チェック・ポイント・ソフトウェアは、2023年中期サイバーセキュリティレポートにおいて、今年これまでに確認された数多くのエクスプロイトを取り上げています。その中には、人工知能の斬新な活用法や、昔ながらの攻撃ベクトルであるUSBドライブなどが含まれています。チェック・ポイントによると、サイバー犯罪者や国家レベルの攻撃者は、これらのデバイスを、エアギャップ化され、セグメント化され、保護されたネットワークに感染するための最良の手段と見なしています。
報告書の著者らは、Raspberry RobinワームがUSBドライブの「autorun.inf」ファイルやクリック可能なLNKファイルを介して拡散するマルウェアの亜種として一般的であると指摘しています。また、Check Pointは、国家と連携した脅威アクターが、ANDROMEDAのような10年前から存在する感染型マルウェアをUSBドライブ経由で拡散させていると報告しています。
例えば、報告書の著者らによると、中国関連のスパイ活動を行う脅威アクター「Camaro Dragon」は、USBドライブを媒介として世界中の組織に感染を広げた。さらに、セキュリティ研究者らは、ロシアと連携するグループ「Gamaredon」が、USBドライブを介したShuckwormを使用してウクライナ軍や関連人物を標的にしていたと指摘している。
チェック・ポイント・ソフトウェアのアメリカ大陸担当グローバル最高情報セキュリティ責任者(CISO)であるピート・ニコレッティ氏に、レポートの主要な調査結果について話を聞きました。この分野で30年以上の経験を持つニコレッティ氏は、AIはゲームチェンジャーであり、チェック・ポイント・ソフトウェアの70以上のエンジンのうち、40はAIと機械学習によって駆動されていると述べました。以下のニコレッティ氏へのインタビュー記録は、長さと分かりやすさを考慮して編集されています。
ジャンプ先:
- 孤立したUSBメモリを見つけた?そのままにしておくのがベスト
- 悪質ボット:スパム、スピアフィッシング、マルウェア対策AI
- 防衛のためのAI:スパムの検出、保険審査、侵入テスト
- 教育分野が最大のターゲット
- マイクロソフト:たくさんのドアと「窓」がある大きな家
- 音と映像:AIの次なる脅威
孤立したUSBメモリを見つけた?そのままにしておくのがベスト
カール・グリーンバーグ:物理USBドライバが攻撃ベクトルとして有効であるという報告書の詳細には驚きました。本当に?今日ですか?
ピート・ニコレッティ:元ペネトレーションテスターとして、USBドライバやUSBデバイスがハッキングに使われる時代は終わりを迎えるだろうと思っていましたが、USBドライブの挿入に引っかかる企業が急増しています。以前、企業への侵入を試みていた頃は、水飲み場型攻撃をしていました。社員が集まるバーやオフィスビル、トイレなどにUSBメモリをいくつか落とします(以前はCD-ROMで、「第3四半期レイオフ」と書かれたラベルを貼って、社員がそれを奪い取るという手口でした)。フラッシュドライブでも同じことが起こっており、これは劇的な変化です。
カール・グリーンバーグ:ハッカーはUSBドライブを物理的に置き去りにしているのですか?
ピート・ニコレッティ:はい、この戦術は組織に蔓延しています。COVID-19以前は、企業所有のノートパソコンでUSBメモリを使用することは、検査対象になっていたため、より厳格なポリシーが設けられていました。しかし、COVID-19以降はBYOデバイスが主流となり、企業による保護体制が弱まっているため、USBメモリの急増の一因となっています。また、政治的な動機を持つグループによるハクティビズムの増加や、AIを使ったメール作成といった人工知能の悪用も見られます。最近、AIベースのキー入力監視ツールがリリースされましたが、これは音だけでキー入力を約85%から95%の精度で認識できます。
悪質ボット:スパム、スピアフィッシング、マルウェア対策AI
カール・グリーンバーグ:今日のサイバーセキュリティ実務者にとって AI ツールはどれほど重要ですか。また、ハッカーは主にどのような方法で AI ツールを使用しているとお考えですか。
ピート・ニコレッティ:人工知能に対抗できる人工知能がなければ、統計上の数字に過ぎません。AIは攻撃者のハードルを下げているからです。例えばスパムメールだけでも、今では(英語を話さない人でも)非常に流暢な英語でメールを作成できる人が増えています。
基本的に、ハッカーは少なくとも2つの方法でAIを利用しています。1つ目は、例えば、特定の一般的な脆弱性や露出を狙ったゼロデイ攻撃用の、本格的なランサムウェアプログラムではなく、スニペットのコードを作成するためにAIを利用している点です。例えば、キーボード入力コレクターを作成する際にAIを利用しています。2つ目は、ハッキングしたデータを用いてコンテンツを生成するスパム作成を自動化するためにAIを利用している点です。例えば、これらのコンテンツは、大規模な情報漏洩の一部となった可能性のある患者の個人情報(ハッキングされた可能性があります)と結び付けられる可能性があります。ハッカーはこうしたデータを用いて、「あなたはたった今、このような処置を受けました。請求額に200ドル追加でお支払いいただきます」といったパーソナライズされたメールを作成しています。
参照:チェック・ポイントが2023年のAI機能を発表(TechRepublic)
防衛のためのAI:スパムの検出、保険審査、侵入テスト
カール・グリーンバーグ:このような AI を活用したスピアフィッシング キャンペーンをどのように防止または防御しますか?
