民主化するAI搭載ランサムウェア、どうしたら対抗できるのか

サイバー攻撃者もAIを積極的に悪用しています。従来、サイバー犯罪者が攻撃を成功させるには、プログラミングやネットワークセキュリティに関する深い知識などの高度な技術が必要でした。しかし、昨今は、専門知識をほとんどない持たない人でも、AIを悪用することで、WormGPTやFraudGPTといった高度な AIツールを駆使して、巧妙な攻撃を仕掛けることができます。

あらゆる技術革新と同様に、AIには利点に加えて課題もあります。企業がAIを全社的に導入しようと競い合う中、アジア太平洋地域（APAC）だけでも、AIの投資額は2030年までに1,100億ドル（約16兆5,000億円）に達すると予測されています。

しかし、AIを活用しようとしているのは企業や政府機関だけではありません。

サイバー攻撃者もAIを積極的に悪用しています。従来、サイバー犯罪者が攻撃を成功させるには、プログラミングやネットワークセキュリティに関する深い知識などの高度な技術が必要でした。しかし、昨今は、専門知識をほとんどない持たない人でも、AIを悪用することで、WormGPTやFraudGPTといった高度な AIツールを駆使して、巧妙な攻撃を仕掛けることができます。

このように、容易にサイバー犯罪をできるように設計された技術により、組織の貴重なデータを保護することがこれまで以上に難しくなっています。

ランサムウェア攻撃の敷居を下げるRaaS

ランサムウェア・アズ・ア・サービス（RaaS）の台頭により、サイバー犯罪者がAIツールを使ってランサムウェア攻撃を容易に実行できるようになり、この状況はさらに複雑化しています。

RaaSは、初期アクセスブローカーやデータ流出、交渉などのサービスを提供してサイバー恐喝の技術的な参入障壁を下げ、ランサムウェアをスケーラブルなビジネスモデルに変えますが、AIによってさらに効果的になります。サイバー犯罪の民主化が進むことで、潜在的な攻撃者が増えるだけでなく、悪意のある攻撃の効果や規模も拡大しています。

AIを悪用したランサムウェア攻撃の急増は、APAC地域で少なくとも59％の企業が現在標的となっており、重大なリスクをもたらしています。AIが普及する前から、企業は攻撃の防御に苦労していました。Rubrikの2024 Zero Labs レポートによると、ランサムウェアの被害を受けた日本の組織の95％が身代金要求に応じて支払いました。

では、サイバー攻撃の脅威がかつてないほど高まる中、企業はどうすれば自社を守ることができるのでしょうか。

身代金の支払いが解決策にならない理由

サイバー攻撃者に身代金を支払いたい人は誰もいません。残念ながら、サイバー攻撃からの復旧が長期にわたる場合や復旧の見込みがない場合、企業には選択の余地がありません。

しかし、組織の業務を停止に陥らせた犯罪者が約束を果たすと信じるのは危険です。実際、Rubrik Zero Labsの最近の調査では、身代金を支払い、復号ツールを受け取った組織のうち、すべてのデータを復元できたのはわずか16％であることが判明しました。

例えば、機密性の高い患者情報を管理している医療機関がランサムウェア攻撃を受けた場合、業務再開を目指して身代金を支払う決断を下す可能性があります。しかし、受け取った復号キーが不完全であった場合、重要なシステムはロックされたままで、復旧作業は滞り、組織は患者の健康は大きな危険にさらされます。混乱は長引くだけでなく、サイバー犯罪者に対して自分たちが主な標的であることを知らせることになり、将来的には、さらに攻撃的な侵害を受けるリスクが高まります。

残念ながら、悪意のあるサイバー攻撃は避けられないというのが現実です。警察庁によれば2024年上半期におけるランサムウェアによる被害報告件数は114件と高水準で推移していると発表されています。

サイバーレジリエンスを高めよ

こうした脅威に対抗するには、効果的なデータセキュリティ戦略を策定する必要があります。

企業にとって、サイバーレジリエンスは必要な経営課題の一つです。サイバーセキュリティは技術的な問題だけでなく、経営陣の意識と決断が企業のセキュリティ対策を左右します。経営者がセキュリティの重要性を理解し、積極的に関与することが、効果的なデータ保護戦略の実現には不可欠です。

