マカフィーは1月26日、2021年の脅威予測に関する記者説明会を開催した。説明に当たったマカフィー セールスエンジニアリング本部 本部長の櫻井秀光氏は、2021年の脅威として、「サプライチェーン攻撃が本格的に普及すること」「自宅へのハッキングを通じてオフィスがハッキングされること」「クラウドプラットフォームへの攻撃が高度に進化すること」「新たなモバイル決済詐欺が増加すること」「QRコードが悪用されること」「攻撃経路としてSNSが利用されること」の6点を挙げた。
1点目に挙げたサプライチェーン攻撃は、2020年12月に国家が関与したとされる攻撃者が、SolarWindsのソフトウェアを侵害し、悪意のあるソフトウェアバックドアを米国政府機関などに配信していたことがきっかけで注目されるようになった。こうしたサプライチェーンバックドア技術について櫻井氏は、「国家が背後にいる攻撃者たちの戦術が変化し、サイバースパイ活動の新たな武器になっている」と話す。
よく知られている信頼性の高いソフトウェアを悪用することで、多くの組織が同時に影響を受ける可能性が高くなり、家電製品を侵害することによって利用者である消費者と同環境内で在宅勤務を行う企業にも影響が及ぶ。SolarWindsのケースでは、正規のアップデートを通じてバックドアが仕込まれたことから、今後アップデートをためらう企業が出てくるかもしれないが、櫻井氏は「注意は必要だがソフトウェアはやはり最新の状態に保つべき」と忠告。「組織内の最重要情報を特定し、そのような情報には最小限の特権を適用して情報を確実に保護することや、侵害された後の不審な振る舞いを特定したり重要なデータを保護したりする技術を実装することがより重要になる」としている。
2点目の自宅へのハッキングがオフィスへのハッキングにつながる件については、「コロナ禍で在宅勤務が増え、セキュリティ対策が不十分な自宅のデバイスが企業にとって脅威となっている」と櫻井氏。オフィスでは強固なセキュリティ対策が施されているデバイスやネットワークを使用していても、在宅で利用する場合は管理が行き届かないことも多く、在宅勤務環境をターゲットにしたフィッシングメッセージも急増しているという。そのため櫻井氏は「在宅勤務で使用する企業端末のセキュリティ対策がより重要になる」としている。
3点目のクラウドプラットフォームへの攻撃の進化も、コロナ禍によって企業のクラウドへの移行が進んだことが背景にある。クラウドが企業のインフラの一部となったことで攻撃が増加した結果、「AI(人工知能)や機械学習を活用し、攻撃元IPのブラックリスト化を避けながら、より広範かつ効率的に複数のクラウドを攻撃することが増える。また、ターゲットを絞って緻密に計画されカスタマイズされた高度な攻撃が進化するだろう」と櫻井氏は説明。クラウド環境に存在するデータに対しても、オンプレミスのデータと同レベルの対策を行う必要があると強調する。
4点目に挙げた新たなモバイル決済詐欺については、「非接触型の決済手段が浸透する中、個人に対する攻撃が増加する」と櫻井氏。モバイル決済の利便性が向上するにつれ犯罪者の詐欺行為も容易になるとしており、「スマートフォンへのメッセージでモバイル決済を促すURLを送信したり、偽のコールセンターを設置したりと、巧妙ななりすましによってユーザーから情報や金を搾取する手口が増える」と警告する。対策として櫻井氏は、「識別しにくいケースは多いが、受信したメッセージから誘導されるサイトが正当なものかどうか、確認したり疑ったりするリテラシーを高めることが重要だ」としている。
5点目のQRコードは、いまや決済手段だけでなく割引クーポンなどでも利用されるなど、タッチレスの世界で身近な存在となっている。その一方で、URLよりも不正を見分けることが困難なことから、「犯罪者が情報搾取や偽アプリのダウンロードに誘導するといった不正な目的で利用することが増える」と櫻井氏。そのため、「QRコードで誘導された先のサイトの作りや使われているロゴ、文言などを注意深く確認し、サイトの正当性を見極めてほしい」としている。
6点目のSNSの悪用については、「LinkedInやWhat's App、Facebook、Twitter、LINEなど、SNSプラットフォームを利用して従業員と信頼関係を築き、攻撃へと発展させる可能性がある」という。企業側も個人端末上でのSNSのアクティビティーを全て監視することは困難なため、SOC(セキュリティ 監視センター)や企業のセキュリティ対策の監視下には置かれておらず、犯罪者はそれを狙っているというのだ。櫻井氏は、既に著名なサイバー犯罪者グループによるターゲットを絞った攻撃が確認されているとしており、「企業が管理するデバイスやネットワークに不審な兆候が見られた際には、迅速に対応できるよう体制を構築する必要がある」と述べている。
2021年は東京でオリンピックが開催される予定だが、開催が確定した場合の脅威について櫻井氏は「1点目として挙げたサプライチェーンバックドア技術や、6点目に挙げたSNSの悪用などにより、オリンピックに関わる企業や人を狙った高度な攻撃が予測されるだろう」と警告した。
マカフィー セールスエンジニアリング本部 本部長の櫻井秀光氏
