2022年の予測では、脅威の項目に大きな入れ替えはなかったが、2021年に発覚した「Log4J」（Javaのロギングライブラリ関連）、や「FragAttacks」（Wi-Fi関連）、「Zerologon」（Active Directory関連）といったインフラ化したライブラリやプロトコルに発見された脆弱性の問題が相次いだことをうけ、「修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）」が新しくランクインした。7位のゼロデイ攻撃や脆弱性の問題については、トレンドマイクロのレポートでも分析されているので、後半で触れることにする。

1位の「ランサムウェアによる被害」は、国内で2月、3月に「Emotet」の再流行が問題となっていることからも妥当だ。ランサムウェアは昨年も1位であり、しばらくはこの傾向が続きそうだ。

Emotetは、2021年初頭、欧米当局による主要攻撃者の摘発キャンペーンが功を奏し、撲滅されたかに見えていた。しかし、同年10月あたりから世界的にEmotet復活・再流行の報告がなされた。Emotet再流行についてはJPCERT/CCが注意喚起を行っている。事態を重く見ているJPCERT/CC（JPCERTコーディネーションセンター）では、Emotetに感染しているかどうかを簡易的に判定するソフトウェア『EmoCheck』を公開し、検査と対策を呼びかけている。

さらに状況を複雑にしているのが、ロシアによるウクライナ侵攻だ。両国および両国の支援国によるサイバー攻撃は起きていると判断すべき状況（通常、国家支援もしくは国家・国軍によるサイバー攻撃・サイバー諜報活動は公にされない）で、直接・間接を問わず周辺国や同盟国も警戒レベルを上げる必要はある。ただし、紛争や戦争に関連するもので当事国以外で観測できるサイバー攻撃は、日々発生しているサイバー攻撃との区別は難しい。攻撃の意図や背景はなんであっても、観測される事象や攻撃は同じだからである。

したがって、民間にできることは、フィッシングやDDoS攻撃、サプライチェーン攻撃、標的型攻撃に注意、対策を行うことが最優先となる。一般的なサイバーセキュリティの延長で考えることが可能なため、3月発表のIPA 10大脅威も国際紛争に関する言及は特にされていない。

トレンドマイクロのレポートでは、以下の6つのトピックを挙げそれぞれの動向を分析・予測している。

この中から、「クラウドの脅威」「ランサムウェア攻撃」「脆弱性攻撃」「サプライチェーンを狙う攻撃」についてとりあげる。クラウドの脅威では、攻撃者の興味深い進化についての指摘がある。ランサムウェアは、現実にいまも多くの企業が被害にあっておりIPAの10大脅威でも1位にランクインしている。脆弱性攻撃は今年の10大脅威の6位と7位に新しくランクインしたトピックに関わるものだ。サプライチェーン攻撃は、10大脅威の3位であり、判明した時点でチェーンのどこまでが被害を受けたのかがわかりにくく調査・解析に時間とコストがかかるため、大きな問題となりやすい。

レポートでは、「クラウド攻撃者のシフトレフト」を新たなポイントとして指摘している。シフトレフトとは、あらゆる作業工程、業務プロセスの早い段階（チャートの左側）でセキュリティ対策や予防措置を組み込む取り組みを指す。攻撃者側もこれを実践しているというわけだ。ただし、防御ではなく攻撃ポイントをシフトレフトしてきているという意味だ。

クラウド環境への攻撃は、もっぱら正規アカウントの窃取、アクセスキーの取得、ハッキングが狙われている。データセンターやクラウドシステムそのものへの侵入が困難なため、認証をいかに潜り抜けるかがポイントとなるからだ。レポートでは、このようなクラウド攻撃でも、統合開発環境（IDE）やソフトウェア開発手法DevOpsのツール、そのパイプラインを狙った攻撃グループが確認されているという。サービスそのものや運用段階への侵入・侵害ではなく、サービスの開発やデプロイ（配備）フェーズにも攻撃がシフトしているという。

