生成AIとサイバー攻撃者とセキュリティ担当者のいま

國谷武史 (編集部)

2023-05-24 14:48

 世界中で話題となっている生成AIは、サイバーセキュリティの世界にどのような影響を与えるのだろうか。Tenable Network Security Japanが5月24日に記者説明会を開き、米Tenableでセキュリティレスポンス ゼロデイ調査担当ディレクターを務めるRay Carney氏が現状を解説した。

Tenable セキュリティレスポンス ゼロデイ調査担当ディレクターのRay Carney氏
Tenable セキュリティレスポンス ゼロデイ調査担当ディレクターのRay Carney氏

 米OpenAIが2022年に公開した生成AIの「ChatGPT」は、まるで人間が対話しているかのような自然言語でユーザーの質問などに答える特徴などが社会に大きなインパクトを与えた。Carney氏は、「1993年にウェブブラウザーが誕生してインターネットが身近になったのと同じ影響をもたらしている。MicrosoftがOpenAIに対して巨額の投資を行うなど経営の側面からも大きな影響をもたらしており、ビジネスチャンスとしても世界中の企業、そしてマスコミやサイバー攻撃者も生成AIに注目している」とした。

 同氏のようなセキュリティ研究者の立場では、生成AIがもたらすサイバーセキュリティへの影響を意思決定者などに正しく発信する役割が求められているという。現状で考え得る懸念としては、例えば、生成AIを悪用したフィッシングやソーシャルエンジニアリング、あるいは悪質なコードの生成、偽情報の生成や拡散などさまざまだが、これら一つ一つの影響を注視するだけでは不十分で、サイバー攻撃者が戦術、手法、手順(TTP)に生成AIをどう取り入れていくのかを包括的に捉えていくことが肝心だとする。

生成AIがサイバー攻撃者にもたらす影響
生成AIがサイバー攻撃者にもたらす影響

 「サイバー攻撃者は、生成AIに限らず新しい技術が登場する度にそれをTTPに採用している。毎日のように攻撃者の生成AIの悪用が報告されている状態であり、生成AIのサイバー兵器化が今後加速していく。防御側もその動きに追従していかなければならない」(Carney氏)

 他方で、サイバー攻撃などの脅威に対応するセキュリティ側では、生成AIの登場以前から人材やスキルの不足が大きな課題となり続けている。生成AIの技術自体は、サイバー攻撃者だけに有利となるわけではなく、防御側が活用してさまざまな恩恵を得られる可能性を秘めている。

 Carney氏は、現時点で生成AIが防御側にもたらす効用として、(1)意思決定者にタイムリーで正確な情報を提供する、(2)脅威と脆弱性に関するインテリジェンスのプロセスを迅速化する、(3)分析と調査結果の有効性が高まる、(4)企業の全体的なセキュリティ態勢を改善して攻撃側の侵入機会を減らす――を挙げる。

生成AIがセキュリティ防御側にもたらす影響
生成AIがセキュリティ防御側にもたらす影響

 サイバー攻撃は常に複雑化、巧妙化が進んでいると言われる。それに対して防御側は、長い時間をかけて幾重ものセキュリティシステムを構築し、それら発する脅威の兆候のアラートなどを分析して対応し、万一防御システムが突破されたりインシデントが発生したりすれば、被害を最小化させるための作業に追われてしまう。

 アラートに対する確認や分析などの定型的な作業については、以前より機械学習などの技術を活用して処理を自動化するといった工夫が積み重ねられてきた。Carney氏は、さらに生成AIを活用することで、より多くの定型的な作業を自動化、効率化し、セキュリティ人材が状況を正確に把握して適切な対応策を講じたり、意思決定者などに対して進言したりするなどの本来の役割に注力できると解説する。

 Carney氏は、同社としても脅威防御に生成AIを活用する製品やサービスの開発に取り組んでいるとし、説明会ではリバースエンジニアリング、コードのデバッグ、ウェブアプリケーションセキュリティの向上、クラウドベースツールによる可視性の向上に取り組んでいると紹介した。

 例えば、リバースエンジニアリングでは「G-3PO」と呼ぶプロセスの一部を自動化するツールを開発して、マルウェアのコード解析作業などを効率化しているとのこと。ウェブアプリケーションセキュリティでは、ChatGPT と「Burp Suite」を用いた「BurpGPT」というプラグイン機能を開発して、一般的なウェブアプリケーションの脆弱(ぜいじゃく)性の検出と修正を容易にしている。クラウドベースツールによる可視性の向上では、クラウドサービスの設定状況や権限の状態を分析して問題点の特定と改善を助言する「EscalateGPT」機能を用意しているという。

 Carney氏は、こうした生成AIを活用したツールの定量的な効果について検証中としたが、「数日を要する作業を数時間程度に短縮できるといった大きな効果を得られる。こうした取り組みは生成AIの活用の一例であり、さらに活用していくためのツールの開発や脅威分析の高度化を目指している」と説明した。

 生成AIが世界的な注目を集めているのは、2023年5月時点ではわずか数カ月間に過ぎない。生成AIがユーザーに提示する情報の信頼性や生成AIのために用いる学習データのプライバシーやセキュリティといった多くの懸念が提示されている段階にあり、生成AIが今以上にサイバーセキュリティに対してどう具体的な影響をもたらすかは、より長い期間に渡って注視していく必要ある。

ChatGPTに2022年のサイバー攻撃で悪用された脆弱性の上位を尋ねると、2021年までの学習データを用いている「GTP-3.5」ベースの回答では、注釈を含めた回答になった
ChatGPTに2022年のサイバー攻撃で悪用された脆弱性の上位を尋ねると、2021年までの学習データを用いている「GTP-3.5」ベースの回答では、注釈を含めた回答になった

 最後にCarney氏は、現時点で判明している生成AIがサイバーセキュリティに与える下記の4つの影響を示した。

  • サイバー攻撃の規模と巧妙さは今後も増大する
  • 防御側もそれに対応することになるが、それでも守備側のジレンマ(攻撃手法などに防御などの対応が左右されてしまうことなど)の犠牲にならないように注意する必要がある
  • 防御側は生成AIを使用して「単純な作業」を自動化する必要がある
  • 攻撃側が目的を達成する前に防御側が脅威を発見して無力化する必要がある

 また、サイバー攻撃は多くの場合で金銭的なメリットを得ることに目標が置かれており、攻撃手法などの開発コストよりも獲得する金銭的なメリットが大きいならば、攻撃者が率先して生成AIのような新技術の採用を目指す。見方を変えれば、金銭的なメリットが小さいなら開発コストを費やしても意味がない。Carney氏は、「生成AIに限らず攻撃者にとってコストをかけてもメリットがないようにすることが、サイバーセキュリティの鉄則」と説いている。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]