セキュリティ企業F5の専門家は、実証済みのソーシャルエンジニアリング攻撃手法は生成AIを使用することで実行しやすくなるため、サイバー犯罪者が近い将来、企業のセキュリティ防御と戦うために新たな生成AI駆動型ボットの軍隊を送り込む可能性は低いと主張している。
ChatGPTなどの生成AIツールのリリースにより、強力な大規模言語モデルの民主化によって、世界中の悪意のある人物が企業をハッキングして機密データを盗んだり人質にしたりする動きが加速する可能性があるという懸念が広がっています。
マルチクラウド セキュリティおよびアプリケーション配信プロバイダーの F5 は、脅威アクターが IT ゲートキーパーを欺くために、より質の高い攻撃を大量に実行するため、生成 AI によってオーストラリアでのソーシャル エンジニアリング攻撃の量と能力が増大すると TechRepublic に語っています。
ジャンプ先:
- ソーシャルエンジニアリング攻撃は拡大し、より巧妙になるだろう
- 悪意のある行為者はボット攻撃よりもソーシャルエンジニアリングを選択する
- 企業はAIを活用してサイバーセキュリティ防御を強化する
- オーストラリアは今後も脅威アクターの注目を集め続けるだろう
F5のグローバルインテリジェンス責任者、ダン・ウッズ氏
F5のグローバルインテリジェンス責任者であるダン・ウッズ氏は、AIが「殺人ロボット」や「核戦争」をもたらすことに関しては、一部の人ほど懸念していないと述べた。しかし、生成型AIについては「非常に懸念している」とウッズ氏は述べている。企業と個人の両方が直面する最大の脅威はソーシャルエンジニアリングだとウッズ氏は指摘する。
ウッズ氏によると、オーストラリアのITリーダーはChatGPTのようなツールに触れるだけで、あるトピックについて説得力のある議論を展開し、また説得力のある反論を展開できることがわかるという。しかも、そのすべてを完璧な文章力で実現できるのだ。これは世界中の悪意ある行為者にとって大きな恩恵となった。
「今日では、一人の人間が一度に40人から50人ほどの人間をソーシャルエンジニアリングできます」とウッズ氏は述べた。「生成AIと人間の音声を合成する能力があれば、一人の犯罪者が1日にほぼ無制限の数の人間をソーシャルエンジニアリングし、より効果的に実行できるようになるでしょう。」
参照: DEF CON の生成 AI ハッキング チャレンジでは、セキュリティの脆弱性の最先端を探りました。
オーストラリアのITリーダーたちが従業員にフィッシングやスミッシング攻撃の危険信号として文法、スペル、構文の問題などを考慮するよう教えてきたことは、「すべてなくなるだろう」。
「フィッシングやスミッシング攻撃は、もはや間違いのないものになるでしょう。犯罪者は完璧な英語で文章を書くことができるようになるでしょう」とウッズ氏は述べた。「これらの攻撃はどんな言語でも巧妙に構成できるのです。これは非常に驚くべきことです。だからこそ、ソーシャルエンジニアリングやフィッシング攻撃を懸念しているのです。」
オーストラリアサイバーセキュリティセンターのデータによると、2021~2022年度にはオーストラリアですでに合計7万6000件のサイバー犯罪が報告されており、これは前年度比13%増加している(図A)。これらの攻撃の多くはソーシャルエンジニアリングの手法を用いていた。
図A
攻撃を受ける企業の増加
オーストラリアのITチームは、ソーシャルエンジニアリング攻撃の増加の標的となることが予想されます。F5は、攻撃者の手法や能力の変化に対抗する主な方法は、AIによる攻撃の高度化について従業員に認識させるための教育であると述べています。
「企業向けVPNクライアントの最新バージョンをダウンロードさせたり、架空の商店に支払いをさせるなど、従業員を騙して何かをさせる詐欺は今後も発生し続けるでしょう」とウッズ氏は述べた。「より説得力のある詐欺になり、件数も増加するでしょう。」