対策としては、クラウド事業者と利用者の責任共有モデルの正しい実践、暗号化やバックアップ、正しい脆弱性管理（修正パッチの適用）などを挙げている。

ランサムウェア攻撃では、凶悪化と高度化の2点を22年の動向として挙げている。

凶悪化は脅迫内容が暗号化から、データ消去、暴露型への進化を指す。また、テレワークやハイブリッドワークによるVPNやリモート接続が新たな攻撃ポイントになっていることから、標的がエンドポイント（PC、スマホ）だけでなく業務サーバーにも広がっている。従来のランサムウェアは、添付ファイルなどからローカルPCを汚染するものが多かったが、現在はサーバーとそのデータを暗号化・破壊するものが増えている。

高度化は、スピアフィッシングや国家が支援しているような標的型攻撃のように、攻撃レベルや侵入手口が高度化していることを指している。脅迫の前に重要データのコピー（窃取）やシステム内部の探索など、ひととおり攻撃を行ってから脅迫を行うものが増えている。Emotetは、アドレス帳を利用した自己複製機能による攻撃メールの拡散が目立つが、Emotetは本来ダウンローダーであり、攻撃者の狙いは汚染PC・サーバーにランサムウェアや脆弱性検査プログラムのエクスプロイトキットなどをインストールすることにある。

攻撃ツールを用意し、バックドアをしかけ、マルウェアを準備して、探索活動を行い、最終的な標的（データ）にたどり着く。ランサムウェアはこれら高度な攻撃のうちの選択肢のひとつに過ぎない。

IPAの10大脅威では、パッチ未適応による情報公開後の攻撃の増大（6位）と、インパクトの大きい未知の脆弱性が今後とも発見され、それがパッチ公開前に悪用されること（7位）を懸念している。トレンドマイクロのレポートでもほぼ同じ指摘をしており、脆弱性対策は優先度を下げることはできない。

パッチ未適応は、主に組織側の問題である。システム上の問題やIoT機器など物理的にパッチ適応が困難なものもある。組織やベンダーとしては、業務システムや製品になるべく独自機能や要件を組み込まず、パッチ適用によるシステムへの影響を少なくする。古い機器は極力リプレースし、OTAなどリモートアップデート機能を必須とする。

ゼロデイ攻撃が増えている理由は、DX等によるシステム化されるビジネス領域の拡大、つまりソフトウェアやシステムなど母数が増えたことによる脆弱性の増加を挙げている。また、バグバウンティ（バグ発見報奨金）制度の浸透が、バグハンターによるゼロデイの報告を増やしていることもあると分析している。

2021年コロニアルパイプラインへのランサムウェア攻撃が、米国のエネルギー供給に一時的ながら打撃を与え社会問題となった。日本でも自動車メーカーがランサムウェアの攻撃で工場生産をストップさせる被害が複数発生している。

サプライチェーン攻撃は、ガードが堅い本社への橋頭保として子会社や取引先（中小・中堅規模の企業が多くセキュリティレベルが低い）を攻めるために行われるが、これらの事例は、たとえ本社に届かなくてもチェーンの途中に被害を与えれば、本体にも影響を与えることが可能で、ランサムウェアの効果を高めることができる。

トレンドマイクロのレポートでは、これらに加えてパンデミックや半導体不足によって、現代製造業の脆弱な面が明らかになり、攻撃者がこれに気付いたと指摘している。とくに日本型のジャストインタイム型の緻密に制御されたサプライチェーンは、末端の障害でも連鎖的な影響が大きい。

冒頭、国際情勢や地政学的な問題は、サイバーセキュリティ対策そのものは従来通りの対応が必要だからあまり影響ないと述べたが、サプライチェーンそのものへの事故、障害については、今後は前提条件をあまり絞らない考え方が必要となるだろう。スイートスポットの狭い経営やシステムは、有事には機能しない。