フォーティネットジャパンは3月14日、サイバー攻撃の動向とセキュリティ対策における人工知能(AI)技術の活用に関する説明会を開催した。攻撃の自動化に対するAIを利用した防御側の取り組みも進んでいる。
サイバー攻撃では、いかに効率良く目的を達成するかに攻撃者の関心があるとされ、アンダーグラウンドでは攻撃者の分業化が進み、手軽に使えるツールやサービスも増えていると言われる。米Fortinet CISOオフィスでグローバルセキュリティストラテジストを務めるDerek Manky氏は、そうした動向の1つとして「AutoSploit」と呼ばれる手段を紹介した。
AutoSploitは、主に攻撃者が効率良く脆弱なIoTシステムを見つけ出し、脆弱なシステムに対して攻撃を実行するまでの作業の多くを自動化する。具体的には、インターネットに公開されているシステムの情報を検索できる「Shodan」サービスと、オープンソースのセキュリティ調査フレームワークの「Metasploit Framework」を組み合わせる。ShodanやMetasploit Frameworkは、本来は正規のサービスやフレームワークとして利用されているが、攻撃者はこれらを悪用することで、多くのシステムに対して短時間に効率良く攻撃を実行できるようになったという。
Fortinetの調査でも、AutoSploitで標的になりやすい脆弱なシステムが多数見つかった。例えば、遠隔制御に関するRDPでは57%、Apache Struts関連では62%、Microsoft Internet Information Services(IIS)では70%といった状況にある。
「AutoSploit」によって攻撃者はターゲットのシステムを手軽に見つけて攻撃できるという
Manky氏は、「直近3四半期を見ても当社が検知した1分間当たり攻撃件数は、120万件から220万件、さらに440万件へと急激に増加している。サイバー攻撃の自動化はセキュリティ対策上の大きな課題だ」と話す。
攻撃側の動きに対して同社では、UTM(統合脅威管理)など各種のセキュリティ製品が協調動作する「Hive Defense Model」を導入したほか、セキュリティ各社と共同で「Cyber Threat Alliance」を創設。業界や製品を横断する形で最新の脅威情報を利用した防御体制の構築を進めてきたという。Manky氏によれば、AIの活用はこうした仕組みに生かした防御能力の向上にある。
同社では、「FortiGuard AI」と呼ぶ自己進化型の脅威検知システムを5年に渡って開発し、同システムが自動的に生成するシグネチャの品質がセキュリティ技術者による手作業と同程度の水準に達したことから、このほど本格導入に踏み切った。
「FortiGuard AI」の概要
このシステムでは、機械学習と深層学習の技術を組み合わせ、セキュリティ技術者のノウハウを学習モデルに採用している。本格導入により、従来は1日当たり100件ほどだったシグネチャの生成が、現在では1000件以上を可能とする能力に向上し、1つのシグネチャで5万種以上のマルウェア検出も可能なった。
Manky氏は、「AIの活用は脅威対策における時間の短縮や処理能力の拡張、サービス品質の向上のあらゆる面で大きな成果をもたらす。防御力が高まりは結果的に攻撃側の負担を増やすことになり、脅威の抑止につながる」と説明する。
併せて同社は、FortiGuard AIの分析による脅威情報をユーザーに提供する「FortiGuard Threat Intelligence Service」も開始した。同サービスでは、全体的な脅威情報や業界別動向の情報、AIによるリアルタイムの脅威分析結果などの情報を無償提供(企業ごとの詳細分析などの一部メニューは有償予定)する。フォーティネットジャパン セキュリティストラテジストの寺下健一氏によれば、AIの本格導入で脅威対策の強化が図られるという。同サービスの国内での提供は、4~6月期中を予定している。
ユーザー企業向けの脅威情報提供サービスのサンプル。AIが解析した通信業界動向では仮想通貨を不正に発掘するコードの検出がトップになっている
