IoT機器が仮想通貨を採掘させられる？ 2023年のサイバーセキュリティ脅威動向とは：IoTセキュリティ（2/2 ページ）

Trellixは、2023年に注意すべきサイバーセキュリティ動向をまとめた同社の「2023年脅威動向予測レポート」について解説した。

[長沢正博，MONOist]

地政学的脅威も引き続き存在、思想的背景を持った攻撃にも警戒

　予測3の「サプライチェーンの脆弱性に対する侵害の増加」は、2021年に見つかったJava向けのログパッケージ「Apache Log4j」の脆弱性に絡んだものとなる。「攻撃者はより簡単な攻撃手法、弱点を探して、より少ない工数、人数でリターンを得ようと躍起になっている。オープンソースのソフトウェアに大手の商用ソフトウェアと同等の脆弱性対策、管理を求めるのは困難だ。ユーザー側は情報収集と合わせて、使用しているソフトに脆弱性が発見された場合は、迅速にパッチを当てるなどの対策を進めてただきたい」（櫻井氏）。

［クリックで拡大］出所：Trellix

　ロシアによるウクライナ侵攻を契機として浮かび上がった脅威も引き続き存在する。

　予測1は「地政学的な動機のサイバー攻撃、偽情報の拡散活動は引き続き拡大」で、地政学的な動機によるサイバー攻撃が2023年も拡大傾向にあると見込んだ。2022年は国のサポートを受けている攻撃者だけでなく、政治的思想によってその国を支援するハクティビストと呼ばれる攻撃者が活発化したが、予測2でも「プロパガンダを原動力に、緩やかに素子化した個人の集団が連携」として取り上げた。櫻井氏は「自分たちの思想と合わない国やその国に属する企業への攻撃が増加する可能性がある。警戒レベルを高める必要がある」と述べた。

［クリックで拡大］出所：Trellix

　予測6でも「サイバー戦争の進展に伴い、重要インフラに対するグローバルなサイバー脅威が差し迫る」として、エネルギーや金融などの重要インフラが大きなリスクにさらされており、戦争目的のIoT機器の乗っ取りによる大規模なDDoS攻撃発生の危険性を指摘した。「重要インフラを担う企業は厳しい業界標準に準拠するとともに、事後の対処ではなく事前防御型のプロアクティブでより高度な対策を行い、被害者にならないだけでなく、インフラが乗っ取られて加害者にならない対策準備が必要だ」（櫻井氏）。

戦争目的のIoT機器の乗っ取りによる大規模なDDos攻撃発生の危険性［クリックで拡大］出所：Trellix

　その他、子どもの頃からデジタルに親しんできた未成年らによるサイバー犯罪の活発化（予測4）や人工衛星などの宇宙空間の資産へのサイバー攻撃（予測9）、メールやSNSを通じて指定した番号へ電話するよう誘導するリバースビッシング（予測10）、Windowsドメインに対する攻撃の大規模化（予測11）が脅威予測として挙がった。

10代、20代による多種多様なサイバー犯罪が活発化（左）と、人工衛星やその他の宇宙上の資産への侵害が増大（右）［クリックで拡大］出所：Trellix

リバースビッシングの被害の大幅増加傾向が継続（左）と、ドメイン権限昇格の新たな脆弱性が発見され、さらなる被害拡大の可能性（右）［クリックで拡大］出所：Trellix

⇒その他の「IoTセキュリティ」の記事はこちら