サイバー攻撃者はなぜ生成AIを使うのか? 得られる2つのアドバンテージ
生成AIをサイバーセキュリティに利用する取り組みが進んでいる。ただしこれは防御側だけではなく、サイバー攻撃者にとっても同様だ。生成AIを悪用したサイバー攻撃の動向を識者に聞いた。
2023年は「ChatGPT」をはじめとした生成AI(人工知能)ツールが大きな話題になった。多くの企業がこれをビジネスにどう活用するかを日々模索し、先行者利益を得ようとしている。そしてこの動きはサイバーセキュリティも同様だ。防御者だけでなく、多くの攻撃者がサイバー攻撃に生成AIを悪用しようとしている。
ではサイバー攻撃において生成AIは実際どのように使われているのか、また、セキュリティにおいて生成AIが最も活躍する分野はどこで、防御側は今後、生成AIをどう活用していけばいいのか。ImpervaでCTO(最高技術責任者)を務めるクナル・アナンド氏に聞いた。
生成AIのサイバー攻撃への悪用 最新のケースを紹介
――生成AIの普及によってサイバーセキュリティにどのような影響が生まれているのでしょうか。
クナル・アナンド氏(以下、アナンド氏): サイバー攻撃者の視点ですと、生成AIツールを使って新たなサイバー攻撃を開発する動きが生まれています。サイバー攻撃者はフィッシングキャンペーンや、マルウェア開発、ウイルス対策ソフトやファイアウォールの回避に生成AIを利用するといった試みを続けています。
近年の大規模言語モデル(LLM)の進化は著しく、サイバー攻撃者は毎日のように新しい攻撃手法を開発しています。そのため従来のシグネチャ型の脅威検知は近い将来無意味になってしまうでしょう。全ての組織は振る舞い検知型のアプローチを採用し、未知/既知の脅威に対抗してビジネスを保護することが求められています。
サイバー攻撃者が生成AIを使うことには2つのアドバンテージがあります。一つは新しいタイプのサイバー攻撃をより素早く試せるようになったことです。これまでは全てを自分で考えてプログラミングする必要がありましたが、生成AIを利用すればこの時間を大幅に削減できます。
もう一つは、サイバー攻撃への参入障壁が下がることです。サイバー攻撃者は最近、「ChatGPT」などを基に犯罪行為の支援に特化したLLMを開発し、ダークWebなどで販売しています。それらの中にはオープンソースソフトウェア(OSS)で提供されているものもあります。RaaS(Ransomware as a Service)などと同様に、これを利用すればスキルの低い犯罪者でもサイバー攻撃を実行できてしまいます。
――サイバー攻撃者による生成AIの悪用ケースについてもう少し詳細にお聞かせください。
アナンド氏: 当社が調査した限りですと、先述したウイルス検知の回避に生成AIが使われている他、最近では、画像認証を提供する「CAPTCHA」機能の突破にこれを悪用するケースが見受けられます。
CAPTCHAは人間とbotを見分けるためのセキュリティ機能です。複数の画像の中から設問に適した画像を選んだり、崩された文字を読み取ったりすることでユーザーの真正性を確保します。サイバー攻撃者はbotを使うことでこれを突破し、口座やトークン、クレデンシャル情報などの不正を実行しようとします。そしてこういった識別の分野においてAIは強力な力を発揮するのです。
例を紹介しましょう。当社の脅威リサーチチームが実際にChatGPTを使ってCAPTCHA機能を突破できるどうかを実験したところ、「階段を含む画像はどれか」といった設問では何度実施しても正確な回答を返しました。その他、2枚の画像を回転させて向きをそろえる設問でも正確に回答しています。
――botと生成AIを組み合わせることで、認証情報などを窃取できる可能性が高まっているというわけですね。
アナンド氏: その通りです。この他、生成AIを利用するサイバー攻撃者の動きとしては2種類あると思っています。一つは生成AIを使ってソフトウェアやツールの脆弱(ぜいじゃく)性を見つけ出し、これをランサムウェア攻撃などに悪用することで金銭を得ようとするものです。もう一つは生成AIによって脆弱(ぜいじゃく)性を見つけ出し、これをサービス提供企業に報告することで報奨金を得るものです。いわゆるバグバウンティプログラムですね。
――サイバー攻撃者もバグバウンティプログラムに参加するんですね。もし私が攻撃者の立場で脆弱性を見つけたらランサムウェア攻撃を仕掛けた方がいいと考えるかもしれません。
アナンド氏: サイバー攻撃者の最終的な目的は金銭を得ることです。そのため報奨金がしっかり出るのであればバグ報告した方が“うまみ”がある可能性があります。一方で潤沢にお金を持っている大企業のシステムで脆弱性を見つけた場合はランサムウェア攻撃を仕掛けた方がもうけが大きくなるかもしれません。ケース・バイ・ケースで選択しているのだと思われます。
生成AIをサイバー防御にどう活用するか?
――これまでサイバー攻撃者側の視点で生成AIの活用についてお話しいただきましたが、防御側の視点に立つと生成AIをどう活用していくのがいいのでしょうか。
アナンド氏: サイバー防御に生成AIを活用できるパターンは2種類あると思っています。一つは先述した通り、振る舞い型検知に生成AIを活用することです。もう一つはより優れたインサイトの獲得やインシデントレスポンス、可視化を生成AIが支援するパターンです。
生成AIがもたらす最も大きなアドバンテージは、効率の改善です。これまで大企業ではSOCを構築し、セキュリティイベントのリアルタイムモニタリングに多くのリソースを投じてきました。これをAIが代替することで、時間やコストを大幅に削減できます。今後はAIを使ってコスト効果性を高める動きというのはより増えてくると思われます。
セキュリティについては、「異常な振る舞いが起きているかどうか」「異常な振る舞いによって自社が何かリスクにさらされているのかどうか」「テクノロジーを使って問題をどう素早く解決できるか」などを企業が把握するのを生成AIは助けることになるでしょう。
生成AIに関連したサービスは今後、ハイパースケーラーをはじめとした複数のインフラプロバイダーから提供されるはずです。そうなると価格が下がり、よりコストフレンドリーなサービスとなるため、リソースに困っている中堅・中小企業でも気軽に生成AIを利用できるようになると思います。
――本日はありがとうございました。
関連記事
- 徳丸 浩氏に聞いてみた 「なぜサイバーセキュリティ人材は足りないの?」
サイバーセキュリティ人材はなぜ不足しているのか。企業は素養がある人材をどのように見極めて、獲得に向けて何をすればいいのか。徳丸 浩氏がこの難問に答えた。 - “大流行するマルウェアには発生周期がある”は、トンデモ仮説かそれとも予言か?
「大規模なワーム型マルウェアには発生周期がある」という大胆な仮説が提示された。果たして本当だろうか。 - 「サイバーレジリエンス」の基本を解説 もう知ったかぶりからは卒業しよう
最近聞くようになってきた「サイバーレジリエンス」という言葉。これを自信を持って説明できる人はどのくらいいるでしょうか。そもそも「レジリエンス」とはどういう意味で「サイバーセキュリティ」とは何が違うのか、解説します。 - ChatGPTでサイバー犯罪はどう変わる? 生成AIの動向と規制から考える
ChatGPTをはじめとした生成AIは依然として大きな関心を集めており、これをサービスにうまく組み込もうと多くの企業が苦心している。そしてこれはサイバー犯罪者にとっても同様だ。生成AI悪用の手口について紹介しよう。
Copyright © ITmedia, Inc. All Rights Reserved.