- AI の影響はセキュリティ分野全体に広がっており、サイバー犯罪者にも防御側にも大きな意味をもたらしています。
- 犯罪者は、混乱を招いて利益を得るためにさまざまな方法で AI を使用できるため、最近の AI の普及により、サイバーセキュリティに対する大きな懸念が生じています。
- 防御側と法執行機関は、AI を利用してサイバーセキュリティを強化し、不正な活動に対抗することができます。
この 10 年間で、機械学習と人工知能が大きく普及しました。業務を自動化し、より良い製品とサービスを提供するために、そうしたテクノロジーを活用する組織が増えたのです。
組織においては、だいぶ前から機械学習(ML)と人工知能(AI)が広く利用されていましたが、ユーザーの多くが生成系 AI という形で ML と AI に触れたのはここ数か月のことです。生成系 AI は、限られた入力を与えるだけで、テキストやコード、画像などのデジタル資産を生成します。ChatGPT などが登場して AI は人々の関心の的になり、熾烈な AI 開発競争が展開されています。
あらゆるイノベーションに当てはまることですが、AI の利用は、私たちが知っているグローバルな文化にプラスとマイナス両方の影響を与えるとみられます。ただ、最も影響を受ける分野の 1 つはサイバー犯罪なのではないでしょうか。マイナス面は、攻撃者が AI を利用して効率よく活動できるようになることです。これまで以上に巧妙で拡張性のある攻撃を効率的に仕掛けつつ、検出と攻撃者の特定も回避することが可能になります。一方、サイバーセキュリティにとっての AI のプラス面は、防御側と法執行機関が AI を利用して不正な活動の巧妙化に対抗できるようになることです。新しいツールや戦術、戦略を開発することにより、データ分析を自動化し、不正な活動の予測検出を行って、犯罪活動の容疑者をより効果的に特定できます。
認識しておきたいのは、このブログで取り上げる AI のユースケースを実現するには、犯罪者と防御側の双方が対処しなければならない複雑な問題が多数あるということです。簡単に入手できる AI 対応ツールで実現できるユースケースもありますが、高度な技術スキル、高価なインフラ、多大な時間の投資が必要なものもあります。
サイバー犯罪の巧妙化
サイバー犯罪者は、機械学習と人工知能の進歩によってさまざまな恩恵が得られると予想されます。
サイバー犯罪に AI ツールが及ぼす主な影響は、ソフトウェア開発、詐欺、恐喝など、サイバー犯罪組織における特定の活動に人間が関与する必要性が減ることです。新しいメンバーを採用しなくても済むようになるため、頭数が減って運営コストを抑えられます。犯罪関連の「求人」情報は通常、ダーク Web フォーラムやその他の匿名チャネルに掲載されます。サイバー犯罪者が情報を掲載する際は匿名性を確保しようとしますが、内部告発者や秘密捜査官によって犯罪者の身元と活動が特定される可能性があるため、Web 上で求人するという行為にはかなりのリスクがあります。
サイバー犯罪者は、流出データが含まれている膨大な情報を AI で分析することによって、別の形で攻撃を仕掛けられるようになります。情報を分析することで脆弱性や価値の高い標的を特定できるようになり、より多額の金銭が得られそうな、効果的で精度の高い攻撃が可能になります。ビッグデータの分析は複雑な作業であり、多大な処理能力が必要です。そのためおそらくは、こうした能力を利用できる大規模な犯罪組織と国家支援型の攻撃者だけがビッグデータを応用できていました。
犯罪活動で AI が利用されるもう 1 つの分野は、より巧妙なフィッシング攻撃やソーシャルエンジニアリング攻撃の開発です。具体的に挙げると、極めてリアルなディープフェイク、本物そっくりの Web サイト、虚偽の情報の拡散、詐欺的なソーシャルメディア プロファイル、AI を利用した詐欺ボットの作成などです。これに関する AI の影響を説明するために、2020 年に起きた有名な事件を引き合いに出したいと思います。AI を利用した音声クローン詐欺を英国のエネルギー会社の CEO に仕掛け、24 万ドル以上の詐取に成功したという事件でした。同様にインドでは、犯罪者が機械学習モデルを利用して被害者の電子メールの連絡先の文体を分析、模倣し、高度にパーソナライズされた説得力のあるフィッシングメールを作成するという事件が起きています。
