悪意のあるプロンプト作成がサービス化？ ウィズセキュアが2024年の動向予測：セキュリティニュースアラート

ウィズセキュアは2024年におけるサイバー脅威を取り巻く環境に関する予測コメントを発表した。サイバー犯罪の専門化やAIを悪用した攻撃の進歩についてまとめている。

[田渕聖人，ITmedia]

　ウィズセキュアは2023年12月20日、2024年におけるサイバー脅威を取り巻く環境に関する予測コメントを発表した。AI（人工知能）を悪用した攻撃の他、従来とは異なる脅威が拡大する可能性を指摘している。

悪意のあるプロンプト作成がサービス化される？　5つの予測とは

　ウィズセキュアが予測する5つのトピックは以下の通りだ。

1．サイバー犯罪の専門化

　ウィズセキュアによると最近、APTグループやランサムウェア攻撃グループ、イニシャルアクセスブローカー（侵入情報の提供者）などによって、企業内の貴重なデータに到達するためのネットワークへの侵入経路として、インターネット境界に面したサービスの大規模な悪用が急増している。

　ランサムウェアグループ「Clop」がファイル転送ソフトウェア「MOVEit Transfer」（以下、MOVEit）に仕掛けた攻撃とその成功によって、同様の流れでエッジデータ転送サーバをターゲットとした、より大規模な攻撃キャンペーンが実行される可能性がある。

　MOVEitは大量の重要なファイルを組織間で確実に転送するために使用されるが、ClopはMOVEitのサーバを悪用してこれらのファイルにアクセスし、情報を流出させた。ランサムウェアグループにとって、大量の重要データへのアクセスは最終目標であり、ネットワークのさらに先へのアクセスではなく、脆弱（ぜいじゃく）性を持つMOVEitサーバ自体に攻撃に価値を見いだす模倣的なが増えることが想定される。

　ウィズセキュアによると、このタイプの攻撃は手順が少ないため攻撃者にとっては単純なものであり、同時に防御側にとっては検知が非常に困難だという。攻撃は全て1台のサーバに向けられるため、ラテラルムーブメントを検知することは困難だ。

　ウィズセキュアは「ターゲットとなるサーバはインターネットに面しているため、高度に統制されたドメインコントローラーで構成されるコアサーバネットワークよりもノイズの多い環境となる。こうしたサーバがリモートの宛先に大量のファイル転送を実行することは通常動作であるため、異常なアクティビティーとして認識されなかったり、セキュリティチームによって誤検知として処理されたりする可能性が高い」と指摘している。

2．クラウドサービスの普及とテレワークの継続による攻撃対象の拡大

　サプライチェーンの一部が侵害を受けると、複数の組織に悪影響を及ぼす可能性がある。多くのユーザーを持つVoIPソフトウェアのプロバイダーのシステムを侵害し、そのユーザーを感染させた「3CX」へのサイバー攻撃はその代表例だ。

　サイバー攻撃者は3CXのWebサーバの脆弱性を悪用し、ソフトウェアのアップデートに悪意のあるコードを混入した。3CXのサプライチェーン攻撃は、単一のソフトウェアサプライチェーン攻撃が別のソフトウェアサプライチェーン攻撃につながったものだ。

　ウィズセキュアはこの事例について「サプライチェーンシステムだけでなく、サードパーティーベンダーのシステムも保護することの重要性を示しており、今後もサプライチェーン攻撃は多くの課題をもたらすことになると考えられる」とコメントしている。

　新しいインタフェースやAPI、通信チャネルを備えたクラウドサービスは攻撃者にとって新たな標的となり、潜在的な攻撃対象領域（アタックサーフェス）が拡大することになる。

　クラウドインフラとリソースの設定や管理におけるエラーや見落としが原因で発生する設定ミスは脆弱性やデータ漏えい、運用上の問題につながる。これを軽減するには、定期的なセキュリティ監査を実施し、クラウドサービスプロバイダーが提供するベストプラクティスに従い、潜在的な問題の継続的な監視を怠らないことが必要となるという。

3．AIに関連したサイバー攻撃

　オープンソースソフトウェア（OSS）のAIは今後も改善され、広く使用される。2024年の米国大統領選挙に向けて、AIはフェイクニュースや影響力を持つ戦略のために使われる可能性がある。サイバー犯罪のエコシステムはアクセスブローカーやマルウェア作成、スパムキャンペーンサービスなど細分化が進んでおり、フェイクニュースの分野ではPRやマーケティングを装いながら、フェイクニュースの分野ではPRやマーケティングを装いながら、偽情報の発信や影響力の行使をサービスとして提供する企業もすでに数多く存在する。

　サイバー犯罪者は効率化のためにAIを活用し、生成AIモデルによってフィッシングコンテンツやソーシャルメディアコンテンツを生成し、ディープフェイクにつながる合成画像／動画を作成すると考えられる。これらのコンテンツの作成にはプロンプトエンジニアリングの専門知識が必要であり、それさえもサービス化されていく可能性がある。

　ウィズセキュアは、画像や動画を生成するAIサービスが制御しやすくなるにつれて、文章生成AIと同様にエンドユーザーがアクセスしやすくなるとしており、今後はAIサービスの統合や大手による独占が始まると予想する。「AIが生成する膨大な数の画像がインターネット上に氾濫し歴史的な画像も含めほぼ全ての画像がその真贋を疑われるようになる」（ウィズセキュア）

　今後登場するサービスや製品ではAI機能の搭載の有無が購入／導入決定の要素の一つになる。しかし、初期のIoTデバイス同様、セキュリティを軽視した製品も市場に出てくることが予想されるため、ユーザーはこうした点も十分考慮する必要があるだろう。

4．ソフトウェアサプライチェーン攻撃

　ユーザーはサプライチェーンのセキュリティを完全に把握できない製品やサービスを利用している。また、プロバイダー自身もサプライチェーンにおけるセキュリティの全容を把握できているとは限らない。

　サイバー攻撃者は大手のサービスプロバイダーそのものを標的にする必要はなく、オープンソースソフトウェア（OSS）のコードやAIモデルを標的にする可能性がある。

5．サイバーセキュリティにおけるグリーンコーディング

　ウィズセキュアによると、さまざまなアプリケーションにおいてデータ量が増加するなか、温室効果ガスの排出量の削減を目指す上で、IT業界がクラウドサービスと各種デバイスの両方において果たす役割は大きなものとなる。

　同社は「今後12〜18カ月の間に、コードの全体的なエネルギー効率を優先させるべきというユーザー側からの要請に後押しされ、IT業界における共通規格が登場する」と予想している。

　コードを最適化するには、デバイスから実際の使用データを収集し、ラボでのテストだけでなく、高い効果を持つ分野を特定する必要がある。AIテクノロジーはコンテンツ作成と分析に優れているが、その進歩はエネルギー集約的なものであり、コンピューティングの運用に影響を与えている。生成AIエンジンの構築と運用には従来のアルゴリズムとは対照的に計算コストがかかる。

　ウィズセキュアは「持続可能で効率的な利用のために、これらのテクノロジーを実世界のシナリオに適用する際には、こうしたさまざまな要素を考慮することが極めて重要となる」と指摘している。