ウッズ氏はさらに、犯罪者の説得力の増大を防ぐために、企業内の既存の財務管理と同様のプロトコルを確実に導入する必要があると付け加えた。これには、一定額を超える支払いには複数の承認が必要となるなどの対策が含まれる可能性がある。
悪意のある行為者はボット攻撃よりもソーシャルエンジニアリングを選択する
AI を活用したボット攻撃の波は、ソーシャル エンジニアリングの脅威ほど差し迫ったものではないかもしれません。
新たなAIツールによって強化されたボットの軍隊が犯罪組織によって利用され、企業のサイバーセキュリティ防御に対してより高度な自動攻撃を仕掛け、組織とサイバー犯罪者の戦いの新たな戦線を拡大する可能性があるという警告が出ている。
脅威の主体はセキュリティ防御の高度化に応じて変化する
しかし、ウッズ氏は、自身の経験から、犯罪者は攻撃を成功させるために必要なレベルの高度な技術しか使用しない傾向があると述べた。
「単純な攻撃方法がすでに成功しているのに、なぜ攻撃に追加のリソースを投入する必要があるのか?」と彼は疑問を呈した。
CIAやFBIで警備の役職を務めた経験のあるウッズ氏は、これを鍵開けの技術に例える。
「鍵開けの専門家は、鍵を開けるのに必要なあらゆる特殊工具を装備しているかもしれませんが、ドアが施錠されていない場合はそれらは必要ありません。彼らはただドアを開けるだけです」とウッズ氏は述べた。「攻撃者も全く同じです。」
「AIがボット攻撃を仕掛けるのを実際に目にしているわけではありません。たとえばF5で保護されたレイヤーに対してAIを使用するよりも、より弱いターゲットに移動する方が簡単なのです。」
組織は「犯罪行為に対する深刻かつ憂慮すべき影響」を予想できますが、すべての犯罪行為に同時に影響が出るわけではありません。
「企業が高度な対策で保護されるまで、より高度なAI攻撃が増加することはないだろう」とウッズ氏は述べた。
犯罪者はサイバー意識の低いオーストラリアのセクターに引き寄せられるだろう
このロックピッキングの原理は、オーストラリアの企業における攻撃の分布にも当てはまります。F5のオーストラリア・ニュージーランド地域担当副社長であるジェイソン・バーデン氏は、オーストラリアは依然として攻撃者にとって魅力的な標的であり、攻撃は保護の弱いセクターに移行していると述べています。
F5のオーストラリア・ニュージーランド地域担当副社長、ジェイソン・バーデン氏
「F5の顧客基盤は、銀行・金融、政府機関、通信といった従来からの大規模な攻撃ターゲットであり、長年にわたりネットワークのセキュリティ確保に多額の費用と時間と労力を費やしてきました」とバーデン氏は述べた。「彼らの理解は非常に高いのです。」
「過去12ヶ月間で最も大きな増加が見られた分野は、教育、医療、施設管理など、これまで標的とされていなかった分野です。これらの分野はセキュリティネットワークへの投資が不足しているため、積極的に攻撃の標的となっています。」
企業はAIを活用してサイバーセキュリティ防御を強化する
ITチームは、ますます進化する人工知能(AI)の力を活用して、不正行為者を出し抜くことにも熱心に取り組んでいます。例えば、不正検知などの分野では、モデルに基づいて人間のような判断を下すAIや機械学習ツールが存在します。
AIを活用して不正行為を検知するには、顧客の不正行為ファイルを機械学習モデルに取り込む必要があります。不正行為ファイルには、確認された不正行為に関連する取引が含まれているため、モデルは不正行為の様相を学習し、将来の不正行為をリアルタイムで特定することができます。
参照: 当社の包括的な人工知能チートシートをご覧ください。
「不正行為は過去の事例と全く同じである必要はありません。将来の不正行為を特定できるだけの共通点があれば十分です」とウッズ氏は述べた。「私たちは多くの将来の不正行為を特定し、未然に防ぐことに成功しており、数ヶ月で投資回収を実現したクライアントもいます。」
