ディセプション技術の未来はセキュリティ攻撃用人工知能(AI)をだます防御AIディセプション技術で犯罪者をだませ(後編)

ディセプション技術によってさまざまなことが判明し、有効な対策が生まれている。攻撃者の行動を監視する手法や資格情報の新しい防御方法、そして攻撃用AIと戦う防御用AIについて解説する。

» 2018年02月07日 10時00分 公開
[Nicholas FearnComputer Weekly]
Computer Weekly

 前編(Computer Weekly日本語版 1月24日号掲載)では、ハニーポットなどの手法を使ってハッカーの手口を収集し、本来のシステムを防御するディセプション技術について紹介した。

 後編では、資格情報をローテーションさせて攻撃を困難にする手法や攻撃AIに偽のパラメーターを出力する防御AI、ディセプション技術を使って攻撃手法を収集する企業について紹介する。

Computer Weekly日本語版 2月7日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版 2月7日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。

ボタンボタン

ディセプション技術の台頭

 米国サンフランシスコを本拠地とするサイバーセキュリティ専門企業のPivotalは、ディセプション技術を開発し、重要なサービスとして顧客企業に提供している。

 同社は最近、「Pivotal Cloud Foundry」に「CredHub」という機能を追加したことを発表した。データセンターの資格情報を数分または数時間ごとに“ローテーション”するという。資格情報がローテーションするたびに、資格情報はハッカーにとって無益になるので、このシステムの侵害は非常に困難になる。仮に資格情報が流出したとしても、それによる被害は格段に軽減される。

 PivotalのCSO(最高セキュリティ責任者)であるジャスティン・スミス氏は、企業は資格情報を複数セット配備し、それを定期的にローテーションすることでサイバー犯罪者を欺くべきだと考えている。「ハッカーをデジタル食物連鎖の頂点に君臨する捕食者だと考えている人が大勢いる。しかしわれわれは、その概念を受け入れることはできない。その代わりにわれわれが重視しているのは、ハッカーが攻撃を成功させるために必要な、重要な要素を排除することだ。それは“時間”だ」と同氏は持論を展開する。

 「さらに挙げると、新たに判明した脆弱(ぜいじゃく)性に対処しておくこと、確認済みの良好な状態の情報を基にサーバを復旧させること、資格情報を定期的にローテーションすることだ。この処理は自動的に、かつ頻繁に行う必要がある。これで全てが解決するわけではない。それでもこれを実行すれば、デジタル食物連鎖の序列は確実に変わる」

 スミス氏によると、攻撃には、時間、ソフトウェアの脆弱性、漏えいした資格情報のうちのいずれか、または全部が必要だという。「これらの要素が間違いなく必要なことは、2000年から実施された研究で証明されている。ユーザーのメールの資格情報が、その場で当選者が分かるスクラッチ式のくじだとすると、分散システムの資格情報は、当選者が現れるまで賞金を次回に持ち越すパワーボールくじのようなものだ」と、同氏は説明する。

 「ユーザーの資格情報は、個人が参照できるものへのアクセスを露出する傾向にあるが、分散システムの資格情報は、全社の人間が参照できるものへのアクセスを露出する傾向にある。この問題に対するわれわれのアプローチは少し異なる。資格情報を頻繁にローテーションできるので、資格情報の流出を防止できる。また、仮に資格情報が漏えいしたとしても、従来に比べて早く検出できるようになる」

 他方、アナリティクスソフトウェア企業FICOの最高アナリティクス責任者であるスコット・ゾルディ氏は、ハッカーを捕らえるための革新的なテクノロジーとして人工知能(AI)を応用できると話す。「防御AIは、攻撃者の誤解を誘う応答を返す環境だ」と同氏は説明する。

 「攻撃者が監視されていると気付いた際、防御AIは選択的に攻撃者を欺く処理を実行するか、誤った出力を返す。防御AIは、最新ではないスコアを返したり、敵のモデリングデータセットを不正確にするパターンを作成したりして、結果的に、攻撃者のAIの能力を無駄遣いさせる。スコアの応答を巧妙に行うと、防御AIの挙動を学習した攻撃者AIの内部に人工的なパターンを作成するよう、防御AIを誘導することもできる。こうすることで、攻撃者がそのAIモデルを使って攻撃を仕掛けると、銀行のシステムから検知されやすくなる。犯罪の標的になったシステムが犯行の痕跡を検知したかどうかを犯罪者が測定する試みを防御AIは妨害する。犯罪者の攻撃AIから見ると、防御AIが返してきた値の中でどれが正しいのかを判断するのが困難になる」

サイバー戦略で最も重要な部分

 英国カーディフに本社を置く独立系テクノロジー企業Pervade Softwareは、ハニーポットやディセプション技術を積極的に利用して、スクリプトプロ、自動スキャン、ハッカーからの最新の攻撃にも適切な対策を継続的に実行している企業の一例だ。

 Pervadeのエンジニアリング部門の責任者、ジョナサン・デービス氏は、こうした手法が同社のサイバーセキュリティ戦略の非常に重要な部分であると話す。

 「われわれが使用しているハニーポットの最も単純なタイプは、最小限の保護を施したサーバをインターネットに直接接続し、そのサーバ宛ての通信を全て記録するものだ」

 「この仕掛けから、ハッカーが自動スキャナーを使う手口に関して、われわれは興味深い知見を得ている。自動スキャナー攻撃に使われるサーバは、現在は主にロシア、中国、ベトナムでホストされている。また、サーバが標的を検出して攻撃を開始するまでの時間も分かる。通常30秒未満だ。われわれはさまざまな種類のOSで試して、実行される攻撃に違いがあるかどうかを調べている」と同氏は付け加える。

 「ハニーポット以外にも、当社は匿名でWebサイトを幾つか構築して、基本的なブログやメッセージ機能を提供している。月間のアクセス数は3000から数百万件と幅がある。このWebサイトは幾つかのハッカー集団が利用していて、ここに投稿されたコンテンツのために、このサイトはライバルのハッカー集団から定期的に攻撃されている」

 「われわれは匿名ではあるが、絶えず攻撃を受けていることを承知しながら、このサイトの公開を継続することに同意している。使われている攻撃の手口を分析するためだ。これらのサーバから得られたデータは非常に貴重だ。おかげでわれわれは、実行された具体的な攻撃を検出する当社のソフトウェア『OpView』に、このデータに関連するルールを構築して実装できる」

 サイバーセキュリティは、事業運営の基礎の一部を占めている。サイバー攻撃の脅威は、その手口がどんどん複雑になっているだけではなく、件数も増え続けている。

 現在実行されているサイバー戦略は多数あるが、最も効果的なものとして、ディセプション技術も急激に注目されている。サイバー犯罪者を迅速に摘発することについて、ユーザー企業では効果が認められているし、同時に違法行為に関する知見も得られるからだ。

別冊Computer Weekly 脱Microsoft の理想と現実(転載フリー版)も公開中!

ヨーロッパ各国の政府機関で脱Microsoft プロジェクトが進んでいる。だが、さまざまな政治的な思惑や政府機関間の温度差、局所的なレベルにとどまっている運動はまた、脱Microsoftだけが唯一の正解ではないという現実を示している。

※本PDFは、TechTargetジャパン会員でなくても無料でダウンロードできます。


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