡張子をバックアップファイルのファイル名の命名規則に利用するという考え方です。参考までに次の拡張子群は、LockBit2.0の暗号化しない拡張子リストです※2。
.386.adv.ani.apk.app.bat.bin.cmd.com.cpl.cur.diagcab.diagcfg.diagpkg.dll.dmg.dmp.drv.exe.fnt.fon.gadget.hlp.hta.icns.ico.ics.
idx.ini.ipa.iso.key.lnk.lock.lockbit.mod.mp3.mp4.mpa.msc.msi.msp.msstyles.msu.nls.ocx.otf.part.pif.prf.rdp.reg.rom.rtp.sfcache.
sh.spl.sys.theme.tmp.ttf.wad.wav.winmd.wma.woff.wpx.xex
仮にバックアップファイル「backup_20200226.zip」を「backup_20200226.zip.exe」に変更することで(少なくとも弊社がインシデントレスポンスおよびフォレンジック時に発見した)LockBit2.0に感染しても暗号化を免れることができます。
※2 弊社がインシデントレスポンスをした際に解析したLockBit2.0のみの情報なため、亜種やその他のランサムウェアなどを網羅的にまとめたものではございません。
中堅企業にもEDR導入・監視、サイバー保険が浸透
このような少々斜め上からの対策ではありますが、攻撃者を欺くようなこの手の対応はアクティブディフェンスと呼ばれています。もちろんこの対応が一般的になってくると拡張子だけではなくファイルヘッダーなどからファイルタイプを確認し暗号化するランサムウェアも出現してくるかもしれません。
最後に、2022年のサイバー攻撃対策としては大企業だけではなく中堅企業にもEDRの導入とEDRを監視するサービス、リスクを移転する施策としてサイバー保険が浸透していくのではないかと予測しています。
2020年12月から1年以上にわたり非定期的に連載していた本ブログですが、今回の10回目を区切りに一旦終了します。今まで読んでいただいた方ありがとうございます。トレーニングやそれ以外でも皆様とお会いできることを楽しみにしております。
サイバー攻撃の脅威は年々増していくのは間違いない事実だと思います。少しでもこのブログが皆様の個人、および組織のセキュリティ向上に寄与出来て入れば幸いです。それでは、季節の変わり目になってきて体調を崩しやすいとは思いますがお体にご自愛くださいませ。
2002年大手セキュリティメーカーに転職後、19年以上、サイバーセキュリティ分野に従事し、マルウェアに関する動向や解析、サイバー攻撃、サイバー犯罪時のコンピュータ等に残された痕跡情報調査の分野(フォレンジック)を担当。その中で、多くの政府・企業・団体におけるサイバーセキュリティ事故対応を経験。ITをもっと安全、安心に利用することで企業成長に貢献したいという想いから2017年3月クラウドセーフ株式会社を創業。現在は、損害保険会社、上場企業、大手製造業、スタートアップ企業等のサイバーセキュリティ技術活用に関する技術顧問やセキュリティトレーニングの講師として活動。
○主な活動
2006/2007年 IPA情報セキュリティ白書 「情報セキュリティ検討会」構成メンバー
2008年 ITpro 検証ラボ:ウイルスを観察してみる連載
2012年 警察庁「総合セキュリティ対策会議」委員
2015年 愛知県警察サイバー犯罪・サイバー攻撃対策アドバイザー
(2018年 愛知県警察からサイバー空間に係る防犯の貢献による感謝状授与)
2015年 福岡県警察サイバー犯罪対策テクニカルアドバイザー
(2017年 福岡県警察から犯人検挙の貢献による感謝状授与)
2016年 北海道警察サイバー攻撃対策テクニカルアドバイザー
2017年/2018年 警視庁サイバーセキュリティ競技会問題作成及び講師
2019年 EC-Council Computer Hacking Forensic Investigator 認定講師
2019年 CompTIA Pentest+ 及びCASP+ 認定講師
2017年よりSOMPOリスクマネジメント株式会社 サイバーセキュリティテクニカルアドバイザー
○保有資格
GIAC Certified Forensic Analyst
CHFI (Computer Hacking Forensic Investigator) 他
平原氏の主な活動等の詳細はこちら(外部リンク)
筆者紹介
平原 伸昭(ひらはら のぶあき)
クラウドセーフ株式会社代表取締役
トップアウトヒューマンキャピタル株式会社サイバーセキュリティアドバイザー
2002年大手セキュリティメーカーに転職後、19年以上、サイバーセキュリティ分野に従事し、マルウェアに関する動向や解析、サイバー攻撃、サイバー犯罪時のコンピュータ等に残された痕跡情報調査の分野(フォレンジック)を担当。その中で、多くの政府・企業・団体におけるサイバーセキュリティ事故対応を経験。ITをもっと安全、安心に利用することで企業成長に貢献したいという想いから2017年3月クラウドセーフ株式会社を創業。現在は、損害保険会社、上場企業、大手製造業、スタートアップ企業等のサイバーセキュリティ技術活用に関する技術顧問やセキュリティトレーニングの講師として活動。
○主な活動
2006/2007年 IPA情報セキュリティ白書 「情報セキュリティ検討会」構成メンバー
2008年 ITpro 検証ラボ:ウイルスを観察してみる連載
2012年 警察庁「総合セキュリティ対策会議」委員
2015年 愛知県警察サイバー犯罪・サイバー攻撃対策アドバイザー
(2018年 愛知県警察からサイバー空間に係る防犯の貢献による感謝状授与)
2015年 福岡県警察サイバー犯罪対策テクニカルアドバイザー
(2017年 福岡県警察から犯人検挙の貢献による感謝状授与)
2016年 北海道警察サイバー攻撃対策テクニカルアドバイザー
2017年/2018年 警視庁サイバーセキュリティ競技会問題作成及び講師
2019年 EC-Council Computer Hacking Forensic Investigator 認定講師
2019年 CompTIA Pentest+ 及びCASP+ 認定講師
2017年よりSOMPOリスクマネジメント株式会社 サイバーセキュリティテクニカルアドバイザー
○保有資格
GIAC Certified Forensic Analyst
CHFI (Computer Hacking Forensic Investigator) 他
平原氏の主な活動等の詳細はこちら(外部リンク)
