セキュリティソフトのグローバルリーダーであるアバストは、2020年のサイバーセキュリティ動向をまとめた「2020年版脅威予測レポート」を発表しました。
アバスト脅威研究所が予測した2020年の主なセキュリティトレンドは、以下の通りです。
アバストの脅威インテリジェンス・システムズ部門の責任者であるヤクブ・クロウステク(Jakub Kroustek)は、マルウェアをPCに送り込む方法が進歩し、より高度な方法で脅威が拡散されるようになると予想しています。例えば、標的の受信メールを盗み取ることによりスパイしたり、メールに悪意のあるペイロードを挿入して送りつけるといった、Eメールを悪用した形でのマルウェア拡散が予想されます。クロウステクはまた、エクスプロイトキットやマルウェアが、サプライチェーン攻撃を通して広まっていると指摘し、エクスプロイトキットの復活を予測しています。さらに、RDP (リモート・デスクトップ・プロトコル) の脆弱性を悪用して脅威を拡散させるサイバー犯罪者も出現すると思われます。
クロウステクは次のように述べています。「サイバー犯罪者は絶えず進歩しており、今日の強力なセキュリティソリューションを掻い潜るため、常に新しい方法を探しています。これにより、一般のインターネットユーザーが悪意のある電子メール、疑わしいリンクや添付ファイルに気づくことは困難になってきています。また、サイバー攻撃が成功する確率が高まると共に、RDPの脆弱性を悪用したワームのような脅威が拡散し、大きなダメージを引き起こす可能性も高くなると考えられます。」
スマートフォンにおいては、アバストのモバイル脅威インテリジェンスおよびセキュリティ部門の責任者であるニコラス・クリセイドス(Nikoloas Chrysaidos)が、サブスクリプション詐欺や偽アプリが公式アプリストアに流入すると指摘しており、セキュリティ研究者だけでなくサイバー犯罪者も自らiOSの脆弱性を発見していくと予測しています。
クリセイドスは次のように語っています。「悪意のあるアプリをGoogle PlayストアやAppleのApp Storeで流通させることは簡単ではありません。そのため、サイバー犯罪者は偽のサブスクリプション・サービスを用いた詐欺や、アドウェアと統合させている偽アプリの利用に注力し始めています。 また、checkra1nのようなコミュニティプロジェクトなど、bootromエクスプロイトのcheckm8に基づいた、iOSの高度な半紐付き脱獄(ジェイルブレイク)も提供されています。これにより、研究者がより多くの脆弱性を発見できる可能性が高まる一方、サイバー犯罪者もそれを悪用する危険性があります。悪用される前に、こうした脆弱性がAppleに報告されることを願っています。」
セキュリティリサーチャーのアナ・シュラコヴァ(Anna Shirokova)は、今まで以上にデバイスや物理的な場所でさえもスマート化されていく中で、IoTベンダーはユーザーの行動を学習・予測するため、より多くのユーザーデータを収集するようになると考えます。
シュロコヴァは次のように語っています。「スマートデバイスは便利ですが、ユーザーが自身のプライバシーを管理しきれない原因にもなります。闇市場でデータを販売して金銭的利益を得ようとするサイバー犯罪者は、スマートデバイスを通して大量の顧客データを収集・保存する企業を格好の標的とするのです。」
シュロコヴァはまた、サイバー犯罪者がWindowsのマルウェアコードをセキュリティ研究者に分析されないよう試みるのと同様、IoTマルウェアもさらに難解なものにし続けると予想しています。
さらに、セキュリティリサーチャーのダニエル・ウリチェック(Daniel Uhricek)は、スマートデバイス向けの新しいエクスプロイトが開発されると予測しています。IoTマルウェアの開発者は、すでに確立されている古いマルウェアを利用し続けるだけでなく、新しいエクスプロイトを利用してより多くの人々を標的としていくと思われます。
ウリチェックは次のように述べています。「マルウェアの開発者も、攻撃の基盤を整えています。我々は、IoTマルウェアではDNS-over-HTTPS、Tor通信、プロキシなどさまざまな暗号化方式が採用されていることを確認しました。マルウェア作成者は、ボットネットをより堅牢なものするため、他の手法も採用していくでしょう。」
アバストの人工知能(AI)担当の責任者であるラジャーシ・グプタ(Rajarshi Gupta)は、ビッグデータの分析から利益を得るために、AIのアルゴリズムが実践的に応用されると予測しています。ただし、こうした分析においても差分プライバシーの技術が用いられ、個人情報が保護されるといいます。
グプタは次のように語っています。「最近ではData Shapleyのように、個々のユーザデータに価値付けをする動きもあります。私たちは、2020年に消費者の個人情報がマネタイズされるとは予想しておりません。しかし、どの企業であればデータの収集を許諾するか、どういったデータであれば提供するか、そもそもデータ収集自体を許諾するか、消費者が自らコントロールできるような製品が見られることを期待しています。」
これらのセキュリティトレンドは、アバストの「2020年版脅威予測レポート」から抜粋されています。同レポートの全文(英文)はこちらよりダウンロードいただけます。