2023年の脅威傾向を振り返る

Max Havey [00:00:02] こんにちは、サイバーデータと技術インフラストラクチャの世界に関するポッドキャストで、世界中のさまざまな分野の専門家が集まる、Security Visionaries Podcastの別のエディションへようこそ。 本日は、Netscape Threat Labs のディレクターである Ray Canzanese 氏に、脅威の 1 年を振り返り、彼が見たいくつかの傾向と、2023 年の調査結果について驚いたことを掘り下げます。 調子はどうだ、レイ? お元気ですか。

Ray Canzanese [00:00:23] ねえ、幸せな新しい年、マックス。 またお会いできてうれしいです。 サイバーセキュリティについて再びお話しできることをうれしく思います。 クッキーやパイはもう必要ありません。

Max Havey [00:00:30] ああ、クッキーとパイはもうない。 そして、2023年の年末の振り返りシーズンも終わりに近づいています。 これで終わりです。 予測も、解決策も、もう限界です。 話しましょう。 脅威に関する1年を振り返り、2024年に向けて何が待ち受けているのかをここで見てみましょう。 では、2023年を振り返ってみて、そのデータを振り返ってみて、最も大きなトレンドは何でしたか?

レイ・カンザネーゼ [00:00:51] ええ、もちろんです。3つあげるよ。 右。 1つ目はジェネレーティブAIです。 そして、私が言いたいのは、1年前のことですよね? 2022年末を振り返ってみると、誰も生成AIを何にも使っていなかった。 今日まで早送りします。 毎月、全企業ユーザーの約10%が、これらのクラウドベースの生成AIアプリを少なくとも1つ使用しています。 そしてそれ以上に、これらのアプリの使用量は指数関数的に増加しています。 右。 ですから、これらのものは刻々と人気が高まっています。 2番目のトロイの木馬ですよね? トロイの木馬は、攻撃者が被害者組織に侵入するために使う最も一般的な攻撃方法であり、その侵入の多くは、非常に人気のあるクラウドアプリを介してこれらのトロイの木馬を配信することによって発生しています。 そして3番目は、恐喝の手口が進化し続けていることだと思います。 右。 これは、ええと、ランサムウェアとして始まりました。 右。 その後、人々は身代金の支払いをやめ、よし、あなたの秘密をすべて公開しますよね? 身代金を支払わなければ、ランサムウェアの情報窃取やワイパーのように、今見られるようにもう少し進化しています。 そして、ランサムウェアがそれを支払い、身代金を早く支払わないと、私は物を壊し始め、データを公開し始めるでしょう。 右。 これは、被害者に支払いを促すために試すためのツールが増えただけです。

Max Havey [00:02:19] もちろんです。その中で、特に大きな驚きとして印象に残ったことはありますか? 何か飛び込んできたことはありますか?

レイ・カンザネーゼ [00:02:25] うん。ですから、今言った3つのことのうちの1つではありません。 そして、それは、脅威関連の傾向に関して、私を驚かせるのが難しいからだと思います。 年末にこれだけ見て驚いたのは、1年を通して消費したすべてのメディアから、もう誰もTwitterを使わないと確信したことです。 右。 私が読んでいたものに基づいて、イーロンマスクの買収後にTwitterが使うことは大幅に下がると予想していましたが、それはほとんど横ばいでした。 1年前とほとんど変わらない感じでした。 ですから、ソーシャルメディアに浮き沈みがあるようなトレンドが出現していることに驚かされるのかもしれません。 右。 Facebookのように人気を失ったプラットフォームもありました。 この人気が高まっています。 でも、ツイッターを見てとても驚きました。 彼らはほぼ同じレベルです。 一年前のことです。

Max Havey [00:03:18] もちろんです。 それは、10年以上Twitterを使ってきた人など、多くの人から感じていたことだと思います。 この時点で。 あなたがそこにそれを持ち出したとき、私はそれを聞いて驚きました、そしてこれはTwitterがマルウェアキャンペーンのために使われているのですか、人々が攻撃する、そしてそのようなもののために使われていますか?

