2018年が始まってすでに3週間が過ぎました。今年最も懸念される潜在的なセキュリティ上の脅威が何かを考え、それらを未然に防ぐ方法を検討するには良い時期かもしれません。ここでは、注意を喚起するために、いろいろな視点からサイバーセキュリティについて考察します。

サイバー犯罪者を煽る政治的陰謀 

2017年12月、ホワイトハウスは、北朝鮮当局が関与していると言われる Lazarus グループが、WannaCry ランサムウェアの攻撃を実行したと公式に発表しました。このサイバー攻撃は、主に企業、政府機関、英国の国民保健サービス（NHS）を対象に、昨年、150カ国以上で23万台以上のコンピュータに影響を与えました。

この見解は、トランプ政権だけのものではありません。英国のベン・ウォレス国防相もBBCに対して、「この攻撃は外国から来たものだと確信している。」と述べ、後にその外国が北朝鮮であることを明らかにしました。

米国は、将来のサイバー攻撃を抑止するために北朝鮮に報復する選択肢がほとんどなく（できるのは、自身のセキュリティを強化することぐらいでしょう）、この種の攻撃は今後も発生すると予想されます。

企業はサイバーセキュリティ担当者不足に悩む 

Cybersecurity Ventures は、セキュリティ担当者の需要が拡大するものの、資格を持った求職者が不足するため、セキュリティ分野の要員不足は2021年までに350万件に達すると予測しています。

2017年のESG調査によると、組織の45％はサイバーセキュリティの経験を持つ社員が「問題と考えられるレベルで不足」していると報告しています。スキル不足は経験の浅い社員を教育する負荷につながり、既存スタッフの作業負荷はますます増大します。深刻なサイバー脅威のリスクが高まるため、手薄になったサイバーセキュリティ部門は、戦略的な計画を立てたり、スキル・アップや訓練のために時間をあてることができず、緊急の問題にすべての時間とエネルギーを集中させなければならなくなるでしょう。

IoT ハッキングが大きな脅威

ますます多くのデバイスやパブリックのインフラストラクチャがインターネットに接続され、ハッキングの対象になり得るデバイスが指数関数的に増加しており、さらに多くの攻撃が報告されることになるでしょう。スマートな冷蔵庫、ウェブカメラ、TiVos、スマートTVなどのIoT接続デバイスは、攻撃に対する脆弱性が高く、ボットネットでの使用ですでにエクスプロイトが発生しています。これらのデバイスはランサムウェア攻撃の対象となりやすいと予測されます。昨年の WannaCry ランサムウェアは、米国でも小規模ユーティリティや製造現場に影響を与えましたが、2018年には、インフラストラクチャと IoT セキュリティに対する大規模な攻撃があるかもしれません。

ハッカーに益する人工知能と機械学習

IoTセキュリティにとって最大の脅威の1つは、AIテクノロジーです。

AIはサイバー攻撃者によって効果的に利用され得るテクノロジーです。サイバー攻撃者は、AIテクノロジーを使うことにより、ITインフラストラクチャに潜入し、検知されることなくネットワークに長時間滞在することが可能になります。さらに、機械学習を行って、マルウェアにネットワークとそのユーザーについての内部知識を蓄積していくことも可能で、やがてシステム全体のコントロールを掌握してしまいかねません。

これは伝統的なカーボンベースのハッカーの手口によく似ていますが、AIは人間とは異なり、眠る必要もなく勤務スケジュールに従う必要もありません。休憩することなくいつでも働き続けられます。言うまでもなく、AIは人間よりも大量のデータを高速に処理できるため、データベースをより迅速かつ効率的に処理することができます。

人工知能技術を利用したサイバー攻撃の増加に対抗するために、有害なAI攻撃を阻止するAIディフェンスの開発も始まっています。Googleは、有害なAIに効果的に対抗できるようシステムを強化するために「AI Fight Club」と呼ばれるセキュリティグループを作成しました。

極めて厳格な GDPR に違反すれば膨大なコスト

EUの一般データ保護規則は、2018年5月25日に発効します。これはEU居住者の個人データを処理する企業にとって大きな変化を意味します。

GDPRは、EU居住者の個人データを処理するすべての組織が、マルウェアや他のサイバー脅威からデータ保護するための「適切な」セキュリティ手段を講じていることを証明することを要求しています。「適切な」セキュリティ対策の曖昧さに加えて、データ処理アクティビティが第三者によって実施されることも多く、個々のセキュリティ対策をすべて監督することが困難であるため、この要件を満たすためには複雑なプロセスが必要になるでしょう。

GDPRコンプライアンス違反に対しては最高2,000万ユーロまたは世界売上げの4％の罰金が科されます。

新しいGDPRルールは、データ漏洩の場合、大規模データベースを管理していなかった企業には大きな責任をとらせます。大規模データベースを保管・処理する企業は、どういうデータを収集しているのか、その理由、そしてデータをどのように保管しているのかについて、しっかり考察する必要があります。

KRACK と Meltdown/Spectre のような
長年存在していた設計上の脆弱性への攻撃

毎日使われているサービスやデバイスには隠れた設計上の重要な脆弱性がある場合があり、サイバー犯罪者に利用されると壊滅的な問題が起こる可能性があります。

2017年には、広く使われているソフトウェアに抜け穴や脆弱性などの大きな問題がありました。デバイスとルーター間を移動するWi-Fiネットワーク上の情報を攻撃者が傍受するKRACK攻撃は、WPA2 ソフトウェアに長年にわたって存在していた欠陥を利用したものです。今年初頭に公開されたMeltdown、Spectre と呼ばれる２つの脆弱性も、何年も生き残ってきた設計上の欠陥の顕著な例であり、膨大な数のデバイスが攻撃に対して脆弱です。

脆弱性を発見するためには、アーキテクチャと設計を広い範囲でチェックする必要があるので、この種の脆弱性を利用した攻撃は予測や防御が非常に困難です。

サイバー犯罪者はますます狡知になってきており、気付かれないまま存在していたデバイスやソフトウェアの脆弱性をハッカーが発見して悪用する危険性は常に存在します。このような脆弱性への攻撃に対して備えるには、製品の設計とアーキテクチャを徹底的にレビューすることぐらいしかありません。