近年、サイバーセキュリティへの注目が高まっているにもかかわらず、データ侵害の件数は増加の一途をたどっている。企業がセキュリティに力を入れる(そして費用をかける)につれ、サイバー犯罪者はその取り組みを強化している。特に、モノのインターネット・デバイスに向けられたAPT(Advanced Persistent Threat:高度持続的脅威)の領域で、この傾向が見られます。
現代のサイバー犯罪者を駆り立てているのは、金銭面でもその他の面でも大きな動機がある。
ランサムウェアのパッケージはダークウェブで容易に入手可能であり、ランサムウェアは犯罪者に強い金銭的動機を与えている。また、国家的な脅威アクターも脅威のランドスケープに参入し、政治的な動機に基づく攻撃を行っている。
このような理由に加え、他の理由もあり、マルウェアの系統の数は増加している。、企業がサイバー防御の取り組みを強化するにつれて、生成されるマルウェアはより高度になっている。
この傾向は、悪者にとってインセンティブが強すぎるため、すぐには終わりそうにない。
モノのインターネットにおける脆弱性
モノのインターネット(IoT)とは、消費者や企業が同様に使用するインターネット対応デバイスのネットワークを指す。ネットワークに接続されたペースメーカーからネストの煙探知機、自動運転のテスラまで、すべてがIoTデバイスである。
IoTデバイスの人気は高まるばかりだ。残念ながら、IoTサイバー攻撃の人気も高まっている。IoT攻撃
- ダークウェブやGitHubのようなコードリポジトリでコードが公開されているため、簡単に始めることができる。
- 高い成功率を誇る
- 検出や修復が困難で、APTを可能にしている。
- 攻撃者が組織内のネットワークに侵入する足がかりを得ることを可能にする。
- 攻撃者が自分のボットネットにさらにデバイスを追加できるようにする(ボットネットはDDoS攻撃やスパム送信などに使用できる)。
脆弱性の数は全体的に増加しており、モノのインターネット機器に対する攻撃は特に増加している。
モノのインターネットへの攻撃が表面化
攻撃者はまず、脆弱なIoTデバイスを探し、それを侵害しようとする。攻撃者はこれを集団で行うことができる。攻撃者は、何度も何度もデバイスのハッキングに失敗する余裕があるが、IoTデバイスは一度だけ攻撃に屈するだけで危険にさらされる。
さらに悪いことに、IoTデバイスには既知・未知を問わず多くの脆弱性が存在する。IoTの脆弱性の数は増加の一途をたどっており、ユーザーはパッチの適用やアップデートのインストールを適時に行わないことが多いため、攻撃者がデバイスを侵害することが非常に容易になっている。
もう一つの懸念は、IoTデバイスにはデフォルトの認証情報が付属していることが多く、それが一度も更新されないことである。攻撃者が認証情報をブルートフォースしたり、一般に入手可能なリストから取得したりできるのであれば、そのデバイスはすでに危険にさらされているのと同じことだ。
IoT高度持続的脅威のいくつかの特徴
回避テクニック
高度な持続的脅威は、コードの難読化、仮想環境の検出、その他多くの方法によって検出を回避するように設計されていることが多い。
コンシールメント・テクニック
サイバー犯罪者は、システムに感染するマルウェアを隠すことに長けてきている。
自己増殖
APTの多くは、システム上に持続的にとどまるだけでなく、感染させるために他のシステムを探す。
資源効率
これは、IoT APTと通常のコンピュータ上の従来のAPTとを分ける要因である。IoT APTが動作するために必要なコンピューティングパワーは、平均的なデバイスの5%未満であり、マルウェアはデバイスのメモリ容量を検出した後、それ自体を調整するほど賢い場合もある。
新たなIoTサイバーキルチェーン
サイバーキルチェーンとは、脅威行為者が実行する一連のステップのことである。各ステップは、理論的にはサイバー防御によって特定され、ブロックされる。ロッキード・マーティンは、APTの「サイバー・キル・チェーン」を次のように説明している:
しかし、IoTデバイスの場合、キルチェーンに追加のステップがあり、IoT APTをより脅威的なものにしている。新しいIoTキルチェーンは次のようなものです:
IoT APTは、単に単一のデバイスやネットワークに感染させることを目的とするだけでなく、他のデバイスに拡散し、持続性を維持できるように身を隠す。
IoT防衛戦略
システムのアップグレードは、脆弱性にパッチを適用するために不可欠であるが、多くの場合、実行不可能であるか、他の理由で実行されない。パッチがリリースされると、攻撃者はエクスプロイトをリバースエンジニアリングする可能性があり、アップデートされていないデバイスが脆弱になる。さらに、ベンダーは、自社製品に発見されたすべての脆弱性にパッチを適用することができないか、または適用しようとしないことが多い。
感染が発生した場合、隔離は可能な解決策です。しかし、現実の世界では制約があるため、デバイスを隔離することが不可能であったり、現実的でなかったりする場合がある。例えば、セキュリティ侵害の兆候はあるが、ビルのセキュリティ監視に不可欠な防犯カメラを隔離することは困難な場合がある。
IoT APT:OPSWAT が推奨する防御戦略
IoT APTを阻止するには、データに隠された脅威をすべてブロックする必要がある。繰り返すが、サイバー犯罪者は簡単に失敗する余裕があるが、サイバー防御は常に成功しなければならない。
検知ベースの防御は、マルウェアの隠蔽技術に弱い。高度な脅威は、ランダムに実行したり、実行前に仮想環境にあるかどうかを検出することで、サンドボックスを 欺くことさえできます。さらに、どんなに優れたマルウェア対策検知技術でも、ゼロデイ脅威の到来を察知できない可能性があります。
OPSWAT は、検出ベースの戦略と高度な脅威防御を組み合わせることを信条としています。当社のデータ・サニタイゼーション(CDR)技術は、潜在的に悪意のあるコンテンツを削除したファイルを解除・再構築することで、ネットワークに入るあらゆる文書や画像に含まれる脅威を無力化します。脅威の検出の有無にかかわらず、どのようなファイルでもこのプロセスを経ることができ、また経る必要があります。
データのサニタイゼーション(CDR)を活用することに加え、 IoTデバイスを使用する組織は、デバイスを定期的に更新し、デフォルトのログイン認証情報をリセットするなど、 セキュリティのベストプラクティスにできる限り 従うべきである。最後に、ネットワーク対応デバイスは、絶対に必要な場合にのみ、大規模なインターネットに接続すべきである。