Ray Canzanese [00:03:31] これはTwitter全体で使うだけですよね?これは、人々がTwitterにログインして、友達が何をしているか、時事問題などを見ているのと同じで、最近の子供たちはTwitterを使っています。

Max Havey [00:03:42] もちろんです。 私はいつもこのことを説明してきました。 「ああ、ここはコインランドリーだな、でもこの店は本当においしいハンバーガーが食べられるんだな」と思いながら、何度も足を運びます。 そんな感じが一番します。 しかし、それはそこから先です。 世の中にはいろんなことが起きています。 では、今年の地政学的な混乱について考えてみると、サイバー脅威の状況でこのような展開が起きているのを見たことはありますか? それは、あなたが気づいたような、この種の重要なトレンドの中で出てきたものですか?

レイ・カンザネーゼ [00:04:04] もちろんです。 私たちは今、サイバー作戦が、スパイ活動、破壊工作、情報戦、偽情報キャンペーン、その他すべてについて話すとき、国際関係の標準的で中心的な構成要素のようなものである世界に住んでいます。 ですから、地政学的な紛争が見られるところでは、その地政学的な紛争を反映したサイバー紛争が見られることになります。 これは、明らかに、例えばウクライナでは、ウクライナの公益事業を標的にした攻撃、ウクライナの民間人を標的にした攻撃、ウクライナの企業を標的にした複数の攻撃を、ラボのブログで見てきましたし、ネットスコープで取り上げてきました。 そして、この紛争やアジア全域でのその他の紛争のために、他のどの地域よりも地政学的な脅威集団の活動が非常に高いことが起きています。

Max Havey [00:05:05] もちろんです。 そして、それは非常に理にかなっていると思いますし、他の場所で見られる傾向は、この種の紛争のあらゆる側にいる脅威アクターの間で人気を博すでしょう。 サイバー戦争は、これらすべての最新のフロンティアにすぎません。 そこから、今回のような他のトレンドに目を向けると、ランサムウェアは2023年に向けて非常に大きく、幅広いトレンドとなりました。 それは本当にあなたが期待していた方法で会話を支配しましたか? 2022年、2023年に向けて物事を考えていたとき。

Ray Canzanese [00:05:30] ランサムウェアは予想通り絶対的に支配的であり、成長を続けました。 そのため、恐喝はサイバー犯罪者にとって大きな金儲けとなっています。 ですから、それだけのお金が稼げば、そのゲームに参加するために新しいグループが試すのを目にし続けることになります。 そして、Netskope脅威ラボで見ることができます。 私たちはこのことをいつもカバーするつもりです。 この新しい言語で書かれた新しいランサムウェアファミリーがリリースされ、この新しい被害者を標的にしています。 古いグループのメンバーに分裂したり分裂したりした古いグループから新しいグループが形成されます。 右。 この業界になってしまったんですね。 これは、別れるのがとても難しいでしょう。 そして、私たちが始めたときに、ランサムウェアに使われる恐喝のプレイブックを見たと言いましたが、ランサムウェアや情報窃取業者になりました。 今では、ランサムウェアや情報窃取業者やワイパーが、被害者にお金を払わせるためにできることは何でもするグループで、データを漏洩させ、破壊しているようです。 そして、この1年で、善玉を自称するグループをたくさん見てきましたよね? 人を恐喝しているのに、恐喝しているのは石油会社だけですよね? 病院を強要することは決してありません。 右。 今は、その線を引かないグループをたくさん見かけますよね? 奴らは、俺たちが慈悲深くここにいる人々を恐喝して、できる限りの人を恐喝しているというゲームをやろうとしている。 右。 私たちは、結果的に何が起ころうとも、可能な限り誰からでもお金を稼ぐためにここにいます。

