筆者が気になる2024年のセキュリティトピック AIやランサムウェアは今後どうなる？：半径300メートルのIT

新年第1回目の本コラムでは、セキュリティベンダー各社が公開している2024年のサイバーセキュリティ脅威予測の中でも筆者が興味深いと感じたものをピックアップして紹介します。

[宮田健，ITmedia]

　2024年が始まりました、本年もよろしくお願いします。今日から本格的に働き始める方は気を引き締めていきましょう。

　ITセキュリティの世界では2023年も大変なことが多く起きました。もはやあらゆる日本企業が“有事”となっているという実感が個人的にはあります。

　2023年末には、多くのセキュリティ企業が2024年の予測を公開していました。セキュリティに関する動向はどうしても悲観的にならざるを得ませんが、こういった予測を基に事前に対策を講じることが2024年の安全を確保するための第一歩となると信じています。今回は独断と偏見で、その一部をピックアップしたいと思います。

2024年、ランサムウェアの新たな動きは　各社の予測をピックアップ

　ランサムウェアについては、どの予測でも必ず触れられているものの、予測するまでもなく消えることはない事柄のためか、さほど大きなトピックになっていません。興味深かったのは、ヴィーム・ソフトウェア（以下、ヴィーム）が公開した2024年のテクノロジートレンド予測において「ランサムウェアへの身代金支払い額は増加するが、支払件数は増加しない」としている点です。

　身代金を支払うことは、ランサムウェア攻撃グループをさらに強化することにつながる上に、反社会勢力への資金提供と見なされる国も増えており、身代金を支払うという選択を取りにくくなることから、このような予想が立てられています。日本においては英語の脅迫文や仮想通貨の取り扱いから、身代金をすぐに支払う企業は少ないとは思いますが、その前提で万が一の対応を事前に考えておく必要があるかもしれません。

　ランサムウェアに対しては継続的に（予測とは無関係に）対策が必要ですが、各社の予測ではそれ以外のリスクへの注目が含まれており、非常に興味深いです。

　例えばウィズセキュアは2024年のサイバーセキュリティ動向予測の「サイバー犯罪の専門化」という項目で、ランサムウェアグループClopがファイル転送ソフトウェア「MOVEit Transfer」に仕掛けた攻撃の手法とその成功から、ファイル転送に関連するツールが引き続き攻撃者に狙われるという予測を立てています。

　ファイル転送ツールはインターネットに直結しなければならないだけでなく、大量の重要データが含まれること、そして検知が非常に困難であることから、単一でそのような性質を持つ公開サーバであるファイル転送ツールへの対策が必要になります。

　この他、クラウドセキュリティも2024年の大きなトピックになりえます。トレンドマイクロは予測の中で、「Kubernetes」や「Docker」「Weave Scope」の“誤設定”が、クラウド環境内での侵害を引き起こし、「クラウドネイティブワームによる攻撃」が発生すると指摘しています。クラウドの設定不備による「クラウド寄生型攻撃」（Living off the Cloud）が起きないように対策を練る必要があるでしょう。

気になる「AI」の動向には楽観的で問題ない？

　そして2023年には「AI（人工知能）」も大きな注目を集めました。これがサイバー攻撃に展開されることはあり得るのでしょうか。全体を見ると、意外にもこの点に関しては2024年内に大きな転換があると予測するベンダーは少なく、ヴィームは「AIが激変するのは2024年ではない」と述べています。AIが発展すると、人間よりも効率的に各種の脆弱（ぜいじゃく）性を発見して自動的に攻撃も実行できる……ということはまだまだ先のようで、この点に関しては、まだ楽観視していてもよさそうです。

　しかし詐欺という視点ではAIは明らかに脅威となりえます。特に2024年は米国大統領選挙が予定されていますが、「サイバー犯罪者は効率化のためにAIを活用し、生成モデルを使ってフィッシングコンテンツやソーシャルメディアコンテンツ、ディープフェイク、合成画像／動画を作成する」とウィズセキュアは予測を立てています。

　この他、トレンドマイクロは「SNSなどを活用して世論を操作するインフルエンスオペレーションの拡大が懸念される」と予想するなど、特に「ディープフェイク」と呼ばれる領域にAIが引き続き活用されることが推測されています。

　カスペルスキーは予測の中で、ディープフェイクの領域においても特に音声に関する技術進化に着目し、これが悪用されることを懸念しています。「詐欺師は、より説得力があり思わずアクセスしてしまうような偽装コンテンツを作成し、ディープフェイク技術に関連するリスクを強める可能性がある」（カスペルスキー）

ソフトウェアサプライチェーンも引き続き狙われる

　日本でも課題となっているソフトウェアサプライチェーンリスクについても、各社一様に言及しています。システムはさまざまなコンポーネントを組み合わせて作られており、その中で使われるソフトウェアの一部分が汚染されてしまうと、想像も付かないレベルでの影響が発生することが課題となっています。ウィズセキュアはこれについて「実世界では、井戸に毒を盛ればその地域のコミュニティーに影響を与えられます。デジタル世界ではたった1人で海をも汚染できてしまいます」と表現しています。

　「特にITシステムの開発における『継続的インテグレーション／継続的デリバリー』（CI/CD）が狙われると、そのプロセスを介してさまざまなシステムに自動で侵入されてしまう点が大きなリスクだ」とトレンドマイクロは指摘しています。新しい仕組みを取り入れる上で、従来のセキュリティ対策に加えてリスクマネジメントの取り組みも重要となるのです。

面白い視点の予測も

　一般的な予測だけでなく、各社が少しずつ触れている独自の予測も大変興味深いです。例えばトレリックスは予測の中で、「拡大するQRコードの戦い」と題し、フィッシングキャンペーンに2次元バーコードが悪用されると述べています。

　予測では、新型コロナウイルス感染症（COVID-19）対策として非接触型の支払いやレストランのメニューなど日常のさまざまな場所で使われたことによって、「人々は安全だと思い込んであまり考えずにQRコードをスキャンすることに慣れてしまった」と指摘されています。今後はこの数年で積み重ねられたQRコードへの信頼性を悪用し、マルウェアの配布に使われるリスクがあるため注意が必要でしょう。これは皆さんも納得できる予測なのではないでしょうか。

　これに加えて、各社の予測では「Excel in Pythonが新たな攻撃経路となる可能性」や「ゼロトラストがデータバックアップでも鍵になる」「サイバーセキュリティにおけるグリーンコーディング」などの興味深いものもありました。コンシューマーの世界においても「チャリティー詐欺の増加」や「話題の映画や人気ゲームの公開を狙う詐欺師」の登場などがピックアップされています。ぜひ皆さんもご自身の目で眺めてみると新たな発見があるかと思います。

　ただ、各社が発表しているのはあくまで予測でしかなく、2024年にこれから起きることは全く予測できないことも含まれるはずです。それでも事前に考えておけることは準備し、この1年を平穏に過ごせることを目指していただきたいと思います。

　2024年も本コラムをどうぞよろしくお願いします。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。