5,387 文字
情報は力です。知識が多ければ多いほど、できることも増えます。そしてこれはサイバーセキュリティの世界では特に当てはまります。ハッカーが何をしているかについて知れば知るほど、防御を構築する上でより良い仕事ができます。そのため、IBMのX-Force脅威インテリジェンスインデックスレポートが毎年発表されることは非常に重要です。このレポートでは、IBMのセキュリティ研究者たちがダークウェブでのハッカーの議論や、実際のインシデント対応シナリオを通じて観察したことに基づく調査結果を発表しています。
このビデオでは、その調査結果について見ていきます。良いニュース、悪いニュース、そして厳しい現実について。また、最も一般的な攻撃から身を守るためにできることについての推奨事項もお伝えします。そして最後まで見ていただければ、ダークウェブから学んだことについての特別な発見もご紹介します。では、まず良いニュースから始めましょう。
実はランサムウェアは実際に減少しています。3年連続で減少傾向にあるのです。実際、ランサムウェア関連の支払いは35%減少しています。これはとても良いニュースです。また、この良いニュースの理由の一部として、これらの支払いが減少し、ランサムウェアがそれほど普及していない理由として、法執行機関が多くの支援をしてくれていることが挙げられます。
実際、彼らはいくつかの非常に注目度の高いランサムウェアリングを摘発しており、それがここでも効果を表しています。しかし、ランサムウェア攻撃者がアプローチや戦術、目標を変えているのも見られます。例えば、以前は主にデータを暗号化して、それを取り戻すために料金を請求することが主でした。
今では単にデータを盗み出し、「支払いがなければこれを世界に公開する」と恐喝したり、彼ら自身がそのデータを利用したりしています。ここではさまざまなことが起こり得ます。すべてが良いニュースというわけではありませんが、確かに改善はあります。
もう一つの良いニュースはどうでしょう?フィッシング攻撃が実際に50%減少しています。これは良いニュースです。なぜならフィッシングはデータ侵害の主要な原因の一つだったからです。データ侵害がすべてなくなったというわけではありません。実際、これについてはまだ祝うべきではないでしょう。後ほど「悪いニュース」の部分でこれについてもう少し話しますが、これには裏側があります。
しかし、この分野でいくらかの改善が見られるのは良いことです。そしてもう一つ良いニュースをお伝えしたいのは、永続的マルウェアのサンプル数が減少したということです。本当に洗練されたマルウェアで、取り除くのが非常に難しいこの種の事例の数が減少しているのを見ました。
なぜこれが起きていると思いますか?実はITセキュリティやサイバーセキュリティツールへの投資が実を結んでいるようです。実際、EDR(エンドポイント検出と対応)機能がこれに貢献していることがわかってきました。そしてサイバーセキュリティツールを使用した高度な検出をより良く行う能力も。
これらすべてが、永続的マルウェアが環境に与える影響を減らすことに貢献しました。さて、次は悪いニュースを見てみましょう。私たちにとって良くなかったことの一つは、認証情報の窃取が増加したことです。実際、これは我々の調査によると侵入経路のナンバーワンであり、システムへの侵入方法の30%を占めていました。
これは大きな問題です。以前のビデオでも言ったように、ハッキングするよりログインする方が簡単です。だから認証情報を盗めば、私はあなたになりすまして入り込み、あなたができることをすべてできるようになります。これは問題です。私たちはまだこれに対処する必要があります。これに関連して、フィッシング攻撃が減少したと言いましたが、実際に侵入に成功している攻撃のタイプでは、特定のタイプの増加が見られます。
それはインフォスティーラー(情報窃取型マルウェア)を扱うものです。実際、これらが84%増加したことがわかりました。インフォスティーラーとは何でしょうか?基本的にはあなたのシステムに入り込み、あなたに関する情報を盗もうとするソフトウェアです。例えば、認証情報などです。先ほど話したように、あなたのログイン、パスワードを盗むことができます。