Max Havey [00:07:15] もちろんです。 そして、攻撃者に対して起こったこのような変化について考えるのは、特に興味深いことだと思います。 そして、それは2023年に進化したとお考えですか? というのも、あなたがおっしゃった特定のハッカーグループでは、過去の月次脅威レポートで、「重要インフラや病院を標的にするつもりはない」と言っていたのを覚えていますが、これらのグループ内では、ミッションや引用、倫理的なミッションステートメントのような倫理的なミッションステートメントはあまり見かけなくなりました。

レイ・カンザネーゼ [00:07:40] 以前は、基本的にどのグループにもそのようなミッションステートメントがありました。 そして、今、私たちが目にし始めているのは、そのようなミッションステートメントを欠いている特定のグループであり、病院や重要なインフラが攻撃されるのを見たことがないということではありません。 右。 そうならないように頑張ろう、という感じでしたよね? 一つは、誰かを傷つけたり殺したりしようとはしていないからです。 右。 私たちはただお金を稼ごうとしているだけです。 そして2つ目に、人を傷つけたり殺したりするようなことをし始めると、自分に課せられる監視のレベルが変わり、違法な企業で行動している場合は、法執行機関や地政学的な圧力にさらされるのをできるだけ制限したいと思うでしょう。

Max Havey [00:08:25] もちろん、そういった本質的な存在を標的にすることで、そのような煙が立ち込めることは必ずしも望ましくありません。

レイ・カンザネーゼ [00:08:31] その通りです。

Max Havey [00:08:33] おもしろい。 これは非常に興味深いアプローチですね。 ハッカーかそうでないか、攻撃者のようなイデオロギーがそういうふうに変わっていくのを見て。 おもしろいアプローチですね。 はい、あります。

Ray Canzanese [00:08:42] 恐喝要求の段階では、「俺たちは善人だろ?」というようなことを言うグループも見かけました。 私たちよりずっとひどいグループが他にもいて、私たちがあなた方にしたよりもはるかにひどいことをしたでしょう。 ですから、あなたはあなたに悪いことをしなかったことへの感謝として私たちに支払うべきです。 あなたのネットワークにアクセスできたら。

Max Havey [00:09:11] ああ、昔の君は、これよりもずっと悪いことをしているかもしれないから、私がこれをやっているだけであることに感謝すべきだ。

レイ・カンザネーゼ [00:09:15] はい

Max Havey [00:09:17] そして、そこから進んでいきます。また、セクターや地域特有の傾向として印象に残っているものはありますか? それとも、2023年に起こったように、地域やセクター間で同じパターンだったのでしょうか?

レイ・カンザネーゼ [00:09:29] もちろんです。全体像ですね。 大きく振り返ってみると、全体像はサイバー犯罪と恐喝でしたよね? それが大きな話でした。 どの業界や地域で働いていても、ロシアはほとんどの状況でその反対側にいました。 違いが見え始めると、最初に違いが見え始めるのは、地域ごとに物事を見始めたときです。 右。 ウクライナの話はもうしましたよね? ですから、アジアの組織だけを見て、犯罪活動と地政学的活動の内訳を見ると、特にウクライナでの紛争を取り巻くアジアの地政学的活動の割合がはるかに高いことがわかります。 ラテンアメリカも地政学的な混乱が多く、地政学的なサイバー活動がどれだけあるかという点でも、それほど遅れをとっていません。 そして、違いが見え始める次の層は、自分がどの分野で働いているのか、どの地域で働いているのか、そこで誰が私をターゲットにしているのか、という段階だと思います。 例えば、最新のレポートでは、これらのグループのいくつかを取り上げました。 TA-505を見てください。 彼らはロシアの犯罪グループです。 彼らは主にアジアとヨーロッパの組織のみを対象としています。 右。 ですから、それほど心配する必要はありません。 右。 世界のどこかに拠点を置いている場合。 同様に、中国政府系の地政学的グループであるAPT-241。 昨年は、主に金融サービス組織を標的にしていました。 そして、彼らが標的にした組織のほとんどはシンガポールにありました。 右。 そして、何が起こっているのかというニュアンスの中で、具体的なことを見始めるのです。 それはあなたが働いている業界であり、あなたがいる場所の地理的な場所によって、あなたがターゲットとする特定のグループが決まります。 そして、これらのグループのそれぞれが、使用するツールや戦術に関して、明らかに独自のM.O.を持っています。 右。 そして、これを防衛の観点から考えているのであれば、それは重要ですよね? 誰が攻撃するかは重要ですよね? それが重要なのは、それが防御のターゲットを絞る方法だからです。 すべてのツールが、攻撃者があなたに対して使うツールから保護していることを確認してください。

