2023年に出現するサイバー脅威、AI、量子コンピューティング、データ汚染まで

ハッカーや詐欺師が新しいテクノロジーを入手したり、古い脆弱性を悪用する新しい方法を考え出したりするにつれて、脅威は常に進化しています。 「これは猫とネズミのゲームだ」とセキュリティ会社EnTrustのCISO、マーク・ルッチ氏は言う。

フィッシングは依然として最も一般的な攻撃であり、2023 年の Comcast Business サイバーセキュリティ脅威レポートによると、顧客ネットワークへの侵入の試みの 90% はフィッシングから始まっています。

攻撃の量と速度は増加しており、被害者のコストも増加しています。Cyber​​security Ventures が発表した「公式サイバー犯罪レポート 2022」では、サイバー犯罪のコストが 2015 年の 3 兆ドルから 2025 年までに 10.5 兆ドルに跳ね上がると予測されています。

同時に、セキュリティリーダーらは、ミッドナイト・ブリザード（APT29、コージー・ベア、ノーベリウムとも呼ばれる）が仕掛けたような新しい形の標準的な攻撃方法や、新たな攻撃戦術が見られると述べている。データ ポイズニング、SEO ポイズニング、AI 脅威アクターは、CISO が現在直面している新たな脅威です。

「CISOになることに同意するということは、決して完全に勝つことのないゲームをプレイすることに同意するということであり、画面上で何かが絶えず変化していくのを見なければならないということです」と、セキュリティ企業パナシールのCISOで同社の諮問委員会メンバーでもあるアンドレアス・ヴクナー氏は語る。

AIとAIGCを利用した攻撃

専門家によると、最も注目すべき新たな脅威のいくつかは、AIの急速な成熟と普及から生じているという。セキュリティ担当者は、ハッカーが競合他社よりも速く、時には企業の技術チームよりも速く AI を導入しているのを目撃しています。

AI を活用した攻撃の可能性は予想外ではありません。 2019 年の Forrester Research レポートによると、サイバーセキュリティの意思決定者の 80% が AI によって攻撃の規模と速度が増大すると予想しており、66% が AI が人間が想像できない攻撃を実行すると予想しています。

報告書はさらに、「これらの攻撃はステルス性があり予測不可能であり、過去の攻撃のみに基づくルールとシグネチャに依存する従来のセキュリティ手法を回避することができる」と述べている。

一部の専門家は、それが今起こっていると指摘しています。

「AIを利用したサイバー攻撃はすでに企業が対応できない脅威となっている」と、フィンランド運輸通信庁がヘルシンキに拠点を置くサイバーセキュリティ企業ウィズセキュアと共同で2022年12月に発表した報告書の著者らは主張している。「AI手法の改善を目の当たりにし、AIの専門知識が広まるにつれて、このセキュリティ上の脅威は増大するばかりだ」

報告書によると、ハッカーは攻撃の成功確率を高めるために AI を利用して攻撃戦略を分析しており、また活動のスピード、規模、範囲を拡大するためにも AI を利用しているという。

サイバーセキュリティのリーダーたちは、AI、特にAIGCが新たな脅威をもたらしていると指摘しています。まず、ハッカーは AIGC を利用してマルウェアを開発しました。また、正当な電子メールの言語、トーン、デザインを正確に模倣した内容のフィッシングやわいせつなメッセージを作成するためにも AIGC を使用しました。

これにより、悪意のあるメッセージであると識別されることが多い、ぎこちない言葉遣いや雑なグラフィックが排除されます。ルッチ氏は、「今日のフィッシングメールはますます巧妙化しており、AIGC はそれを間違いなくこれまでにないレベルにまで引き上げています」と述べています。

電気電子技術者協会の上級会員であり、スーパー偽造防止部門の CISO であるケイン・マクグラッドレー氏は、その証拠を目にした。彼は、契約書を経営陣に提示し、それを検討して署名してもらう企業で働いていました。 「ほぼすべてが正常に見えました」とマクグラッドレー氏は述べ、唯一の注目すべき誤りは会社名の小さな間違いで、これは主任法律顧問によって発見されたという。