また、後にIDの盗難の一部として使用される可能性のあるあなたに関する情報を盗むこともできます。クレジットカード番号なども盗めます。ですから情報窃取は悪者たちが追求していることであり、それが増加し続けていることがわかります。私たちが見たもう一つの悪いことはダークウェブに関係しています。
私たちの調査では、ダークウェブを調査した際、ダークウェブで議論されていた上位10個の脆弱性のすべてに公開されたエクスプロイト(攻撃コード)が存在していることがわかりました。つまり、これらは単なる理論上の脅威ではなく、実在する脅威であり、人々がそれについて話し合っている、それを行う能力と意志のある人々が話し合っているということです。
私たちが見たもう一つのことは、これらの多くが認証情報に関するものであるということです。そして認証情報に関しては、異なるタイプのサービスが見られます。はい、サービスがあります。「アクセス・アズ・ア・サービス」と呼ばれるサービスがあり、これは基本的に認証情報を盗むことができるシステム、または他の人の既存の認証情報を活用することができるシステムを提供します。
「アクセス・アズ・ア・サービス」は実際に存在するものであり、「中間者攻撃」に関連するこの種のものがより多く見られます。中間者攻撃とは、あなたがいる場所とログインしようとしている場所の間の経路に自分自身を挿入できれば、あなたの認証情報やあなたに関する他の情報を傍受できる可能性があるという方法です。
これは長い間存在してきたものですが、この種の活動の増加が見られます。もう一つの領域で、まだ判断が難しいのが人工知能です。これは私たちにとって何をもたらすのでしょうか?昨年のレポートでは観察結果を発表し、その観察結果を再び繰り返しています。
それは、技術がその採用曲線の特定のポイントに達したとき、それが本当に悪用され始めると予想されるということです。AIについて考えると、AIプロジェクトは次のように進行するかもしれません。私たちにはさまざまなレベルがあります。概念実証から始め、パイロットモードに移行し、本番環境に移行します。
ある技術が約50%に達すると、それは変曲点であることがわかります。AIプロジェクトがますます本番環境に移行し始めるとき、現在はいくつかが本番環境にあり、多くがまだこの段階にあると思いますが、プロジェクトがますます本番環境に移行し始めると、この分野でより多くの攻撃が見られると予想しています。
すでに初期の兆候が見られます。ここに警告を出します。AIの環境をどのように保護するかを学んでください。なぜなら、それは新しい攻撃対象領域だからです。そして今から厳しい現実をお話しします。あるケースでは、人気のAIチャットボットが100万件以上の機密記録を漏洩しました。これにはユーザーのチャット履歴やAPIキーが含まれていました。
要するに、ユーザーに安全な代替手段を提供しなければ、彼らは安全でない手段を使用することになり、このような結果になります。また、ランサムウェア・アズ・ア・サービス(これも実際に存在します)に関しては、泥棒の間には名誉がないかもしれないことも分かりました。
例えば、2024年に米国史上最大の医療データ侵害が発生しました。これは1億人以上のユーザーに影響を与え、2,200万ドルの身代金が支払われました。これはどのように機能したのでしょうか?ランサムウェア・アズ・ア・サービスのプロバイダーがいます。プロバイダーはこのシステムを作成し、アフィリエイト(システムを利用して組織を攻撃する人)がそれを活用します。
そういうことが起きたわけです。そして、先ほど言ったように、1億のユーザーレコードが漏洩し、彼らは2,200万ドルの身代金を支払いました。そうすると、お金は実際に攻撃を開始したこの個人に渡ると思うでしょう。しかし、そうではありません。プロバイダーが結局彼らを取引から締め出し、自分自身でお金を懐に入れ、今やこの状況では二人の敗者がいることになります。
さて、良いニュース、悪いニュース、そして厳しい現実を見てきました。これについて何をすべきなのでしょうか?これらの状況の被害者になる可能性を低くするためにできることの主な3つの推奨事項を紹介します。まず最初に話すのは、先ほど認証情報について多く触れましたが、悪者はあなたの認証情報を狙っています。