しかし、犯罪行為に対抗するためにAIを活用しようと考えているオーストラリア企業は、AIモデルの意思決定能力は、そこに入力されるデータの質に左右されることを認識する必要がある。ウッズ氏は、組織は「完璧なデータ」に基づいてモデルをトレーニングすることを目指すべきだと述べた。
「まず第一に、多くの企業は不正行為ファイルを持っていません。あるいは、数百件のエントリしか登録されていないケースもあり、そのうち20%は誤検知です」とウッズ氏は述べた。「しかし、このモデルを導入すれば、より多くの優良顧客に対して対策が講じられることになります。」
成功はツールだけでなく人材にも左右される
IT リーダーは、ラベル付け用の大量のクリーンなデータを持つことに加え、人が AI モデルの成功におけるもう一つの重要な要素であることを忘れないようにする必要があります。
「人間が必要です。AIはセキュリティに関する判断を盲目的に任せられるべきではありません」とウッズ氏は述べた。「AIが誤検知をしていないか、そしてそれが特定の人々に影響を与える可能性がないかを確認するために、アラートや判断を綿密に検証できる人間が必要なのです。」
オーストラリアは今後も脅威アクターの注目を集め続けるだろう
ITプロフェッショナルは、ハッカーと企業の間で激化するAI戦争の渦中にある可能性がある。F5のジェイソン・バーデン氏は、オーストラリアは比較的裕福なため、今後も標的にされ続けるだろうと述べた。
「オーストラリアには経済的な利益があるため、脅威がまずオーストラリアにもたらされるケースが多々あるでしょう」とバーデン氏は述べた。「この議論は消えることはありません。オーストラリアでは常に念頭に置いておくべき問題です。」
脅威に対抗するにはサイバーセキュリティ教育が必要となる
これは、サイバーセキュリティに関する継続的な教育が必要となることを意味します。バーデン氏は、「今日は生成型AIでなくても、明日は何か別のものになる可能性がある」ためだと述べ、その理由を説明しています。取締役会を含む企業の利害関係者は、資金を投じたとしても、100%のセキュリティは確保できないことを認識する必要があります。
「組織のあらゆるレベルで教育を行う必要があります。顧客が意識しているとは限りませんが、経験豊富なビジネスパーソンの中にもサイバーセキュリティに触れたことがない人はいます」とバーデン氏は述べた。「取締役会は真相究明に時間を投資しており、場合によっては金銭で解決したり製品を購入したりすることで問題が解決することを期待しています。しかし、これは長期的な取り組みです。」
F5 は、発表済みの 6 つのサイバー シールドなどを通じて、オーストラリアのサイバー セキュリティのレジリエンスをさらに強化するための連邦政府の取り組みをサポートしています。
「脅威が何であるかという認識を高め続けるものは常に有益だ」とバーデン氏は語った。
複雑さを軽減することで、悪質な行為者との戦いに勝利できる可能性がある
100% 安全であることは不可能ですが、シンプルさによって組織はリスクを最小限に抑えることができます。
「企業は数十もの異なるベンダーと契約を結んでいることがよくあります」とウッズ氏は述べた。「企業がすべきことは、こうした複雑さを軽減することです。複雑さは脆弱性を生み出すからです。悪意のある攻撃者は、まさにこの複雑さによる混乱を日々悪用しているのです。」
たとえばクラウドに関して言えば、組織は最初からマルチクラウドを目指していたわけではないが、ビジネスや生活の現実により、時間の経過とともにマルチクラウドになったとウッズ氏は述べた。
参照: オーストラリアとニュージーランドの企業は、クラウド戦略を最適化するプレッシャーに直面しています。
「すべてのクラウドに共通の抽出レイヤーと、プライベートクラウドとパブリッククラウドの両方に適用される単一のポリシーが必要です」とウッズ氏は述べた。「セキュリティ強化のために、統合と簡素化に向けた大きな流れが現在あります。」