しかし、マクグラドリー氏は、新世代のAIはハッカーのスピードと巧妙さを増すだけでなく、その範囲も拡大していると述べた。ハッカーは AIGC を利用して、ほぼあらゆる言語で信憑性のあるテキストを使用したフィッシング キャンペーンを作成できるようになりました。これには、習得が難しい言語や、非ネイティブ スピーカーがほとんど話さない言語など、これまで攻撃の試みがほとんどなかった言語も含まれます。

マクグラッドレー氏はさらにこう付け加えた。「他の理由がなくても、AIGC はコンテンツの翻訳をうまく行っているので、これまでフィッシング攻撃をあまり経験していない国でも、すぐにフィッシング攻撃が増える可能性があります。」

他にも、AIを利用した他の脅威が近づいていると警告する人たちもいる。ハッカーがディープフェイクを使って、著名な企業幹部や自治体のリーダーなどの人物になりすますことが予想されるからだ。こうした人物の声や画像は一般に広く公開されており、AIモデルの訓練に利用される可能性がある。

「これは間違いなく我々が注視しているものだが、その可能性はすでにかなり明白だ」とサイバー保険プロバイダーのCorvusの脅威情報マネージャー、ライアン・ベル氏は語った。「技術はどんどん良くなってきており、何が本物か見分けるのが難しくなっている」。同氏は、ウクライナのウォロディミル・ゼレンスキー大統領のディープフェイク画像が偽情報を広めるために使われたことを、この技術が悪意ある目的で使われている証拠として挙げた。

さらに、フィンランドの報告書は、将来について悲観的な評価を示しています。近い将来、AI の急速な進歩により、自動化、ステルス、ソーシャル エンジニアリング、情報収集を通じて、より幅広い攻撃手法が強化され、生み出されるでしょう。その結果、今後 5 年間で、スキルの低い攻撃者の間で AI を利用した攻撃がさらに蔓延すると予測されます。従来のサイバー攻撃が時代遅れになるにつれて、AI テクノロジーとツールはよりアクセスしやすく手頃な価格になり、攻撃者が AI 対応のサイバー攻撃を使用するよう促すようになります。

エンタープライズ AI の乗っ取り

一方、一部のセキュリティ専門家は、ハッカーが企業独自のチャットボットを悪用する可能性があると指摘している。

従来の攻撃シナリオと同様に、攻撃者はチャットボット システムに侵入し、システム内のデータを盗んだり、それを使用して攻撃者にとってより価値のある他のシステムにアクセスしたりする可能性があります。

もちろん、これは特に新しいことではありません。しかし、セキュリティ会社オッカムセックのセキュリティエンジニア、マット・ランダーズ氏は、ハッカーが侵入したチャットボットを再利用してマルウェア拡散の媒体として利用したり、顧客や従業員、他のシステムなどと不正な方法でやり取りしたりする可能性があると指摘する。

サイバーリスク研究チームVoyager18とセキュリティソフトウェア会社Vulcanも最近同様の警告を発した。研究者らは、ハッカーがChatGTPを含むAIGCを悪用して悪意のあるパッケージを開発者の環境に拡散させる方法を詳述した2023年6月の勧告を公開した。

ウフナー氏は、AI がもたらす新たな脅威はそれだけではない、と述べた。特に IT 部門以外の従業員が、新世代の AI を使用してコードを書き、すぐに導入して使用できるようにすれば、バグや脆弱性、悪意のあるコードが社内に入り込む可能性が出てくる、と同氏は述べた。

ウフナー氏はさらに次のように付け加えた。「あらゆる研究が、AI でスクリプトを作成するのがいかに簡単かを示していますが、こうしたテクノロジーを信頼することで、人々が思いもよらなかったものが企業にもたらされるのです。」

量子コンピューティング

米国は2022年12月に量子コンピューティングサイバーセキュリティ準備法を可決し、連邦政府のシステムとデータを量子サイバー攻撃から保護するための措置を法律として制定した。量子コンピューティングが成熟するにつれて、量子サイバー攻撃が発生すると多くの人が予想しています。

