徳丸 浩氏が2025年の脅威を予測 生成AIの悪用はどこまで現実化するのか?

サイリーグホールディングスが開催した記者説明会で、セキュリティ業界のご意見番である徳丸 浩氏が個人的に気になった2024年のセキュリティ事件を振り返り、2025年の脅威予測を発表した。

» 2024年12月05日 07時00分 公開
[田渕聖人ITmedia]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 サイリーグホールディングスは2024年12月4日、「サイバーセキュリティの現在と未来を考察する」と題した記者説明会を開催した。

 同説明会では、イー・ガーディアングループCISO兼EGセキュアソリューションズ取締役CTOの徳丸 浩氏が登壇し、個人的に気になった2024年のサイバーセキュリティの事件を振り返りつつ、2025年の未来予測を発表した。セキュリティ業界の“ご意見番”である徳丸氏はこの1年のセキュリティ状況をどのように見たのか。

2024年、徳丸氏が注目した3つのセキュリティトピック

 徳丸氏は2024年の注目すべきトピックとして「生成AIによるサイバー攻撃の可能性」「生成AIで作成したプログラムに潜む脆弱(ぜいじゃく)性」「クレジットカード情報漏えいの動向」の3つを挙げた。

素人が生成AIでランサムウェア開発は可能か? 徳丸氏の見解

 生成AIは登場以降、さまざまな分野で活用されている。特に開発現場ではプログラミングコードの生成といった効率化の面でこれが利用されるケースが多い。しかしこの状況は攻撃者にとっても同様だ。マルウェア開発におけるコード生成にAIを悪用する事例はしばしば確認されるようになった。

 このような状況で徳丸氏はあるニュースに着目した。それが2024年5月に男が複数の生成AIを悪用してランサムウェアを開発し、SNS経由で知人女性に送り付けたという事件だ。全くプログラミングやITの知識がない未経験者がランサムウェアを開発したことから、大きな話題になったので覚えている読者もいるかもしれない。

 ただしこの報道の内容が真実かどうかは疑問が残ると徳丸氏は指摘する。

イー・ガーディアングループCISO兼EGセキュアソリューションズ取締役CTOの徳丸 浩氏

 「報道では、男が開発したランサムウェアは何らかの理由でうまく作動しなかったとされている。生成AIを使ってランサムウェアを開発しようとしたのは事実かもしれないが、実用レベルまでには至らなかったのではないか、というのが私の見立てだ」(徳丸氏)

 「弁護士ドットコム」の報道によると、男は1カ月程度でランサムウェアを「完成させた」ことを認めてはいるが、これが実際に機能したかどうかまでは法廷では明らかになっていない。

 徳丸氏は「被告の男性はスマホで知人女性にランサムウェアを送りつけたとあるが、スマホアプリに偽装したマルウェアを開発するには専用のツールが必要になる他、マーケットプレイスの審査をパスするのは簡単ではない。また、『iOS』や『Android』にはサンドボックスの保護機能もあるためこれを突破したとは考えにくい。被告がランサムウェアの作成を認めたのは恐らく訴訟戦術であり、実際にはソースコードあるいはZIPファイルを単に送っただけで『未経験者が生成AIを悪用してランサムウェアを作成した』とは言えないと思う」と見解を述べる。

 では、実際に生成AIを悪用してランサムウェアを作ることは不可能なのか。徳丸氏によると、未経験者には難しいかもしれないが、ある程度の知識があれば開発のヒントとなるような情報は得られるという。

 同説明会では徳丸氏がプロンプトエンジニアリングを駆使して「ChatGPT」にランサムウェアを作成させようとするデモが公開された。もちろん単にランサムウェアの開発を生成AIに依頼してもガードレールメカニズムが機能するため難しい。しかし「学習」という名目で、ランサムウェアの暗号化における根幹の処理である「『PowerShell』で『Windows』の特定フォルダを全て暗号化する方法(コード)を教えてほしい」などと頼めば、そのやり方やコードを生成するため攻撃者のヒントになる可能性がある。

徳丸氏が公開したデモの様子。ランサムウェアの構造を理解していれば「学習」目的で開発のヒントとなる情報を得ることが可能になるという(筆者撮影)

