CVE登録の脆弱性を狙うサイバー攻撃はもう古い Proofpointが2024年の脅威を予測：セキュリティニュースアラート

Proofpointは2024年のサイバー脅威予測を発表した。サイバー攻撃はソフトウェアの脆弱性を狙うものから、人間行動の脆弱性に根ざした攻撃へとシフトするという。

[後藤大地，有限会社オングス]

　Proofpointは2023年11月28日（現地時間）、2024年におけるサイバー脅威予測を発表した。この報告ではソフトウェアの脆弱（ぜいじゃく）性を突く従来の攻撃から、人間の行動の脆弱性に根ざした攻撃へのシフトが進むと予測されている。

Proofpointは2024年におけるサイバー脅威予測を発表した（出典：ProofpointのWebサイト）

CVE登録の脆弱性を狙うサイバー攻撃はもう古い　最新の動向とは？

　報告されている2024年の予測は以下の通りだ。

• サイバー攻撃者がソーシャルエンジニアリングの手口を複製して広く利用するようになることで、初期侵害の試みが行われる範囲が拡大する。サイバー攻撃者はますますデジタルサプライチェーンベンダーを標的にしつつあり、セキュリティプロバイダーやIDプロバイダーへの関心を高めている。ヘルプデスクの従業員を狙ったフィッシング攻撃やログイン認証情報の取得、ワンタイムパスワード（OTP）コード窃取による多要素認証（MFA）の回避などが標準的な手法になり、IDプロバイダーベンダーを侵害する手口として悪用が広まっている
• より多くのベンダーが自社製品やプロセスにAI（人工知能）や大規模言語モデル（LLM）を導入してセキュリティを強化する。全世界のプライバシー監視機関やユーザーが責任あるAIポリシーをテクノロジー企業に要求するようになる。生成AIはサイバーセキュリティに関して将来性と危険性の双方をもたらすが、重大な危機にさらされるわけではない
• モバイルデバイスを標的としたフィッシング詐欺が増加するこの攻撃は2023年から増加傾向にあったが、2024年にはこれがさらに増加するとみられる。サイバー攻撃者はモバイルプラットフォームの脆弱性を悪用して対話型攻撃を実行している
• マルウェア開発者は生成AIやオープンソースソフトウェア（OSS）「SysWhispers」を利用することで、EDR（Endpoint Detection and Response）やサンドボックスなどのツールの検知機能を回避するマルウェアを容易に開発できるようになっている。これによって、サイバー攻撃への参入障壁がさらに下がるのに加え、巧妙なマルウェアファミリーの拡散が進むと予測される
• アイデンティティーベースの攻撃が侵入の大半を占めるようになる。CVEのような脆弱性情報データベースに登録されている脆弱性を悪用するサイバー攻撃は過去のものとなりつつある。アイデンティティーは新たな脆弱性であり、組織は保護された認証情報やセッションCookie、アクセスキー保護、特権アカウント設定誤りへの対処などに重点を移す必要がある。人間の行動に根ざした脆弱性を悪用したサイバー攻撃が増加する

　Proofpointは、「2024年には人間の行動に根ざした脆弱性を悪用するサイバー攻撃の洗練化が進む」とし、サイバー防衛者にとってより困難な時期になると説明している。同社はこれに対処するため、プロアクティブかつ適応的な戦略を採用し、IDベースの攻撃や生成AIを駆使した脅威、モバイル端末を使ったフィッシングといった多面的な課題に対処するレジリエントな防御の構築を推奨している。