欧米諸国と比較すると、サイバー攻撃を受けた場合の対応に関する罰則規定が限定的である日本では、経営者層のセキュリティに対する危機意識を上げていく必要があります。特にランサムウェアやサイバー攻撃のリスクが高まっている昨今、経営者がサイバーセキュリティに対する強いリーダーシップを取ることが求められます。

また、組織はサイバー攻撃が避けられないものという前提に立ち、サイバーレジリエンスを高める必要があります。企業が抱えるデータを健全な状態で保護し、サイバー攻撃を受けても迅速に業務を復旧して継続するには、重要なデータ資産を特定・保護、脅威を検知・対応し、攻撃から回復できる体制を整備する必要があります。これにより、経済的損失や評判の低下、法的ペナルティといった影響も軽減され、顧客や関係者への信頼性向上にもつながります。

サイバーリカバリー戦略も重要

加えて、サイバー攻撃やデータ侵害後に、企業が重要データとシステムを回復させるサイバーリカバリー戦略も重要です。

組織は、境界保護からデータ保護に重点を移すことで、クラウド、SaaS、オンプレミス環境全体で機密データを継続的に特定し、監視することができます。これにより、リアルタイムでデータの可視性と制御が確保され、機密データの所在を詳しく把握できるようになり、侵害が発生する前に適切なセキュリティ対策を講じるために必要な情報が得られます。またランサムウェア攻撃を受けた場合も、攻撃の範囲を迅速に特定し、素早く復旧作業を開始することができます。

昨今のクラウド環境における課題の一つは、システム内のデータがどこにあり、どのように保護されているかを把握することです。データセキュリティポスチャ管理 (DSPM) は、分散したデータの所在を把握することができます。

Research and Marketsによると、DSPM市場は主にAIの導入により拡大しているそうです。AIモデルが使用できるデータセットが増加し、大規模化するにつれて、機密データが権限のないユーザーに公開されるリスクが大幅に高まるとされています。

サイバー犯罪者が侵害された認証情報を悪用する事例が増えているため (APACにおける侵害の半数以上がユーザーのアクセス認証情報を標的にしています)、DSPMの重要性が一層高まっています。最小権限アクセスや権限の適正化といった原則を実施することで、組織は侵害による潜在的な損害を効果的に制限しながら、ビジネスの継続性を確保することができます。

AIに対抗するには

AIの導入が急速に進む中、組織は戦略を再考する必要があります。AIは計り知れない可能性がありますが、慎重に管理しないと機密データが危険にさらされます。AIを活用しようとする企業は、データ漏洩の防止と高度なAI駆動型攻撃の阻止という二重の脅威に直面しています。

こうした状況に対して、組織は火には火で対抗する必要があります。AI駆動型のセキュリティツールは、企業が脆弱性を積極的に検出し、攻撃戦略を予測し、重大な損害が発生する前に迅速に脅威を軽減するのに役立ちます。AIに疑わしいアクティビティの継続的な監視や異常検出をサポートさせることで、データリスクの軽減に活用できます。

さらに、AIをセキュリティ運用 (SecOps) チームにも展開することで、複雑な攻撃を解読し、機密データへの露出を制限するための実用的な手順を提供することもできます。さらに、AIコパイロットは、攻撃後の回復を加速するための基準となる復旧計画と段階的なガイダンスを提供できます。

ただし、サイバー攻撃は「発生するかどうか」ではなく、「いつ発生するか」が問題です。組織は、広範囲にわたるサイバー攻撃によるダウンタイムの長期化や収益損失に悩まされているため、業務の中断を最小限に抑えながらサイバーインシデントから迅速に回復できる支援をしてくれるパートナーが必要です。 組織は、攻撃対象領域を最小限に抑えたサイバーレジリエンスを中核に組み込む必要があり、それを後回しにしてはいけません。そうすることで、サイバー攻撃の脅威により進捗を妨げられることなく、自信を持って目標を追求することができるのです。