Max Havey [00:11:58] 間違いなく、敵を知っているという感覚です。 前回、あなたがここのポッドにいたときの話のように。 敵を知ることは、その敵から身を守る最善の方法を知るための最初のステップであり、多かれ少なかれ、その種のデータを利用して防御を強化します。 来年を見据えて。 さて、冒頭で取り上げたジェネレーティブAIというトピックに戻ると、脅威の状況においてAIが実際にどのような影響を与えているのか、そしてそれは脅威アクターによって使われているのか。 防衛チームによって使われていますか? もしそうなら、このようなことがどのくらいの規模で起こっているのでしょうか?

レイ・カンザネーゼ [00:12:30] ええ、興味深い質問ですね。 なぜなら、私がサイバーセキュリティに携わってきた限り、サイバーセキュリティにはAIが存在してきたからです。 マルウェアを検知してブロックし、SOC内のノイズを低減するAIを活用しました。 私たちは長い間、インサイダーの脅威やその他の検出が困難な脅威を特定するために使用してきました。 ですから、それが存在している限り、私たちは明らかに業界として、より優れたツールを作成し、より少ないリソースでより多くのことを行おうとしているため、そこにありました。 そして、AIが約束するすべてのこと。 この1年で目にした新しいものは、これらの大規模言語モデルを副操縦士インターフェースとして、私たちが持っている膨大なセキュリティデータセットに活用できるというアイデアで、これは大規模言語モデルを使って大量のデータを供給し、データから洞察を抽出できるという、本当にクールで本当に素晴らしいことです。 ですから、この1年で人々が使うようになったのは、確かに新しいことです。 さて、攻撃者の視点から見ると、それは同じことですよね? ここでは、いくつかの新しいツールを紹介します。 右。 なぜ私はいくつかの新しいツールを使わないのでしょうか。 くだらない例ですが、私はよくこれを正しく使います。 コードを書くときは、IDEを使いますよね。 私はインテリジェントから製品を使ってきました。 右。 これにより、コードの記述が簡単になります。 これは本当に素晴らしいインターフェースです。 もし私が悪いコードを書いていたら、intelli-Jを使うだろうか? 右。 もちろん、私もそうしますよね? これらは、コードの記述を容易にするツールです。 もちろん、コードを書くのを容易にするツール、特にそれらのツールが無料で使える場合は、使うつもりです。 右。 そしてもちろん、攻撃者は、自分たちがやっていることをより簡単に、より効果的にするために、自由に使えるすべてのツールを使うでしょう。 しかし、もう一つ興味深いと思うのは、AIや生成AIのようなものや、それにまつわる誇大広告や新しいツールなど、私にはわかりませんが、マックス、今週広告を見た75のAIツールのうち、どれを使うのですか? 右。 ログイン方法を覚えていますか? それらを使うために何かをダウンロードする必要がありますか? そうですね、これらすべての質問で。 これは攻撃者にとってチャンスです。 右。 そのため、AIを使うのとは違うのに、他の人がAIを使って試すという事実を利用して、フィッシングページにアクセスし、Googleの認証情報を入力させようとしているものをたくさん見てきました。 会話全体を録音して何を使用できるかを確認するだけの偽のChatGPTボットと対話することから、トロイの木馬を見たことさえありますよね? Googleの場合、ChatGPTはどこでダウンロードできますか? 現時点で結果がどうなっているかはわかりませんが、Googleに報告しなければならなかったことが何度もあります。 ねえ、あなたがグーグルで検索するとき? ChatGPT はどこでダウンロードできますか? 上位の結果は、トロイの木馬、スパイウェア、アドウェア、あらゆる種類のゴミのようなものです。 なぜなら、明らかにあなたと私は、あなたがChatGPTをダウンロードしていないことを知っているからです。