それを保護するために何をすべきでしょうか?実際に多くのことができます。多要素認証はその一つで、あなたが持っているもの、知っているもの、あなた自身であるものを組み合わせて使用しますが、強力なパスワードを持つよりもさらに良いのは、パスワードをまったく持たないことです。
パスキーを使用してください。他のビデオでこれについて話しましたので、そちらをご覧ください。パスキーはフィッシングや盗難が非常に難しい、より強力な代替手段です。それを攻撃対象から取り除くだけで、既にずっと良い状況になります。対処する必要があるもう一つの領域は、データとIDの拡散です。
私たちの環境全体に増殖しているデータがあります。ものをコピーしたり、新しいクラウドインスタンスを立ち上げて、そこに機密データを入れて、それに対してテストを行いたいがために置いたりするのは本当に簡単です。AIも同様です。そして私たちが認識していない、追加の脅威にさらされるシャドーAI実装が発生する可能性があります。
自動的に環境内のデータ、環境内に展開されているAIを発見できるツールを持つ必要があります。そして、IDに関しては、それらも多くの異なる場所に拡散する可能性があります。それらを一元管理できるようにする必要があります。機密情報、パスワード、APIキー、そしてそれに類するもの、デジタル証明書、そのようなものすべてを保存できるシークレット管理システムが必要です。
これらのことをより管理しやすい方法で行えば、悪者が悪用するのははるかに難しくなります。そして先ほど述べたように、AIが来ています。それはご存知でしょう。それに備えて何をすべきなのでしょうか?まだそこで多くの攻撃が見られないものの一つとして挙げましたが、つまりまだそれを避ける時間があるということです。
あなたは何をすべきでしょうか?AIを開発パイプラインとして考えてください。実際、私たちがやることは、データを使用してモデルをトレーニングし、そしてそのモデルに対して推論を行うことです。つまり、データ、モデル、使用法があります。データを保護し、モデルを保護し、使用法を保護する必要があります。
これらの各々を保護し、AIは新しい攻撃対象領域であるため、それぞれにおける攻撃がどのようなものかを見る必要があります。これ全体を見ると、もう一つの結論は、これがITインフラストラクチャの上で動作しているということです。ですから、この基本的なITインフラストラクチャを保護する必要があります。
これはITセキュリティ101、私たちがこれまでずっとやってきたことです。それを続ける必要がありますが、今では、AIのトレーニングに入るデータ、モデル自体、そしてそれらの使用法も保護する必要があり、おそらくシステム全体のガバナンスも考慮する必要があります。これらすべてを行えば、これらの攻撃に対処するためのより良い状況になるでしょう。
では、特別トピックとして、ダークウェブから学んだことを見てみましょう。X-Forceは攻撃者の議論のためにダークウェブを監視しています。そして彼らが発見したのは、議論された上位3つの脆弱性が、上位10位の言及の半分を占めていたということです。それでは、これら3つを掘り下げてみましょう。これら3つの要素には何が共通していたのでしょうか?それらはすべて次世代ファイアウォール用に目的に合わせて構築された独自のオペレーティングシステムであり、リモート攻撃によってこれらのシステム上で任意のコードを実行することを可能にしていました。
つまり、世界中の悪い奴があなたのインフラストラクチャを制御できるのです。これが怖いのは、これらのツールがほとんどの環境のコアネットワークとセキュリティインフラストラクチャを構成しているため、リスクが大きいからです。これらについて何をすべきでしょうか?まず、セキュリティアドバイザリを監視すること。次に、ソフトウェアレベルを最新の状態に保つこと。
結局のところ、IBMのX-Force脅威インテリジェンスインデックスレポートの簡単な要約、良いニュース、悪いニュース、厳しい現実と、それに対して何ができるかを紹介しました。なぜなら、情報は力であり、今や、あなたにはその力があるからです。
コメント