AI技術の発展は私たちのビジネスや生活に大きなメリットをもたらしたが、サイバー攻撃の高度化・激化にも一役買っていると言われる。現在、サイバー犯罪者たちはAIをどのように活用しているのか、人材不足などであえぐ企業にはどのような対策が効果的なのか。SBテクノロジーのセキュリティリサーチャーである辻伸弘氏と、AIを活用したセキュリティソリューションで知られるSentinelOne Japanで執行役社長を務める伊藤俊明氏に話を伺った。
SBテクノロジー株式会社
サービス統括 セキュリティ&テクノロジー本部
プリンシパルセキュリティリサーチャー
辻 伸弘氏
SentinelOne Japan株式会社 執行役社長
伊藤 俊明氏
AI技術の発展はサイバー脅威を強化するのか
AI技術など先進的なITの発達でどのような脅威が生まれているのでしょうか。先端技術の悪用は恐るべき脅威となるのでしょうか
辻氏私は、まだ世の中で騒がれているほど危険な状況であるとは感じてはいません。例えば「(AIによって)誰でもマルウェアを作れる」などと言われていますが、そこまでは至っていないと思います。そもそも、マルウェアを必要とするならMaaS(Malware as a Service)と呼ばれるサブスク形式のマルウェア提供サービスが提供されているため、マルウェアを自分で作成するよりも買ったほうが早いのです。将来的に参入障壁が下がる可能性はありますが、技術的にはまだ大きな脅威とは感じていません。
むしろ注意すべきは、AIによって「人をだます」という点です。例えば「声」や「顔」の悪用です。海外の企業ですが、AIで生成した経営幹部の映像と声を用いて、テレワーク中の社員に送金の指示をビデオチャットで伝え、何億という金銭を窃取したという例があります。またあるフィッシング詐欺の事例では、IT担当者の声をAIを用いて生成し社員へ電話をかけ、二要素認証の承認をさせアカウントを乗っ取っています。
すでにメールはあまり信用されないので、補強材料として電話や映像を悪用して成功率を上げるというわけです。攻撃者が電話をかけてターゲットと少し会話をするだけで、AI音声合成のためのデータは得られます。AIで声をリアルタイムに変換しても遅延はほとんどないため、これを聞き分けるのは困難だと思います。
伊藤氏私は、AI技術の発展で攻撃の裾野が広がり、攻撃が増えるという点が脅威だと考えています。
これまでは標的型攻撃のように、プロフェッショナルの犯罪者集団によるサイバー攻撃こそが恐るべきものと捉えられてきました。それがAI技術によってスキルを持たない若者も攻撃に参加できるようになり、ちょっとした小遣い稼ぎをするようになるかもしれません。
技術レベルは低くとも、数が多くなるというのは守る側にとって大きな負荷になります。人手に頼った防御では、とても追い切れるものではなくなる恐れがあると感じています。
辻氏確かにそうですね。AIによって攻撃技術が向上するというよりは、攻撃の精度やスピードが増すのではないでしょうか。私たちも昔はわからないことを技術書などで調べたものですが、今やAIに聞けば簡単に答えてくれますし、情報の精度もますます向上しています。セキュリティ専門家としても、スピードは脅威だと思います。
伊藤氏昔からそうなのですが、やはり攻撃者のほうが先を行っていますよね。WormGPT、FraudGPTのように、攻撃者が悪用できる生成AIが増えてきています。AIによって、攻める者と守る者のギャップがどんどん広がっていくように思います。守るほうもAI技術を活用すべきなのですが、組織としてのルールや規制に縛られて、なかなか進まないようです。
セキュリティ人材の不足にあえぐ日本企業を助けるAI
日本企業にとって、セキュリティ人材の課題も大きくなっているようです
辻氏あたりまえのことですが、攻撃者はAI技術を活用し成果を上げれば儲かりますので、モチベーションが違いますよね。セキュリティ対策は直接的には儲かりませんから、なかなか経営者の了解が得られません。しかも国内では、セキュリティ人材の不足が問題視されています。優秀な人材を雇おうと思っても、予算が不足していて雇えないのです。
エンドユーザーと話をしていると、これまで「やらなければならない」とずっと言われてきたことができていないという印象です。米国の調査でも、さまざまなサイバー攻撃のうち正規アカウントの成りすまし、弱いパスワードや流出したアカウント情報といったものが半分、残りの半分がぜい弱性の悪用となっていました。これは何年も前から注意すべきと言われてきたことです。このやり方をしっかりと考え直さなければ、攻撃者のスピードに追いつくことは難しいと思います。
伊藤氏サイバーセキュリティ対策においては、多くの組織は理想的な形を実現できていないと思います。脅威を認知したとしても、対策を実践するにはスキルも時間も不足しているというケースが多いようです。担当者が専任でセキュリティ対策に従事できる余裕もなく、たいていは兼任です。
辻氏そうですね。あるアンケートで、脅威は理解しているものの、セキュリティ人材は育成できていないという結果が得られました。今の企業には、できるだけ人手をかけない仕組みが必要だと思います。
伊藤氏セキュリティ人材の不足は長年にわたって問題視されていますが、AIが解決してくれると考えています。攻撃者がAIを活用するのであれば、守る側もAIを活用して人に依存しなくてもよい環境を作るべきです。
「SentinelOne」は、セキュリティ人材の不足を解決できるソリューションです。ジュニアレベルの技術者であっても容易に運用できるセキュリティプラットフォームとして、国内外で高く評価されています。多様なセキュリティ機能を単一のコンソールに統合することで、ナビゲーションが簡素化され、シームレスな運用フローを実現しています。管理画面が1つなのでエラーや設定ミスは低減され、すべての状況が把握できるためインシデント発生時にも迅速な対応を可能とします。
伊藤氏ぜひ注目してほしいのは、AI技術を応用してインシデント対応を効率化する新機能です。
管理者が「ランサムウェアに関連するイベントはありますか」などクエリ言語でなく、自然言語で質問を入力すると、自動的に脅威ハンティングのクエリを生成して調査・分析が行われ、すみやかに結果が表示されます。質問内容が分からない時は、質問項目もAIが提案してくれるので、どんどんハンティングを進めることができるのです。
ジュニアなセキュリティ運用者でも、このAIとの対話を繰り返すことで、セキュリティ運用の習熟度が増していきますし、人員が足りない組織でも、自ら運用ができるようになります。2024年末には日本語にも対応する予定のため、ぜひ活用していただきたいですね。