毎年、年末になると、セキュリティベンダーが翌年のセキュリティ業界の予測を発表する。本誌では、2024年のセキュリティ脅威の予測に関する記事として、以下を掲載した。

今年のIT業界は生成AIの話でもちきりだったが、当然、生成AIはセキュリティ業界にも大きな影響を与えている。2024年、生成AIはどんな脅威をもたらすのだろうか。

トレンドマイクロ シニアスレットスペシャリスト 平子正人氏に、同社が発表した2024年セキュリティ脅威予測について、聞いた。同社は、「クラウド」「生成AI」「データ、機械学習」「サプライチェーン」「ブロックチェーン」の5つについて予測を発表している。

平子氏は「最新技術は、ユーザー側のセキュリティが弱くなりやすい。2024年は新興技術に存在するセキュリティホールを突いた攻撃が予想される」と語った。

  • トレンドマイクロ シニアスレットスペシャリスト 平子正人氏

クラウドにおける脅威

これまで、クラウドに起因するセキュリティの脅威といえば、パブリッククラウドの設定ミスが指摘されることが多かったが、2024年はクラウドのオーケストレーションツールが狙われることが予想されるという。

「KubernetesやDocker、Weave Scopeなどのクラウドオーケストレーションツールは、自動でスケーリングできる。そのため、攻撃者にとって、クラウド環境をコントロールする権限を掌握できれば、マルウェアの感染に悪用できる」と、平子氏は説明する。

具体的には、クラウドオーケストレーションで誤設定されたAPIに不正なコードを送り込むことで、大規模な感染を引き起こせる。同社は、この種の攻撃を「クラウド寄生型攻撃(Living off the Cloud)」と呼んでいる。

「クラウド寄生型攻撃」とはクラウド環境における「環境寄生型攻撃(Living off the Land)」を意味し、自社のクラウドベースのリソースが自組織への攻撃の手段として悪用されてしまう状況を指す。

「セキュリティソフトのブロックを避けたい攻撃者が、クラウド環境上にある正規ツールを悪用する手法をとることを予測している」(平子氏)

このようにクラウド上の正規ツールが悪用されることを防ぐには、通常のマルウェア対策や脆弱性スキャンに加えて、未知の脅威や不審な挙動の検知・対応を支援するEDR(Endpoint Detection and Response)やXDR(Extended Detection and Response)という対策が重要となるという。

生成AIにおける脅威

生成AIの脅威としては、すでにサイバー攻撃者になりすましなどの用途で悪用されている。平子氏は、今後、特定の個人の情報をインプットして、高度なソーシャルエンジニアリングが行われる可能性を指摘した。

ディープフェイクに関しても、生成AIにより偽の画像の作成にかかる時間とコストを短縮できることから、「攻撃の増加にもつながるのではないかと考えられる」と平子氏は述べた。

さらに、特に音声クローニングにおいて近い将来、詐欺での悪用が増えると予測されるという。平子氏は、「日本でも、歌手の音声を取り込んだフェイク動画が見られている。今はいたずらレベルだが、企業を狙う攻撃も起こるかもしれない」と指摘した。

なお、米国では、本物そっくりの子どもの泣き声を聞かせた「バーチャル誘拐」により身代金を要求する個人を狙ったサイバー犯罪が起きているそうだ。

そのほか、生成AIは政治面での悪用も見られており、2024年は米国と台湾で国民選挙が行われることから、インフルエンスオペレーションが増えることが予測されている。

機械学習モデルにおける脅威

生成AIと共に使われるシーンが増えているのが、機械学習のモデルだ。トレンドマイクロは、クラウドベースの機械学習モデルを狙う新たな脅威として、データポイズニングの登場を予想している。

データポイズニングとは、学習モデルに対して、悪意を持って不正な情報をインプットして、事実とは異なるアウトプットを出させるように仕向けることを指す。

例えば、企業がデータポイズニングを受けると、自社のサービスの評判が落ちるなどのダメージを受ける可能性がある。

サプライチェーンにおける脅威

サプライチェーンの脆弱な部分を突いて踏み台にして、別な企業を標的とするサプライチェーン攻撃もさらなる進化が予測されている。

昨今、システム開発のスピードを上げるために、企業ではCI/CDシステム(継続的インテグレーションおよび継続的デリバリーシステム)が利用されているが、「利便性の高いツールはサイバー犯罪の標的となる可能性がある」と、平子氏は指摘する。

CI/CDシステムは、ソフトウェア開発の多くのプロセスを自動化し、多数のツールやプロセスに基づいて構築されている。「攻撃者がCI/CDシステムにバックドアとなる不正なコード仕込み、そのコードが仕込まれたソフトウェアが流通してしまうと、大規模な被害が発生する」と、平子氏は説明した。

2024年には、攻撃者がソースコードを攻撃し、ライブラリ、パイプライン、コンテナなどのサードパーティコンポーネントを持続的に狙うことが予測されるという。

ブロックチェーンにおける脅威

ブロックチェーンは、改竄を防止する仕組みとして、分散型の台帳によってネットワーク内で発生した取引の記録を管理している。ブロックチェーンの仕組みは企業でも採用が増えているが、攻撃者に狙われるリスクが高まっているという。

平子氏は、ブロックチェーンを狙った攻撃者が身代金目的のビジネスモデルを開発する可能性を指摘した。

攻撃者が標的対象のブロックチェーンを操作するためのキーを窃取し、不正なデータを書き込んだり、既存の記録を編集したりした後、こうした改竄の事実を暴露されたくなければ身代金を要求するという、いわばランサムウェアの手口の高度化が登場する可能性があるという。

データのセキュリティ強化とセキュリティ・バイ・デザインの実践を

平子氏は、こうした脅威への対策として、「データのセキュリティ強化」と「セキュリティ・バイ・デザインの実践」を挙げた。

SNSにアップしたデータなども、生成AIに悪用する素材となることから、「データを検証する仕組みを用意し、個人としては安易にデータを提供しない。また、データに対して、ゼロトラストを適用する必要がある」と、平子氏は述べた。

また、ChatGPTが普及すると、ビジネスユーザーが活用したいと考えるようになることから、「IT担当以外の従業員はセキュリティの意識が相対的に低くなるので、セキュリティ・バイ・デザインの考えを知ってもらう必要がある」と平子氏は言う。

セキュリティ・バイ・デザインとは、後付けではなく、製品やサービスの企画段階からセキュリティを確保するアプローチのことをいう。つまり、テクノロジーを活用する際は、事前にセキュリティのことも考慮することが重要となる。