AI の利用は、偽情報を広め、一般大衆を操る目的で国家支援型の攻撃者や有名な犯罪組織の間でも普及すると予想されます。ディープフェイク、音声クローン、ボットの展開といった、人を騙すためのコンテンツを作成し拡散する手口などが広まるでしょう。実際、サイバー犯罪者グループが AI を利用してソーシャルメディアの操作や新型コロナに関する偽情報の拡散を行った事例がすでに確認されています。この攻撃では、機械学習を利用して最新の傾向を把握し、非常に説得力のあるフェイクニュース記事が生成されました。
AI はマルウェアの進化にも影響を与えています。マルウェアの作成者は AI を活用してプロセスの合理化を図っており、巧妙で適応性の高いマルウェアの作成が可能になっています。AI を活用したマルウェアは、高度な技術を利用してセキュリティソリューションによる検出を回避することができ、「自己変異」の仕組みによって、実行環境に応じて動作を変化させます。さらに、AI を利用するマルウェア開発キットの開発過程において、犯罪者が AI 技術を利用する可能性もあります。開発キットでは AI エージェントが利用され、マルウェアの作成者が使用する最新のツール、戦術、手順(TTP)から学習し、セキュリティの最新の進歩に合わせて更新されます。AI を利用したマルウェアの例は、DeepLockerを開発した研究者によって実証されています。この実証では、意図した標的が存在する場合のみ攻撃を実行するようにして標的型攻撃を強化する目的で、また、無害なアプリケーションに潜んで検出を回避する目的で AI を使用する方法が示されました。
サイバー犯罪への対抗手段
一方、サイバーセキュリティの専門家、防御側、法執行機関は、AI の力を利用してサイバー犯罪の進歩に対抗することができます。AI を利用すれば、悪意のある活動との戦いにおいて革新的なツール、戦術、戦略を開発できます。
脅威の検出と防止といった分野が、AI セキュリティ研究の最前線となるでしょう。既存のセキュリティツールの多くは悪意のあるシグネチャとユーザー入力のみに大きく依存しているため、高度な攻撃の検出にはあまり役立ちません。そのため、より正確で効果的に脅威を検出するために、機械学習(ML)と AI 技術に目を向けるベンダーが増えています。主な例として Cisco Secure Endpoint と Cisco Umbrella があります。両者は高度な機械学習を利用することで、それぞれエンドホストとネットワーク上で不審な動作を自動で検出し、脅威を緩和します。このようなテクノロジーを導入することで、前述の AI が生成するマルウェアに対抗できる可能性があります。
膨大なデータを分析して侵害の兆候(IOC)を特定することは、多大な時間とコストを要する面倒な作業です。このような、インシデント対応とフォレンジックの分野も AI の恩恵が得られます。大量のログ、システムイメージ、ネットワークトラフィック、ユーザーの行動を自動的に分析して、IOC と攻撃者の活動を特定できるのです。AI を活用してスピーディに調査を行い、手動では検出が困難なパターンを特定できます。また、攻撃者が使用する手口とツールに関するインサイトが提供されるため、より多くの企業が、グローバルなインシデント対応とフォレンジック調査を行えるようになります。
