もはやサイバー攻撃は対岸の火事ではない。
サイバーセキュリティ大手のトレンドマイクロが2023年6月、特定非営利活動法人 CIO Loungeと国内の法人組織のセキュリティやリスクマネジメントの責任者(部長職以上)305人を対象に「サイバー攻撃による法人組織の被害状況調査」を実施した。
この調査の中で過去3年間におけるサイバー攻撃の被害経験有無を聞いたところ、「経験した」と回答した割合は56.8%だった。
「過去3年間に外部から受けたサイバー攻撃の中で最も被害コストが大きかったもの」を聞いたところ、ランサムウェアが17.4%で最多。続いてビジネスメール詐欺が14.4%、サービス妨害攻撃(DoS、DDo S)が8.9%、サービス不正使用(不正購入・不正カード利用)が6.2%、スパムメール送信の踏み台として自社メールシステムを利用(4.9%)、機密情報の窃取・暴露(2.0%)、Webサイト改ざん(1.3%)、他社侵入の踏み台として自社システムを利用(0.7%)など。
ランサムウエアは、PCに感染して、保存されているファイルを暗号化して開けなくした上で、ファイルをもとに戻すことと引き換えに身代金を要求するマルウエア(コンピュータウイルス)のことだ。
以前は無差別にウイルスを送り付けることが一般的だったが、最近ではより巧妙化し、特定の個人や企業を狙い撃ちして、セキュリティ対策の甘い部分を狙い、執拗に攻撃する事例が増えているという。
「サイバー空間における脅威は増加しています。近年はさまざまな新興技術というのが世の中で台頭してきています。各企業や組織はそうした技術を活用することで、業務の効率化や新しいサービスの提供を行っています。しかし新興の技術というのは、普及度が低かったり、利用用途が明確でなかったりして、そうした技術を利用したサービスを提供する側も、利用する側もサイバーセキュリティに対するリテラシーや習熟度が相対的に低くなる傾向があります。サイバー犯罪者はそうした脆弱性を突いてサイバー攻撃を行ってくるわけです」
トレンドマイクロのセキュリティマーケティング部シニアスレットスペシャリストの平子正人氏はこう語る。
2024年に予測される5つの脅威
では2024年はどのようなサイバー攻撃が主流となってくるのだろうか。
トレンドマイクロでは2024年に予測される脅威としては以下の5つの事柄を上げている。
- クラウドネイティブワーム攻撃
- 生成AIによるソーシャルエンジニアリングの強化
- クラウドベースの機械学習の武器化
- サプライチェーンのCI/CDシステムの侵害
- ブロックチェーンへの攻撃
ではそれぞれ見ていくことにしよう。まずはクラウド環境に対するサイバー攻撃だ。多くの企業が数年の間にデジタルトランスフォーメーション(DX)の推進に伴って、クラウドシフトを進めている。
クラウドは簡単に展開できる一方で、設定の不備やミスがよくある。クラウド環境のセキュリティの重要性については常に注意喚起が行われている。クラウドの設定ミスによって、組織の個人情報や機密情報が漏洩することは日本でもいくつか散見されるようになった。
「私たちはクラウドの脅威の中でも、その環境の中で利用されている特定の技術の悪用の可能性について注意喚起するようにしています」(平子氏)
それがオーケストレーションツール(Orchestration Tool)とよばれるものだ。クラウド上のコンテナ(アプリ開発をするために必要なものをひとまとめにできる仕組み)を自動化するツールだ。
代表的なものとしてはグーグルが開発したオープンソースのKubernetes、Docker社が提供するdocker-compose、AWSが提供するAmazon Elastic Container Service (Amazon ECS)がある。
「こうした環境全体をコントロールする自動化ツールの権限というものを攻撃者が掌握することができれば、マルウエアの拡散の効率化にもつながるわけです。例えば攻撃者が、認証やアクセス制御が適切に行われていないAPI(アプリケーションプログラミングインターフェース)にマルウエアを送り込むことで、大規模な感染を引き起こすことができます。こうした手法が今後、実行される恐れがあると考えています」(平子氏)
これはクラウド寄生型攻撃(Living off the Cloud)と呼ばれるもので、攻撃者はセキュリティソフトによる検知を避けるために、できるかぎりクラウド環境に存在しているクラウド・ネイティブ・ツールを悪用する。
「クラウド環境側においてもオーケストレーションツールのような強力なツールが悪用されていくと私どもでは予測しております」(平子氏)
攻撃者に狙われている生成AI関連技術
ChatGPTのリリース以降、サイバー犯罪における生成AIの活用が活発化している。
サイバー犯罪アンダーグラウンドマーケットでは、「Dark AI」というAI専門の不正プログラムを売買するセクションが新たに設けられていることが確認されている。
「フィッシング」や「ビジネスメール詐欺(BEC)」を支援するサイバー犯罪用の生成AIツール「WormGPT」が販売されていたことが明らかになっている。
FBI のInternet Crime Complaint Center(IC3)によると、人の心理的な隙や行動ミスにつけ込み、個人が持つ秘密情報を搾取する「ソーシャルエンジニアリング」は攻撃者にとって最も利益の高い攻撃手法の一つとして確立しているという。
「特に2024年はアメリカ大統領選などが控えているので、政治的な『インフルエンスオペレーション(虚偽情報を拡散したり、特定組織の機密情報をリークしたりすること)』の増加に生成AIが悪用されることが予想されます」(平子氏)
生成AIが悪用されることで、より洗練されたソーシャルエンジニアリングが可能になった。
