攻撃者の次の狙いは“AIの中身” 新たなるサプライチェーンリスクに備えよう：ゼロトラストアップデートの秘訣（後編）

「Apache Log4j」の脆弱性など、ソフトウェアサプライチェーンのリスクは多くの企業が知るところだ。しかし注意すべきはそれだけではない。AI時代に本格化の兆しが見える新たなサプライチェーンリスクについて解説する。

[福本淳，ITmedia]

　今日、デジタル技術はビジネスのあらゆる場面に深く浸透している。多くの仕組みがプログラムで動作しており、業務で使われるソフトウェアやアプリケーションも例外ではない。近年は「ChatGPT」をはじめとする「生成AI」の導入が急速に進んでおり、将来的に生成AIは企業に不可欠な存在になると見込まれる。

　言い換えれば、ソフトウェアや生成AIの安全性が損なわれた場合、ビジネス拡大が阻害されるだけでなく、企業活動そのものが脅かされることになる。この連載の前編では、最新の脅威動向と取るべき対策を紹介した。後編では最近リスクが顕在化しているソフトウェアサプライチェーン攻撃とAIサプライチェーン攻撃についてそれぞれ解説する。

筆者紹介：福本淳（イルミオジャパン　シニア システムズ エンジニア）

15年以上にわたって外資系ベンダーにおいてプリセールスエンジニアとして活動。マイクロセグメンテーション、WAF、EDR、UTMなどの先進的なセキュリティ製品から、仮想化、エンドユーザーコンピューティング、アプリケーションまで幅広く取り扱い日本のエンタープライズビジネスを支援してきた。現在は、セキュリティ侵害の封じ込めにおいて業界をリードするIllumio（イルミオ）の日本オフィスにおいて、シニア システムズ エンジニアを務めている。

影響の大きいソフトウェアサプライチェーン攻撃

　まずはソフトウェアサプライチェーン攻撃について解説する。これは従来のサイバー攻撃のようにソフトウェアの特定の脆弱（ぜいじゃく）性を直接狙うのではなくソフトウェアが開発され利用者に届くまでの過程そのもの、つまりコードや開発環境、ツール、ライブラリ、依存関係、さらには関与する人や組織を標的にする攻撃だ。

　以前にも、ソフトウェアのアップデートを配布するサーバが改ざんされ、バックドアなど悪意のあるプログラムが含まれたアップデータが配布されるという攻撃があった。しかし近年は、オープンソースソフトウェア（OSS）が広く利用されるようになり、開発者になりすますケースも確認されている。OSSは誰でも参加でき、バグの修正や機能追加を自由に提案できる。この開放性を悪用し、攻撃者が開発者になりすまして多数の提案を積み重ね、信頼を獲得した上で不正コードを混入させるケースが確認されている。

　一般的なソフトウェア開発においても、ソフトウェアの基本的な機能をまとめたライブラリを多く使用するが、これらの多くはOSSとして提供されている。ライブラリによっては更新されていないものもあり、脆弱性が存在する場合がある。知らずにソフトウェアに組み込んでしまうと、脆弱性が残ったままビルドされてしまうリスクがある。

　こうした対策には、SBOM（ソフトウェア部品表）が有効とされている。SBOMは本来のBOM（部品表）と同様に、ソフトウェアを構成するコンポーネント（部品）とその依存関係をリスト化したものであり、脆弱性の有無を特定したりライセンス追跡によりコンプライアンス違反を防いだりできる。経済産業省が導入に関する手引きを公開するなど、SBOM採用の動きは広がりを見せている。

　この他、セキュア開発やシフトレフトと呼ばれる対策も広がっている。これらは従来は最終段階で実施されていた脆弱性検査を、より早い段階で適用するというものだ。ソフトウェア開発は多くの場合、競合他社との時間との戦いでもあるためセキュリティは従来後回しになっていた。しかも最終段階での検査で脆弱性が発見されると手戻りが発生し、余計に時間がかかってしまう。より早い段階で脆弱性を検査することで、脆弱性が発見されても時間的なロスを最小限に抑えられる。

AIサプライチェーンの強化は企業の必須課題になる

　もう一つ、最近注目を集めているのがAIサプライチェーンだ。ChatGPTの登場以降、大手プラットフォーマーなどが急速に生成AI市場への参入を進め、これらのツールを導入する企業が広がった。生成AIはデータを基にテキストや画像、音声、楽曲、動画、プログラムコードなど生成でき、その応用範囲は非常に広範に及んでいる。

　クラウドサービスとして提供される生成AIツールはその学習過程で多様なユーザーデータを利用する。そのため、企業が独自に用意した学習データが意図せず他の利用者に影響を与えるリスクも指摘されている。この懸念を軽減するため学習データを外部に出さない上位サービスの利用や、独自にサーバから構築するケースもある。

　生成AIは主に、基盤となるコンピューティング・リソースを提供するレイヤー「インフラストラクチャ」、事前学習済みの基盤モデルが中核となる「モデル」、企業が生成AIを実際のビジネスに活用するために必要な開発・運用ツール群である「エンジニアリング・ツール」、そして実際のビジネス課題を解決するための応用システムを提供する「アプリケーション」の4つのレイヤーで構成される。本稿ではこれらをAIサプライチェーンと呼称する。

