2023年、ランサムウェア、サプライチェーン、IoT、クラウドなどで、企業が直面する可能性のあるサイバー脅威を予測

本レポートはこれまでの脅威動向の分析から、これからの2023年の脅威動向を予測したものです。2023年、攻撃者は次の攻撃手法の確立に備えて準備期間を過ごすかもしれません。他方、企業にとってこの2023年は、サイバー攻撃の被害を抑えるために将来を見据えたセキュリティ対策の基礎を築く重要な機会と捉えるべきでしょう。本稿は、企業の意思決定者が十分な情報を得て判断を下し、組織を多面的に防御する戦略的なセキュリティ対策を策定する上で、トレンドマイクロのセキュリティ専門家の知見や洞察を提供します。

2023年は、脅威状況がどこで大きな区切りを迎えるか、何度も修正が加えられる年として記憶されることになると予想しています。企業は、引き続きコロナ禍の混乱の中で出口を求める日々に直面することになるでしょう。それは「新たな日常」という言葉があるように、世界はまだパンデミックを完全に乗り越えた状態とは言えないからです。こうした中、企業の資産は、大量にデジタル環境へ移行し、複雑化・階層化が助長され、可視性の欠如を突く攻撃者にとって、格好のターゲットとなるはずです。

企業がビジネスを拡大し、それに伴ってアタックサーフェス（攻撃対象領域）も広がる中、サイバー攻撃が狙う2つの領域における人的要素への注意が不可欠になると考えられます。それは、多くの従業員がハイブリッド型の勤務形態に適応し、現場勤務と在宅勤務の境界が曖昧になっているため、潜在的な侵入経路をセキュリティ部門で把握する、つまり、従来の特定箇所を点で守るポイント型ソリューションから脱却し、自組織のアタックサーフェス全体の状況を把握して対処するための包括型ソリューションに移行することが必要になります。また、企業の経営陣にとっても、セキュリティへの包括的なアプローチによるデジタルインフラの全体像把握が重要になります。そして2023年に出現する脅威は、セキュリティ部門、関連法案制定の議員、企業の顧客など、さまざまな利害関係者にとっての懸案となると考えられます。企業 （特に財務担当者）は、データセキュリティの制強化を求める政府機関との対応を余儀なくされ、加えて、世界経済が不況に突入する中、企業はセキュリティ対策への資金調達が困難になっていくことも予想されます。

また2023年は、企業やエンドユーザが、少し前までは変革的なイノベーションになると思われていたものを一歩下がって再評価する時期になるでしょう。メタバースやNFT（nonfungible tokens）の輝きは失われ、それらを支えるブロックチェーンは、監視を逃れて活動したい攻撃者の隠れ家として悪用されるかもしれません。オープンソースソフトウェアに対する社会の信頼は依然として不安定であり、今後表面化するであろうオープンソースの相次ぐ欠陥に乗じて、開発者を窮地に陥れようと躍起になる攻撃者が増えることも予想されます。同様に、2022年にセキュリティ業界を揺るがした「Log4Shell」のような脆弱性の問題は、将来のオープンソースの問題を懸念する政府関係者や企業にとっては、依然として大きな不安要素となり続けるでしょう。

こうした不確実な時期を迎える中、攻撃者は大きな報酬が期待できる高いリスクを取る代わりに、旧来からの攻撃経路の利用で乗り切ろうとすることが予想されます。例えば、企業がすでに見切りをつけているはずの時代遅れのプロトコルやデバイスを新たな攻撃経路として再利用するかもしれません。したがって企業は、攻撃者が既成の手口に回帰する中、新たな装いに見える旧来からの脅威に注意する必要があります。ソーシャルエンジニアリング手法の複雑化は、セキュリティ対策の最も弱い部分である「人間の心理」を突くものであるため、今後も引き続き発生することが予想されます。

さらに攻撃者は、ディープフェイクのような新しい技術を駆使してソーシャルエンジニアリング手法を巧妙化させてくる可能性があります。また、従来からの手法を環境寄生型の攻撃に応用し、攻撃経路の一部に正規のツールやサービスを駆使する攻撃者が増加することも予想されます。サイバー犯罪者たちの中には、より専門的な活動を行うために手口を継続的に微調整し続けるケースも登場することでしょう。さらに、強化されたセキュリティ部門や犯罪を取り締まる立法府からの追求に対処するため、ランサムウェアの攻撃グループ側での再編成が進み、より洗練された攻撃が登場し、その結果として例えば、ランサムウェア攻撃グループが情報窃取に特化した別の攻撃グループとして生まれ変わるなどのケースが出てくるかもしれません。