生成AIで作ったものは必ずしも正しいとは限らない

 2つ目のトピックは「生成AIで作成したプログラムに潜む脆弱性」だ。生成AIが開発の現場でよく利用されているのは上述の通りだ。だが、作成したソースコードの完成度は現状どのくらいなのか。

 徳丸氏はこれを検証するため、ChatGPTにJavaScriptのフレームワークである「Vue.js」を使ったソースコード生成を依頼したところ、出来上がったコードにはクロスサイトスクリプティング(XSS)の脆弱性が存在していた。この他、JavaScriptのライブラリである「jQuery」を使ってWeb APIを呼び出し、それを表示するプログラムの作成を依頼したところ、同様にXSSの脆弱性が含まれていた。

 「『AIが生成してくれたから正しい』という発想は危険だ。常に高品質のコードが生成されるわけではなく、脆弱性が含まれるものも一定数存在することを念頭に利用することが求められるだろう。さらに言えば、このような脆弱性が含まれたコードを生成AIが作ったのか、それとも人間が作ったのか区別できない点も問題だと感じている」(徳丸氏)

正規のECサイトでも信頼できない クレジットカード情報窃取の巧妙な手口

 3つ目のトピックは「クレジットカード情報漏えいの動向」だ。徳丸氏が定点観測する中では、特にECサイトからのクレジットカード情報の漏えいはなかなか減っていない現状がある。

 最近の報道では、タリーズコーヒージャパンのオンラインストアが不正アクセスを受けて、合計9万2685人の会員のうち、一部の顧客情報が流出した可能性があることを発表した。同サイトでクレジットカード決済をした5万2958人のクレジットカード番号やセキュリティコードなどが漏えいした可能性がある。

 この他、シャープが公式オンラインストア「COCORO STORE」および食材宅配サービス「ヘルシオデリ」における不正アクセスによる個人情報流出を発表した。この被害によって4257人のクレジットカード情報を含む個人情報が流出した可能性があることが分かっている。

 徳丸氏によると、これらの企業は自社DBにクレジットカード情報を直接保存していたわけではなく、顧客がクレジットカード情報を入力する過程で攻撃者がわなを仕掛けることで情報が窃取されているという。同氏は代表的な幾つかの攻撃手法を挙げた。

 1つ目はフォームジャッキングだ。2013年頃から見られるこの手法は、正規のECサイトを改ざんして偽のカード情報入力画面をユーザーに表示させてクレジットカード情報を奪う。

 2つ目はフィッシングだ。クレジットカード会社を装ってカードの更新期限などを迫る電子メールを送ることでユーザーにクレジットカード情報の入力を促す。入力画面は正規のページを忠実に模倣していることもありなかなか気が付きにくい。

 3つ目はクレジットマスターだ。クレジットカードの番号にはある程度の規則性があるため、それに従ってランダムに複数のクレジットカード番号を生成して有効性チェックを突破しようとする総当たり的な手法だ。

 これらの対策として、クレジットカード会社側からはECサイト事業者向けに「セキュリティ・チェックリストに基づく対策措置状況申告書」の提出を求めている。このチェックリストはECサイト事業者がECサイトのセキュリティ対策を強化するために適切な措置を講じているかどうかを確認するという仕組みだ。

 この他、経済産業省はクレジットカード決済の加盟店向けに、クレジットカード決済時の本人認証サービス「EMV 3-Dセキュア」の導入を義務化する方針を掲げている。この導入は2025年3月末をリミットとしているため、ECサイト事業者は急ぎ対策が必要となる。

徳丸氏が語る2025年の脅威予測

 徳丸氏はこれまでの話を踏まえて最後に、2025年の脅威予測として以下を発表した。

  • 生成AIはセキュリティの脅威となる側面はあるが、急激な変化は考えにくい: 生成AIによってマルウェアなどの開発生産性は向上する他、フィッシングなどの文面作成も効率化される一方で「AI臭さ」もあるので、人手による添削は必要になる。防御側がやるべき対策が大きく変化するわけではない
  • 生成AIによるプログラム開発は進んでいるが、品質や脆弱性の問題が今後顕在化する: ただ外部からは生成AIによって作られたものかどうかの判別は付きにくい
  • クレジットカード情報窃取被害は増加すると予想: 中期的には16桁のカード番号をそのまま使うことはなくなり、VISAなどが推進するトークン決済が普及すると予想する

Copyright © ITmedia, Inc. All Rights Reserved.