Max Havey [00:15:22] その点で興味深いのは、これらのフィッシングキャンペーンを配信する手段としてのAIと、AI対応の脅威のようなものであるということです。 それは本当に、人々がこれらのツールをどこで入手できるかわからないもののシンプルさのようなものです。 したがって、これらのツールを騙す方法を見つけることは、今のところ最も抵抗の少ない道です。 また、あなたのチームのコリン・エステップも、今年の初めにプロンプトインジェクション攻撃について書いていますが、これは攻撃ベクトルとしてジェネレーティブAIを使うという流れに近いものです。 しかし、彼らの大多数がまだそれさえ行っていないのを見るのは興味深いことです。 それはまだ、生成AIへの道を見つけようとしている基本的な騙しの人々にすぎません。

Ray Canzanese [00:16:01] そうですね、善意や悪意を持って行動し、AIアプリに明らかにしてはいけないことを明らかにさせようとしている研究者はたくさんいます。右。 ユーザー間で情報を漏らすためでしょ? AIアプリ自体に対するあらゆる種類の攻撃があります。 AIアプリを運営する企業には、大量の機密データがあるに違いないという考えで攻撃が仕掛けられています。 右。 会社に侵入して機密データにアクセスしたい場合は、AI企業を選ぶべきです。 右。 つまり、これには非常に多くの層があるということですね。 そこには、さまざまなタイプの変化が見られ、人々がこれらのツールをどのように使っているか、そしてこの種の人々が人々のより広範な行動や相互作用にどのように影響するか。 また、レポートの作成にも役立ちます。 右。 私は物事を書き、それらはGrammarlyに入ります。 Grammarlyは、ねえ、あなたはこれを別の方法で言うことができたでしょう、そして、私が誰かに真実ではないことを納得させるために何かを書いていたら、もっと明確で理解しやすかったでしょう、そうですよね。 同じ道具で使えますよね? そして、それは私を同じように助けるでしょう。

Max Havey [00:17:06] その通りです。 はい。 ですから、私たちが今見ているのは、氷山の一角に過ぎないということです。 これらは、2024年、そしてその先へと向かうにつれて、成長と発展を続けていくでしょう。

レイ・カンザネーゼ [00:17:15] もちろんです。

Max Havey [00:17:16] 2023年を総合的に振り返ってみると、2023年の脅威の傾向を1つにまとめるとしたら、何を思い浮かべますか?

Ray Canzanese [00:17:25] 1つのポイントは、攻撃者は隠れるのが上手くなり続けており、今では誰もがクラウドアプリを使ってあらゆるものに夢中になっているという事実が、攻撃者に隠れる機会をたくさん与えているということです。 右。 そのため、人気のあるクラウドアプリを使ってマルウェアを拡散するのを見てきました。 一部の攻撃者は、同じアプリをコマンド&コントロールチャネルとして使用しています。 右。 Twitterで自分にDMを送るだけでいいのに、なぜコマンド&コントロールインフラを使うのか。 右。 つまり、隠れるのが上手になってきているということですね。 そのため、サイバーセキュリティに携わる人々が良いものと悪いものを区別することが難しくなっています。 そして、攻撃者がステルス性を高め、紛れ込むという傾向は、今後も続くでしょう。 彼らが秘密を見つけたわけではなく、それは彼らが永遠にやろうとしていることです。 彼らは今、効果的に運用する方法を見つけ出しており、サイバーセキュリティ業界が彼らを見つけるのが上手くなっているため、そのように運営することが非常に困難になるまで、そのように運営し続けるでしょう。