防御側と法執行機関が AI を活用できる分野がもう 1 つあります。それが、犯罪活動を攻撃者に関連付ける作業です。攻撃シグネチャ、マルウェアの特徴、過去の攻撃パターン、ツール、戦術、手順など、データポイントを多角的に分析することで、効果的に攻撃者を特定できるようになります。AI を利用してこれらのデータセットを調査することでパターンと傾向が特定され、サイバーセキュリティの専門家が潜在的な攻撃の発生源を絞り込むのに役立ちます。攻撃者の特定は重要な作業です。というのも、攻撃者の動機と攻撃能力に関するインサイトが得られ、使用する戦術や今後の脅威の可能性を詳細に把握できるからです。また、AI を活用すれば、(別のハッカー集団が使用している手口、方法、ツールを使用するなどして)犯人の特定を誤らせることで身元を隠蔽する戦術をとっている攻撃者もより正確に特定できます。攻撃者が防御側の判断を誤らせようとすることは普通にあり、攻撃者の特定にあたって考慮する必要があります。このような能力があると考えられているのは主に、豊富なリソースを擁する国家関連のサイバー機関や脅威インテリジェンス プロバイダーを活用する企業です。
ML のアルゴリズムと AI は、自動分析と脅威の特定を目的として、利用が拡大するとみられます。脅威インテリジェンスフィード、ダーク Web の監視、オープンソース インテリジェンスなど、複数のソースからセキュリティ関連データを自動で分析することにより、効果的に新たな脅威を特定、緩和することができます。Cisco Talos は数年前から AI を活用し、脅威インテリジェンス業務の自動化に取り組んできました。本物に見せかけた Web ページの分類、ロゴ分析によるなりすましの特定、テキスト分析とバイナリ類似性分析に基づくフィッシングメールの分類などを自動化しています。既存の方法で新たな脅威に対応することは非常に効果的であることが証明されていますが、AI を利用すれば、より大きな規模でのデータ収集、分析、関連付けの自動化が促進され、対象分野の機能が強化されます。また、新しい攻撃の手口や攻撃者を示している可能性のあるパターンと傾向の特定が容易になります。このように、サイバーセキュリティの専門家は AI の能力を活用して膨大な量のデータを迅速かつ正確に処理、解釈することで、新たなサイバー脅威にプロアクティブに対応できるようになります。
AI は予測分析の有効なツールとしても機能し、過去のデータとパターンに基づいた潜在的なサイバー脅威と脆弱性の予測が可能になります。AI システムによる過去の攻撃および攻撃者のデータの分析により、将来の攻撃を示唆している可能性がある、あるいは攻撃の引き金となり得る共通の傾向、パターン、グループが特定されます。サイバーセキュリティの専門家はこれを参考にして、脆弱性に対して迅速にパッチを適用する、追加のセキュリティ制御を導入するなど、セキュリティに対してよりプロアクティブな態勢をとることができ、攻撃を受ける前に潜在的なリスクを緩和することができます。さらに、AI を活用した予測分析によって攻撃者の活動を詳細に監視できるため、新たな攻撃を予測して備えることも可能です。このように AI を利用することで、サイバーセキュリティの専門家は防御を強化し、進化する脅威に先んじることができます。サイバー犯罪の予測については多数の研究が行われています。主要なものは、サイバー犯罪研究を支えるために AI を実用的に使用する方法や、ベイズ理論やマルコフ理論を使用して社会的、経済的な要因に基づいた予測分析を行う方法についての研究です。
AI の普及は、その利用基盤と適用分野が拡大を続ける中で、新たな課題と大きな機会をもたらしています。AI 関連のテクノロジーを用途を絞って効果的に利用すれば、サイバーセキュリティの専門家と法執行機関がデジタル犯罪行為を検出、防御し、攻撃者を特定する際に極めて重要な役割を果たすと思われます。AI の力を利用すれば、進化する脅威に対抗し、デジタルエコシステムのセキュリティを確保することができます。サイバー犯罪をとりまく状況が進化する中で、攻撃者に先んじるためには AI の導入が重要になります。
本稿は 2023 年 08 月 14 日に Talos Group のブログに投稿された「The rise of AI-powered criminals: Identifying threats and opportunities」の抄訳です。