NTTデータグループは12月15日、「2023年サイバーセキュリティ動向総ざらいとNTTデータグループの取り組み紹介」と題するプレス向け説明会を開催した。
まず、技術革新統括本部 システム技術本部 サイバーセキュリティ技術部 エグゼクティブ・セキュリティ・アナリストの新井悠氏が「2023年のサイバーセキュリティ概況総括と将来予測」というテーマで説明を行った。同氏は、NTTデータグループ内の情報セキュリティの事案の対応や、その対応のための人材育成を担当する立場である。
NTTデータグループ 技術革新統括本部 システム技術本部 サイバーセキュリティ技術部 エグゼクティブ・セキュリティ・アナリストの新井悠氏
また、NTTセキュリティマスターという資格も保持しているとのこと。国内に約30万人の従業員を擁するNTTグループの内部で実施されているセキュリティ資格認定の最上位がNTTセキュリティマスターで、現在この資格の保有者は10人しかいないうちの1人だ。同氏は「ランサムウェア犯罪グループの動向・被害状況」と「生成AIがサイバーセキュリティに与える影響」の2つのテーマについて解説した。
まずランサムウェアについて、新井氏は「15年ほど前からあるものだが、登場当初は一般利用者のPCを狙って数万円程度の身代金を要求してくるものだったが、今は企業のネットワークやインフラを対象とするように悪質化し、要求額も数百万~数億という高額になっている」とした上で、現在のランサムウェアの動向として「RaaS」と「二重脅迫」を挙げた。
Ransomware-as-a-Service Phobos(RaaS)はランサムウェアの開発者グループと、アフィリエイトと呼ばれるランサムウェアを実際に使用するグループの分業体制で、同氏は「身代金の折半の割合が、開発者側が2割、アフィリエイト側が8割と、攻撃を実際に担当する側がより大きな割合を得られるやり方が主流となっている」と説明した。
二重脅迫は、重要データを暗号化した上で暗号鍵を売りつけるという脅迫に加え、侵入時に盗み出した内部データを暴露サイトで公開されたくなければ金を払えという脅迫も行う手口のことだ。現在は二重脅迫のグループが主流になってきているということで、「われわれが独自に調べた結果では、2022年に暴露サイトで暴露された被害企業/組織は2870組織だったが、2023年は12月6日までの時点で4432組織に達しており、54%増となっている」という。
実行グループとしては「LockBit」が最多で全体の約3割を占めている。2022年との比較では、「clop」と「8base」というグループがランキング外から一挙に上位に躍り出てきている。clopは海外で利用が多いファイル転送システム「MOVEit Transfer」のゼロデイ攻撃を成功させたグループで、当初対応パッチが未提供だったことから被害が拡大した形となっている。8baseに関しては、従来暗号化のみを行う「Phobos」というグループが二重脅迫に手口を変更したものと見られており、従来行っていなかった二重脅迫を開始したことで暴露サイトでの被害数が急増する結果となったものと見られる。
ランサムウェア被害は国内でも多数報告されているが、同氏は「国内の組織の場合、海外子会社が被害を受ける傾向」があると指摘し、「国内はかなりセキュリティ対策をやっているが、海外から侵入されて被害になってしまうという状況が見て取れる」とした。
続いて新井氏は、2023年大きな話題となった生成AIについて、それがセキュリティに与える影響について将来予測という形で説明した。「ChatGPT」などの生成AIにフィッシングメールの文面を作成させる、という手口が話題になっているが、同氏は米ハーバード大学の研究者らによる論文「Devising and Detecting Phishing: Large Language Models vs. Smaller Human Models」では、「GPT-4」で作成したフィッシングメールよりもノウハウを学んだ人間が作成したメールの方がより多くのクリック数を稼いだという結果が報告されていることを紹介し、「効率を考えればChatGPTは優秀だが、文面の品質は依然として人が作成した方が高い」と指摘した(図1)。
図1:フィッシングメールを生成AIとノウハウを学んだ人が作成した場合、どちらがより多くのクリック数を得られるかを比較した研究結果。Control groupは比較対象として特にノウハウを学んでいない人が作成した場合。生成AIは不慣れな人よりは優秀だが、きちんと学んだ人には及ばないという結果だったという
さらに同氏は、最近の動向として生成AIの提供者が犯罪に利用される可能性の高い回答を制限するようになってきている点を指摘し、今後生成AIを使ってフィッシングメールを作成させるようなことはほぼできなくなりつつあるとした。そして、その次の段階としてサイバー犯罪者グループがそうした制限を回避する形で独自の生成AIの提供を開始していることが確認されているという状況も紹介された。
対策と抜け穴探しのいたちごっこのような状況が既に激化しつつある形だが、同氏は「国内外でフィッシングメールの被害が相次いでいる状況は変わらず、世界的に見るとかなり悪化してしまっており、2024年もきっとこの状況が続くと予想される。傾向として、海外グループ企業などのガバナンスや対策技術の導入と強化が求められる。生成AIに関しては、生成AIの開発元には倫理性や責任、透明性などが社会的に要求されるようになった結果、サイバー犯罪者に悪用されるということについてはかなり制限が掛かるようになり、規制された。その結果サイバー犯罪者は自前の生成AIを手に入れつつあり、多分これを悪用することが2024年以降本格化する可能性があると思っている」とまとめた。
