セキュリティー企業のTrellix(=トレリックス)は1月18日、今年注意すべき重要なセキュリティーに関する動向を解説する「2023年脅威動向予測レポート」を発表した。

　同社では11項目に渡る脅威予測を公表した。このうち「ウインドウズドメインに対する攻撃が大規模化」は「実際に起きた場合のインパクトは非常に大きい」(セールスエンジニアリング　シニアディレクターの櫻井秀光執行役員=写真)という。

　これは、ドメイン権限昇格の新たなぜい弱性が発見され、さらなる攻撃拡大の可能性があるという予測。ウインドウズドメインが攻略されると、ターゲットとなる企業・組織のネットワークの完全な乗っ取りがほぼ可能になる。「ネットワークの完全な掌握は、標的型攻撃の最大の目標なので、ドメインの乗っ取りは攻撃者の大きな関心事」(櫻井氏)。そのため、発見されたぜい弱性への迅速な対処に加えて、初期侵入成功後の活動を検知するためのセンサーへの投資を必要だという。

　また「ソフトウエアの”知られたくない秘密”の増加」も、実際に起きた場合の影響は大きいという。これはサプライチェーンのぜい弱性に対する侵害が増加するという予測で、21年末に発覚した、オープンソースログ管理ソフト「Apache　Log4j」のぜい弱性の有効性を攻撃者が認識したことが大きいという。主要・著名なソフトウエアのぜい弱性を突く形に攻撃よりも、大企業が提供するソフトウエアと同等のケアがなされないオープンソースソフトウエアのぜい弱性を探し出すための活動が活発化する恐れがある。

　その他にも、「コラボレーションが増えれば、フィッシングも増える」としてフィッシング攻撃の増加を予測した。メールや携帯電話のSMSといった既存の手法に加えて、新たな手法でフィッシング攻撃が実施されるようになる恐れがあるという。人を介さない、AI駆動型の高度なフィッシングメール手法が登場しているほか、SlackやTeamsなど、業務で日常的に利用するビジネスコラボレーションツールがターゲットになる可能性もある。従来のメールセキュリティー対策だけではなく、SaaSサービスに依存している場合は「CASB」のようなセキュリティー監視ツールを導入する必要があるという。

　また「これ、私の番号だから、よかったら電話してね」として、リバースビッシングの被害の大幅増加傾向の継続を予想した。リバースビッシングとは、メールやSMSを通じ、ユーザーが指定された番号(攻撃者)へ電話するよう誘導。ユーザーは通話で誘導されてマルウエアのインストールや詐欺の被害に合ってしまうというもので、従来の攻撃手法をベースにした対策では対応しきれないことから、発生事例は21年と比べ500%増となっている。電話が通じることによる安心感が攻撃の成功率を上げている可能性があるため、最新の攻撃手法を理解・把握したうえで、正規かどうかの判断が必要になってくる。