2023年もあと少しとなりました。
今回は気分転換のネタとして、年初に各セキュリティベンダや団体が出していた「2023年セキュリティ予想」でどういったことが予想されていて、結果的にどうだったかを振り返ります。
何故そんな分析をするのか
特に深い理由はないのですが、1月にやたらと各所で23年予想の記事を見かけたので「それぞれ横並びで見てみるとどんな傾向があるんだろう」と思ってまとめていました。
その後すっかり忘れていたのですが、年末になって結局当たっていたのか気になったから振り返ってみました。
23年予想とはどんなものだったか
23年1月当時、様々なベンダや団体からセキュリティ予想が出ました。
それを8つほど集めたのが図1です。
同じテーマを論じているものには同じ色を塗っています。
(集計組織とソースリンク)
次に、図1のうち複数組織の予想で頻出したテーマが図2です。
色は図1と2で対応しています。
予想と言っても占いではないので何もない所からアイデアが出るのではなく、22年に起きたことが色濃く反映されています。
(今も収まっていませんが)当時はコロナやロシア・ウクライナ紛争による経済の低迷や、紛争内で用いられたディープフェイクの話題が多めでした。
11月頃に登場したChatGPT3.5の話題は組織によって反映状況はまちまちでした。
また、ランサムウェアは常連感がありますが、より効率よくお金を稼ぐために手法が変化することが予想されていました。あわせて、サイバー保険の記載はランサムウェアのテーマとセットで考えられたものと思われます。
なお、一口に「23年予想」といっても、脅威を予想するのか業界動向を予想するのかによって若干方向性が異なるのですが、ここでは細かいことは気にせずに並べています。
個人的には、パロアルト社の他と違った視点(5Gとかメタバースとか)が面白かったです。
結局23年予想は当たったのか?
感覚的には、頻出度が高いものはどれも当たっているというか今見ても違和感ないなと思います。
上述の通り、23年予想は22年に起きたイベントの延長上にあるものですから、当然といえば当然かもしれません。
1位のサプライチェーンリスクについては、MOVEit Transferの脆弱性を起因としたランサムウェアCl0Pが最も記憶に残っていますが、他にも@nekono_nahaさんがまとめられているように様々な脆弱性が悪用されました。
2023年は脆弱性関連のインシデントが酷い状況だったなぁということで備忘がてら主要なものをまとめました(振り返ってみると本当に酷い😓
— nekono_nanomotoni (@nekono_naha) December 8, 2023
今年の脆弱性大賞をつけるとしたら個人的には 1位 MoveIT Transfer、2位 CitrixBleed、3位 Cisco IOS XE、特別賞 Barracuda ESG 🚨 pic.twitter.com/Ay9GmFGMi2
また、これに備えるべくSBOMの推進が世界中で進んでおり、私も時々ブログで取り上げました(これとかこれ)
同1位のAI関連の攻撃については、ディープフェイクや生成AIを用いて作りだした音声やメールによるフィッシング、BECの事案が時々話題にあがりました。
予想時にはまだあがっていなかったハルシネーションやプロンプトインジェクションの話も結果的に加わったように思います。
3位の「ランサムウェアの多様化や進化」は、「ノーウェアランサム」という謎ワードが生まれたように暗号化をしないタイプの攻撃が増えました。
4位以降は全て振り返るのは割愛しますが、どれも思い当たることが多いテーマだと思います。
例えば「クラウドの設定不備を狙った攻撃」はこちらの記事でまとめられているようにじゃんじゃん起きていますし、
xtech.nikkei.com
「サイバー保険の重要性の変化」では高額化や引き受けのハードルが上がることが予想されていましたが、私が今年携わった業務の中で実感するところがありました。
その他、予想とは関係ないですが、こんなことが話題に上がりましたね。
- 国内でもスミッシングが徐々に発生
- 国交省の河川監視カメラへの不正アクセス
- 家庭向けルータの不正利用
- 名古屋港のランサム事案
- 処理水に関連したDDoS攻撃
- Storm-0558によるExchange OnlineとOutlook.comへの不正アクセス
- Oktaがやられまくって信用度が下がっている件
今回はここまでです。
24年はどんな一年になるでしょうか。
サイバーセキュリティは一つ大きな事件が起こると一気に風向きが変わる(セキュリティ担当にとっては宿題が増える)世界です。
ただ、最近は大きな事件が起きても、全く目新しい対策が必要になることは減ってきたようにも思います。
10年前は「標的型攻撃だ!」「DDoSだ!」「Webページの改ざんだ!」と1つ事件が起こるたびに、全く新しい打ち手が必要になり、とにかくバタバタしていました。
それに対して、最近はやるべき対策は見慣れたもの(例えば構成管理や脆弱性管理など基本的なこと)になり、支援するツールも揃いつつあり、後はそれを各組織がどこまで粒度細かく・実効性高く実践できるか次第になってきたように思います。
もし、大きな事件が24年に起きたとしても、「やるべきことは変わらない」の精神で変にブレずに一歩ずつ進んでいきたいですね。