例えば、攻撃者が特定の個人の音声や画像を生成AIにインプット。本人に酷似した音声や画像を生成し、「音声クローニング(特定の話者の声を別の話者が模倣する技術)」や「合成メディア」を作成。さまざまなソーシャルエンジニアリングに悪用し、「なりすまし」や「フィッシング」「BEC」を行っている。
「今の段階ではまだいたずらレベルで、インシデントとしては上がっていませんが、企業や組織の場合、CEOや役員の音声や画像、SNSに公開されている情報を生成AIの学習モデルにインプットすると、本物そっくりの音声や映像ができます。なりすましやビジネスメール詐欺などの攻撃に活用することで、受信者が、本物か偽物かを見分けることが難しくなると予測しています」(平子氏)
機械学習モデルを汚染する「データポイズニング」も大きなクライシスとなっている。
攻撃者は不正な情報を大型言語モデル(LLM)に送り、生成AIを活用したユーザーが「○○について教えて」「××を作成して」といった質問をインプットする。その結果として不適切なコンテンツや変更した内容が表示されるようなことも起こっている。
「生成AIのLLMに悪意をもって不適切な内容をインプットすることをデータポイズニングといいます。このサービスを使うユーザーは、事実と異なるアウトプットが返ってくる可能性があるわけです。サービスの提供企業側は、サービスそのものの評判が悪くなり、利用者が減少するという深刻な現象が発生する可能性があります。サービスの利用者側は利用責任、提供者側は管理責任がありますから、生成AIやLLMに対して適切なセキュリティ対策がおこなわれているかどうか、透明性という部分を意識し、こうした新興技術を利用する際には意識をする必要があります」(平子氏)
狙われるCI/CDシステムやブロックチェーン
近年、アジャイル開発の現場などで、アプリケーション開発におけるビルドやテストの自動化をサポートするツールとして「Continuous Integration(継続的インテグレーション)/ Continuous Delivery(継続的デリバリー)」(CI/CD)システムが活用されている。
しかし一方でこうした利便性の高いツールはクラウドのオーケストレーションツールと同様、サイバー犯罪の恰好の標的となることが考えられる。ここではソフトウエアの部品となるコンポネントやライブラリの作成段階で、このCI/CDシステムにバックドアのような不正なコードを仕込ませておく。そうすることでマルウエアが仕込まれたソフトウエアが、市場に流通することになる。
「ソフトウェアサプライチェーンを侵害することで、大規模な被害が発生する可能性があることを予測しています」(平子氏)
ブロックチェーンへの不正な書き込みや機能停止によって身代金を要求する脅迫手口が登場する可能性も考えられる。
ブロックチェーンとは分散型台帳技術の一種で、SNSから電子商取引、暗号資産のトランザクションなど多様な用途を提供している。最近ではメタバースやNFT(Non-Fungible Token、非代替性トークン)などの新興技術を支える基盤として注目されていることから、企業における重要度も今後さらに高まっていくと考えられている。
「攻撃者はブロックチェーンへの不正な書き込みや機能停止によって企業に大きなダメージを与えることができる。その結果として『改ざんされたことが暴露されたくなかったら、身代金を支払うように』と脅迫を迫ることが考えられます」(平子氏)
新興技術に対する脅威に対する3つのセキュリティ対策
ではこうしたサイバー攻撃の脅威に対して企業側はどのような対応をとればいいのだろうか。平子氏は3つのポイントをあげて指摘している。
まず一つ目が「クラウド環境のセキュリティ強化」だ。生成AIにしろ、ブロックチェーンにしろ、大量に消費する技術というのは、クラウド環境上で稼働することになる。不正なプログラムを検知しようとしても従来の対策だけではオーケストレーションツールなどが悪用されることを事前に検知できないので、その一歩先のセキュリティ技術が必要となってくる。
「クラウドの設定状況を継続的に監視するツールであるCSPM(Cloud Security Posture Management:クラウドセキュリティ態勢管理)やサイバー攻撃の兆候を検出するXDR(Extended Detection and Response)など正規ツールに対する不審な挙動の監視ができる技術が必要となります。こうした最先端の技術を採用していくことで、新興技術に関わるセキュリティの強化を図っていくことが重要になります」(平子氏)
2つ目がデータのセキュリティ強化だ。生成AIなどによって今後はデータ自体の活用が増えていく。普段何気なくSNSに上げている写真は、生成AIを悪用するサイバー犯罪者にとっては成りすますための恰好のソースとなる。データ自体のセキュリティは今後重要になってくる。
「取り扱うデータについては必ず検証する。不審なサイトなどにはデータをアップロードしない。データを利用する際、すべての通信を信用できないと考え、従来よりも厳格なユーザー認証やネットワーク監視などのセキュリティ対策を施すゼロトラストという考え方を適用していくことが重要です」(平子氏)
3つ目が情報システムや製品の開発段階からセキュリティを考慮してデザインする「セキュリティバイデザイン」の実践だ。
「セキュリティバイデザイン自体はこれまでもずっと言われてきましたが、チャットGPTの登場や利便性の高い新興技術が世の中に普及すると、IT担当者以外の従業員も自分たちのビジネスで活用しようと考えます。IT担当以外の従業員はセキュリティに対する知識が相対的に低くなりますから、改めてセキュリティバイデザインという考え方を多くの方に知っていただくことで、新興技術の活用につながればいいのではないかと考えています」(平子氏)