ピート・ニコレッティ:大手通信事業者のお客様はすべて、2年前に買収したAI搭載のメールセキュリティツール「Avanan」を使用しています。Avananのおかげで、検出が困難な新しい種類のスパムを発見できるようになりました。そして、スパムは依然として攻撃成功の89%を占めています。
参照:チェック・ポイントのアバナンが、ビジネスメール詐欺攻撃が正規のウェブサービスを模倣してクリックを誘い込む仕組みを明らかに(TechRepublic)
カール・グリーンバーグ:アナリストの作業負荷を軽減する以外に、現在 AI がより多く利用されている分野は他にありますか?
ピート・ニコレッティ: ChatGPTなどの大規模言語モデルをサイバー保険プログラムの見直しに活用している企業が増えています。また、侵入テストの作成に活用することで、特定の問題に対する関連性を高め、より深い理解を得るケースも増えています。人工知能を活用しなければ、競争力は維持できません。
教育分野が最大のターゲット
カール・グリーンバーグ:今年上半期のその他の主な調査結果は何ですか?
Pete Nicoletti:教育分野が最大の攻撃対象分野となっており、急増しています。
カール・グリーンバーグ:なぜですか?
ピート・ニコレッティ:学校がITアウトソーシングに移行し、オンライン教育ツールの利用を増やしていることなど、いくつかの理由があります。また、教育機関には民間セクターのような予算がありません。ランサムウェアの要求により、少なくとも1つの大学が初めて廃業に追い込まれました(2022年5月のリンカーン大学)。世界的に見ると、教育と研究は依然として攻撃の最大の標的となっています(図A)。
図A
マイクロソフト:たくさんのドアと「窓」がある大きな家
カール・グリーンバーグ:一般的に使用されている企業向けソフトウェアの脆弱性の数は非常に多く、Microsoftが最も多いことに気づきました。なぜMicrosoftはこれほど多くのCVEを持っているのでしょうか?
ピート・ニコレッティ:銀行強盗をするのは、そこに金があるからだ、という有名な言葉があります。ハッカーなら、マイクロソフトを狙いたくなるでしょう。なぜなら、マイクロソフトはどこにでもあるからです。アプリケーション開発会社であり、オペレーティングシステムであり、誰もが使っているのです。ですから、ゼロデイ攻撃を見つけようとするなら、国家支援のハッカー集団であろうと、地下室でパーカーを着た16歳の少年であろうと、マイクロソフトを狙うことになるのです。
多くの人が語らないもう一つのことは、企業として製品を世に送り出すためにノブを回す時です。企業は開発とテストにいくらでも時間をかけられますが、明日ではなく今すぐに製品をリリースしたいのです。そして、競争力を高め市場シェアを獲得するためにノブを回す時、これが開発における暗黙のリスクとなり、問題を引き起こすのです。
Karl Greenberg:だからこそ、DevOps における AI ツールが重要なのです。
ピート・ニコレッティ:開発スピードが速い企業は、開発パイプライン、コンテナ、Kubernetesのセキュリティ強化のためにこれらのツールを導入しています。開発パイプラインで修正する方が、テスト環境や本番環境で修正するよりもはるかに安価です。企業はようやくそのことに気づき始めているのです。
音と映像:AIの次なる脅威
カール・グリーンバーグ:テキストやコードの生成以外に、脅威に対する AI のその他の用途についてはどうでしょうか?
ピート・ニコレッティ:私たちはこれまで常にビジネスメール詐欺に対処してきましたが、今度は音声詐欺とビデオ詐欺が台頭してきています。これは間違いなく現実味を帯びています。写真がビデオ通話に切り替わるケースが今後ますます増えるでしょう。音声詐欺はすでに発生しており、音声確認や音声認識を導入している銀行はどれも騙される可能性があります。ですから、もしあなたがこれらの対策を講じているクレジットカードや銀行をお持ちなら、さようならです。私はもう絶対にそのような対策を講じるべきではありません。