　現時点では、生成AIにおける大規模なセキュリティインシデントは報告されていないが、AIサプライチェーンにもサイバー攻撃を受けるリスクがある。注目すべき脅威の一つは、学習データへの攻撃だ。具体的には、学習データに悪意のあるデータを混入させてAIの学習を意図的に誤らせる「データポイズニング」や、学習データにわずかなノイズを付加してAIの推論結果を意図的に変更する「敵対的サンプル」といった攻撃手法がある。これらの攻撃は、AIシステムの信頼性や完全性を損なう可能性があり、それに依存する組織に重大なリスクをもたらす。

　学習データへの脅威だけでなく、AIモデル自体も攻撃に対して脆弱だ。攻撃者が学習済みのAIモデルにバックドアを仕込み不正アクセスに悪用するケースや、学習済みAIモデルの改ざんが考えられる。

　この他、ソフトウェアサプライチェーン攻撃のようにAI開発環境そのものへの攻撃も発生するリスクがある。これにはフレームワークやライブラリの脆弱性を悪用して侵入し、不正コードを挿入するケース、コンパイラに不正コードを挿入し、生成されるコードを改ざんするケースが想定される。さらに、クラウドサービスにより提供される生成AIサービスに対して、APIの脆弱性の悪用や、生成AIが生成したコードや文章に悪意のあるコードや情報を混入させるケースも考えられる。

　これらの攻撃が実行されると、システムへの不正アクセスや重要情報・個人情報の漏えい、ランサムウェアなどマルウェアの感染など深刻な結果を招く可能性がある。データやAIモデルへの攻撃があった場合、誤った回答が生成され、誤った市場予測や意思決定が起きるリスクがある。さらに深刻なケースでは、攻撃を受けた生成AIが「効果的なツール」としてマルウェアのダウンロードを推奨するといった悪用につながり、ユーザーや組織への脅威をさらに拡大させる可能性も指摘されている。

　AIサプライチェーン攻撃への対策としては、組織が信頼できるクラウドサービスを優先的に選ぶことや、学習データの厳格な管理、生成AIの回答を過信せず検証することが重要だ。攻撃者は多くの場合、不正アクセスを目的としているため、企業ネットワークを可視化して通信を継続的に検証することも重要になる。全ての接続を検証するゼロトラストセキュリティモデルを導入すれば、リスクの露出を抑え、潜在的な脅威が拡散する前に封じ込めることが可能になる。

新たな攻撃が登場してもやるべきことは変わらない

　ソフトウェアサプライチェーン攻撃やAIサプライチェーン攻撃はその影響が広範に及び、復旧に時間がかかる傾向にある。前編で述べたように、サイバー攻撃者は時流や世界的な情勢を読みながら、新しい技術を活用して迅速に最も効果的と思われる部分へサイバー攻撃を実行している。ただし、サイバー攻撃の戦術は進化を遂げているが、その目的は変わっていない。それは企業が持つ重要な情報や個人情報、クラウドサービスをはじめとする認証情報（IDやパスワードなど）へのアクセスを得ることだ。

　サイバー攻撃者はこれらを得るためにさまざまな手法を駆使して不正アクセスやフィッシング攻撃を続けている。一方でこれらの攻撃によって侵入した後の行動に大きな違いはない。それはラテラルムーブメント（水平移動）を実行し、最終的にドメインコントローラーへ到達して権限を拡大していくプロセスだ。つまり、最終的なセキュリティ対策のポイントは初期アクセスを阻止するだけでなく、サイバー攻撃者が企業ネットワーク内部に侵入したとしても、その攻撃者が行動を起こす前に、行動経路を無効化しておくことにある。

　こうした状況を踏まえると、企業が取るべきセキュリティ対策として重要なのは「クラウドを含む企業ネットワーク全体の可視化」と「ゼロトラストの仕組みによる継続的な検証」だ。ネットワーク全体を可視化することで何が起きているのかを把握でき、ゼロトラストの考え方に基づく検証により、正規の通信に紛れ込む脅威が検出可能になる。

　万が一侵害が発生してもタイムラグなく影響を封じ込めるためには、企業のネットワークを細分化するマイクロセグメンテーションが効果的だ。ネットワークをセグメンテーションによって細分化することでラテラルムーブメントを阻止し、脅威を分割された領域内に封じ込められる。これによって全体への波及を防ぎ、被害を最小限に抑えることが可能となる。レジリエンスの観点からも有効なアプローチといえる。

　ゼロトラストの考え方によるマイクロセグメンテーションはこうした効果が認められ、前編でも触れた通り米国立標準技術研究所（NIST）のセキュリティガイドライン「NIST SP800」でも有効なセキュリティ対策としてマイクロセグメンテーションが記載されるようになり、SP800を参考にする日本国内のガイドラインにも記載されるようになっている。サイバー攻撃が巧妙化、複雑化しても企業の重要な情報を保護し、企業のビジネス活動への影響を最小化できるマイクロセグメンテーションは、企業が導入を考慮すべき対策といえるだろう。