Max Havey [00:18:40] その通りです。 彼らは常に、私たちが作業しようとしている壁に囲まれた庭への新しい方法で新しいバックドアを見つけています。 同様に、Rayさん、2023年のクラウド脅威レポートの振り返りなどからこのデータを取り入れているセキュリティリーダーにアドバイスをお願いします。

Ray Canzanese [00:18:56] ええ、敵対者が現在行っている成功に焦点を当てるべきだと思います。 右。 例えば、彼らが今やっていることが成功しているということです。 彼らはクラウドアプリを標的にして悪用しています。 右。 では、その情報を使って何をすればいいのでしょうか? I 試す to reinin in cloud app 使う. 右。 私は、ユーザーがいつも気まぐれに使いたいことを何でも使うことを許しません。 みんなが使うアプリを見つけていますよね? Google Workspaces、Microsoft 365、そして私は、これらが厳重に監視され、厳重にロックダウンされ、侵害や内部脅威が発生した場合に何が起こっているのかを正確に把握していることを確認しています。 そして、私は、その盲点がないようにしています。 右。 例えば、私はすべてのネットワークトラフィックを監視し、検査し、攻撃者が今行っていることに対して防御するためにできる限りのことをしていますが、1つ注意点があります。 2024年中、これに注力するつもりだとは書いていませんし、2025年まで再検討したり、変更を加えたりするつもりはありません。 それが変わるかどうかを知る。 ですから、それに適応し、変化していく準備をしてください。

Max Havey [00:20:16] ええ、その適応性は、最近のすべてのセキュリティリーダーにとっての解決策の1つであるように思われます。

レイ・カンザネーゼ [00:20:26] もちろんです。 そして、それは大変ですよね? なぜなら、その点では、新しい脅威に関する新しいニュース記事が投稿されるたびに、今やっていることをすべて捨てて、その脅威に集中するという、やりすぎたくないからです。 右。 つまり、決して変わらないことと、決して適応しないことの間にはバランスがあるのです。 右。 そして、このような日々の浮き沈みに適応し、ある種の戦略的な変化を必要とするような大きな変化を実際に表すものではありません。

Max Havey [00:20:57] もちろんです。 そしてレイ、私はここで私の質問の終わりに来ました。 2023 年を振り返るクラウドと脅威のレポートから、さらに詳しく知るには、どこに行けばよいのでしょうか。 このデータをさらに掘り下げて調べるには、どこでこれを見つけることができますか?

Ray Canzanese [00:21:12] ええ、もちろんです。に行くことができます。 ネット scope.com/threat ラボ。 そのレポートはそこにあります。 私のメーリングリストはそこにあります。 また、私たちが目にしている脅威やトレンドについて定期的に発信しているコンテンツもたくさんあります。

Max Havey [00:21:27] とてもクールです。 右。 本日はお集まりいただきまして、誠にありがとうございます。 いつものように、脅威の世界がどのように変化しているかについての啓発的な会話であり、あなたは常に良い視点を持ち出すことができます。 ご参加いただき、誠にありがとうございました。

レイ・カンザネーゼ [00:21:37] お招きいただきありがとうございます、マックス。

Max Havey [00:21:38] 素晴らしい。あなたは Security Visionaries ポッドキャストを聴いていて、私はホストの Max Havey でした。 このエピソードを楽しんだら、お気に入りのポッドキャスティング プラットフォームで Security Visionaries を共有して購読してください。 そこでは、エピソードのバックカタログを聴くことができ、私または私の共同ホストである偉大なエミリー・ウェアマスが主催する新しいエピソードを隔週で公開します。 それでは、次のエピソードでお会いしましょう。