数か月後の2023年6月、欧州政策センターは同様の行動を促し、Qデーと呼ばれる予想される出来事である量子サイバー攻撃の到来に備えるよう欧州当局に求めた。

専門家によると、今後5年から10年以内に量子コンピューティングの研究は、現在の既存の暗号化アルゴリズムを破る能力に到達するほど進歩する可能性がある。そうなれば、現在暗号化プロトコルによって保護されているすべてのデジタル情報がサイバー攻撃に対して脆弱になる可能性がある。

「量子コンピューティングが3年から10年以内に普及することは分かっていますが、その影響が実際にどの程度になるかはまだ誰にも分かりません」とルチー氏は語った。さらに悪いことに、悪意のある人物が量子コンピューティングとAIを組み合わせて「新たな脅威を生み出す」可能性があると彼は述べた。

データと SEO の汚染

メリーランド大学グローバルキャンパスのサイバーセキュリティおよびIT学部の准教授ロニー・タクール氏は、新たな脅威としてデータポイズニングが浮上していると述べた。

データ ポイズニングにより、攻撃者は機械学習やディープラーニング モデルのトレーニングに使用されるデータを改ざんまたは破損させます。これを行うには、さまざまなテクニックを使用できます。モデルポイズニングとも呼ばれるこの攻撃は、AI の決定と出力の精度に影響を与えることを目的としています。

タクール氏はこう結論づけている。「データを改ざんすることでアルゴリズムを操作することができます。」

彼は、データ汚染は内部と外部の両方の悪意のある行為者によって引き起こされる可能性があると指摘した。さらに、多くの企業にはこのような高度な攻撃を検出するスキルが欠けていると彼は述べた。企業はこうした攻撃の規模を目にしたり報告したりしていないが、研究者らはハッカーが実際にこうした攻撃を実行できる可能性があることを調査し、実証した。

他にも、別の「ポイズニング」の脅威として、検索エンジンのランキングを操作して、ユーザーを悪意のあるウェブサイトにリダイレクトし、デバイスにマルウェアをインストールするSEOポイズニングを挙げた人もいた。 Info-Tech Research Group は、2023 年 6 月の脅威ランドスケープ ブリーフィングで SEO ポイズニングの脅威について言及し、脅威が拡大していると述べました。

次のステップに向けての準備

ほとんどの CISO は脅威の状況が変化すると予想しています。検索会社 Heidrick & Struggles が 2023 年グローバル CISO 調査で実施した世論調査によると、セキュリティ リーダーの 58% が、今後 5 年間で異なるサイバー リスクが発生すると予想しています。

CISO は AI と ML を最大のサイバーリスクとしてランク付けし、46% がこれに同意しました。 CISO は、地政学、攻撃、脅威、クラウド、量子、サプライ チェーンも主要なサイバー リスク要因として挙げています。

ハイドリック・アンド・ストラグルズの調査の著者らは、回答者がこのテーマに関してさまざまな考えを示したと指摘した。たとえば、自動化の軍拡競争は今後も続くだろうと書いた人もいます。別のユーザーは「攻撃者が攻撃サイクルを加速させるにつれ、回答者はより迅速に行動する必要がある」と書いた。3人目のユーザーは「サイバー脅威は機械のスピードで動くが、防御は人間のスピードで動く」と述べた。

著者らは、「古い技術が新しい技術に引き継がれないという同様の懸念を表明する人々もいる。さらに、生き残りについてより懸念を表明する人々もおり、『事実と虚構を見分ける能力が劇的に低下している』と述べている」と付け加えた。

セキュリティリーダーは、進化する脅威の状況と出現する可能性のある新たな脅威に備える最善の方法は、確立されたベストプラクティスに従いながら、新しいテクノロジーと戦略を重ねて防御を強化し、エンタープライズセキュリティにプロアクティブな要素を作り出すことだと言います。

「基本をマスターし、可能な限り新しいテクノロジーを適用してセキュリティ体制を強化し、多層防御を構築して次のレベルに到達し、新しい脅威を検出できるようにすることが重要です」と、セキュリティ ソフトウェア会社 NetSPI の CISO である Norman Kronberg 氏は述べています。「このアプローチにより、未知の脅威を特定するのに十分な能力が得られます。」