サイバーセキュリティ AI攻防時代(2) セキュリティは“AIの攻防の時代”に突入！

近年、AI（人工知能）に関する研究開発や実用化が世界中で活発に行われており、ビジネスの現場でその言葉を聞かない日はないほど注目を集めています。実際に自動運転から工場の自動化、マーケティング、日々の事務業務まであらゆるシーンに浸透してきています。

しかし、テクノロジーの進化は常に良い面と悪い面の表裏一体です。本来人間がより豊かな生活をおくるために開発されている“AI“も悪用されることで、大きな脅威になるケースが存在します。

その代表的な例が「セキュリティ業界」です。2020年に開催される世界的なスポーツの祭典に向けて今、サイバー攻撃/セキュリティの”AI攻防の時代”に突入したと言われています。AIを駆使することで、企業側が防御できない未知のサイバー攻撃（ゼロデイ攻撃）を仕掛ける事例が今後増加していくと多くの機関が発表しているとともに、実際に被害にあってしまった企業も出てきています。例え大企業でしっかりとサイバーセキュリティを強化していても、従来の防御では、AIを駆使した攻撃によって突破されてしまう可能性があり、注意が必要になってきます。

前回は、サイバー攻撃における基本情報を中心にご紹介しました。今回は、そこから発展したAIによるサイバー攻撃の手法や、またそれによって防御側が抱えるリスクについて、解説していきます。

増え続けるサイバー攻撃の手法

システムの脆弱性を狙うサイバー攻撃は、AIを使うことで従来のセキュリティでは防御が困難なほどより巧妙になってきています。

AIが使われることが多いサイバー攻撃の一つに、特定の企業や個人に向けて仕掛けられる「標的型サイバー攻撃」があります。これは、ターゲット（攻撃対象者）の持つ重要な機密情報を入手することを目的とした攻撃で、長期間にわたり段階的に継続して行われます。標的となる組織に侵入するために、まずは関連する他の組織や個人が狙われるケースも多く存在します。この攻撃にAIを活用すると、ターゲットごとにカスタマイズした内容や文章を、周辺情報のデータから分析し作成することができるようになったり、やりとりをしている相手を人のように感じさせる対話型Botを作ることも可能になります。

実際に、アメリカのサイバーセキュリティ企業が2016年にTwitterで行った実証実験では、特定の組織や人物に対して偽のメッセージを送信して個人情報を収集する標的型サイバー攻撃のひとつ、スピア・フィッシング攻撃をAIが行った結果、30～66％の成功率となりました。通常のスピア・フィッシング攻撃の成功率が45％程度（※1）ということからも、AIによるサイバー攻撃の精度がいかに高まっているかということがわかります。今後ますます精度が高まっていくと、より被害者側は攻撃に気づかないまま、攻撃者側の意図通り誘導され、結果的に機密情報の漏洩に繋がってしまうといったケースが増加していってしまいます。

※1【出典元】「BLACK HAT USA 2016の『ZEROFOX社』プレゼンテーション”Weaponizing data science for social engineering: Automated E2E spear phishing on Twitter”」　URL：https://www.blackhat.com/docs/us-16/materials/us-16-Seymour-Tully-Weaponizing-Data-Science-For-Social-Engineering-Automated-E2E-Spear-Phishing-On-Twitter-wp.pdf

現状、AIはサイバー攻撃自体に組み込まれることよりも、情報収集や情報操作のためやWebサイトの脆弱性を自動で見つけるために使用されることが多い印象ですが、いかに効率よく多くの企業もしくは人に攻撃するかが鍵になってくるサイバー攻撃では、今後あらゆる攻撃方法が生み出されることが考えられます。

サイバーセキュリティはAIによる攻撃に勝てるのか！？

AI技術などで高精度・多種多様化するサイバー攻撃に対して、防御側も同様にAIを活用するなど攻撃の進化にあわせて対処する必要が出てきています。

現在サイバー攻撃対策としてすでにAIが広く使われている事例として、迷惑メールのフィルタリングがあります。これは、メールの中に組み込んだウイルスによってPCを感染させるような攻撃に対して、AIを使ってそのようなメールを除くというものです。これは、悪意あるアドレスやURLをモデルとして学習し、識別できるようにするという仕組みです。

しかし、サイバーセキュリティを突破するための攻撃手法は日々研究されており、学習した内容の範囲を超えるレパートリーをAIを使って作成することができるようになってきています。そのため、防御側は、それに対処する学習の費用や時間がさらにかかってしまうのです。今後AI技術のさらなる進化にあわせて、より巧みで想像を超えた一歩先のサイバー攻撃も増加してくるため、従来のセキュリティの仕組みでは完全に防御することは難しくなっていくと考えられます。

無数に生み出され続けるあらゆるサイバー攻撃に対して、防御側も攻撃を予想し対応できる仕組みを作っていかなければいけません。ターゲットになりやすい企業のサイバーセキュリティ対策は、今まで以上にAI技術などを使い攻撃を予測してサイバー攻撃から守っていかなければならないでしょう。また被害にあったときに、どのように対応するかなどのマニュアルを用意しておく必要もあります。前回もお話しした通り、企業が狙われデータが流出することは、被害者ではなく加害者になり得るため、顧客のためにも、企業のためにもサイバー攻撃から守っていかなければいけないのです。

AIを使って、あらゆる手段で攻めてくるサイバー攻撃。次回は、防御側の技術革新としてなぜAIが必要なのか、またどのようなAI技術によってサイバー攻撃に対応することができるのかなど、AIとサイバーセキュリティの未来について詳しく解説していきます。

なお、発表された実験で使われたAIによるスピア・フィッシング攻撃は、Twitter上のプロフィール等から標的を選定し、それらのユーザーに向けてフィッシングリンクのついた投稿を発信するもの。

著者：渡辺洋司
株式会社サイバーセキュリティクラウド Webセキュリティ事業部取締役 CTO

1975年生まれ。明治大学理工学部情報科学科を卒業。
大手IT企業の研究開発のコンサルティングを手掛ける企業において、クラウドシステム、リアルタイム分散処理・異常検知の研究開発に携わる。
2016年株式会社サイバーセキュリティクラウド CTOに就任。
2017年同社取締役CTOに就任。