ポストコロナの世界でAIはサイバーセキュリティをどのように自動化していくのか

2020/10/15 Shuman Ghosemajumder

ポストコロナの世界でAIはサイバーセキュリティをどのように自動化していくのか

数十年にわたって社会のデジタル化が進むなか、リモートワークの広がりによりその流れが加速していることは、今では誰にとっても明らかだ。

派生的な動向というのは、ほとんどの人にとって、その動向を認識するまでに時間がかかるものである。そうした動向の例として、オンラインアプリケーションへの依存度が高まることによりサイバー犯罪が以前と比べてはるかに儲かる犯罪になりつつあることなどが挙げられる。ここ数年、オンラインでの窃盗の件数は実際の銀行強盗の件数を大きく上回っているWillie Suttonはかつて、「お金がそこにあるから」銀行強盗をしたと語っているが、もし彼がほんの10年前にその発言をしたのであれば、彼は間違いなくサイバー犯罪者になり、銀行、連邦機関、航空会社、小売業者のウェブサイトを狙っていただろう。2020年版Verizon社データ漏洩調査レポートによると、すべてのデータ侵害の86%が金銭的動機によるものである。今日では、社会活動の多くがオンラインで行われているため、誰もがサイバー犯罪の被害に遭う可能性があるのだ。

 

残念ながら、社会はサイバー犯罪者の急速な増加に追いついていない。何か特別なことがあった場合だけ標的にされるリスクが発生すると考える人がほとんどだが、サイバー犯罪は対岸の火事ではない。今日、サイバー犯罪者はすべての人を標的にしているのだ。人々が見逃していることは何か。端的に言うと、サイバー犯罪の規模を理解するのは困難であるということだ。The Herjavec Groupの予測によると、世界のサイバー犯罪対策には、2015年には3兆ドルだったものが、2021年までに年間6兆ドル以上のコストがかかるだろうということであるが、その数字はいささか抽象的である。

 

この問題を理解するのには、次のように考えるといいだろう。将来、私たちが使用するほぼすべてのテクノロジーが常時攻撃を受けることになり、私たちが信頼を置く主要なウェブサイトやモバイルアプリのすべてが、すでに攻撃対象となっているのだ。

 

これを理解するには、私たちの思考に映画「マトリックス」のような根本的な変化が必要だ。仮想世界で起こる現実を受け入れ、現実世界の法則を打ち破る必要がある。たとえば、現実世界では同じ日に市内のすべての家に強盗に入ることは不可能だが、仮想世界ではそういったことが可能であるばかりか、全国すべての「家」で試みられているのである。私が言いたいのは、サイバー犯罪の脅威が広がっていくことだけが必ずしも将来の大きなハッキングにつながるということではない。私たちが日常目にする主要なウェブサイトのすべてで繰り返されている活動について述べているのである。最大手の銀行や小売業者では、ユーザーのアカウントに対して毎日何百万もの攻撃を受けている。Googleが数日でほとんどのウェブをクロールできるのと同じように、サイバー犯罪者は数日で、地球上のほぼすべてのウェブサイトを攻撃しているのだ。

 

今日最もよく見られるウェブ攻撃は、クレデンシャルスタッフィングと呼ばれるものである。これは、サイバー犯罪者がデータ流出によりパスワードを盗取し、ツールを用いて他のウェブサイトの一致するすべてのアカウントに自動的にログインしてアカウントを乗っ取り、資金やデータを盗む攻撃のことだ。こうしたアカウント乗っ取り(ATO: Account Takeover)イベントが発生する原因は、人々が複数のウェブサイト間でパスワードを再利用することが多いことにある。過去10年間に渡る膨大なデータ流出はサイバー犯罪者に恩恵をもたらし、サイバー犯罪は確実に成功すると言えるまでになった。大まかに言えば、100人のユーザーのパスワードを盗むことができるとすると、どのウェブサイトでパスワードを試行したとしても、誰かしらのアカウントのロックを解除できてしまうということだ。データ流出により、サイバー犯罪者は何十億人ものユーザーパスワードを手にしているのである。



出典:金融サービスへの攻撃(2017~2019年、F5 Security Incident Response Team)

サイバー犯罪は一つのビジネスであるというのが実情であり、ビジネスの成長は規模と効率が鍵を握っている。テクノロジーにより大規模な自動化が実現しているため、クレデンシャルスタッフィングは実行可能な攻撃のほんの一例にすぎない。

 

ここで人工知能(AI)が登場する。

 

基本的に、AIはデータを使用して予測を行い、アクションを自動化する。この自動化は、良い目的にも悪い目的にも使用できる。サイバー犯罪者は合法的な目的で設計されたAIを手に入れて違法な計画に使用する。クレデンシャルスタッフィングに対して最もよく利用される防衛策であるCAPTCHAについて考えてみよう。数十年前に発明されたCAPTCHAは、人間は簡単にできるがボットには難しいこと(例:歪んだテキストを読む)を課題として提示することにより、不必要なボットから保護しようと試みるものだ。残念ながら、サイバー犯罪によるAIの使用がこれを覆した。Googleが数年前に行った調査によると、機械学習ベースの光学式文字認識(OCR)テクノロジーにより、CAPTCHAで出される課題の99.8%を解決できた。このOCRは、CAPTCHAを克服した他の技術と同様、サイバー犯罪者がクレデンシャルスタッフィングツールに導入することによって攻撃手段となってしまうのである。

 

サイバー犯罪者がAIを使用する方法は他にもある。パスワードの解読を高速化するAIテクノロジーはすでに出来上がっており、機械学習を使用して攻撃ターゲットの特定や、サイバー犯罪のサプライチェーンおよびインフラストラクチャーの最適化が可能になっている。サイバー犯罪者は数百万のトランザクションを伴う攻撃をわずか数分で遮断および再開でき、その応答時間の圧倒的な速さが見て取れる。彼らは完全に自動化された攻撃インフラストラクチャーでこれを行い、正当なビジネスの世界でもよく用いられるDevOpsと同じ手法を用いる。これは驚くべきことではない。このような犯罪システムの運用は主要な商用ウェブサイトの運営と似通っており、サービスとしてのサイバー犯罪は現在、一般的な「ビジネスモデル」となっているのだ。サイバー犯罪全体にわたってAIが投入、活用されることで、犯罪が大規模化し、防御が困難になっていくだろう。

 

では、このような自動化された攻撃から身を守るにはどうすればよいだろうか。考えられる唯一の答えは、こちら側で防御を自動化することだ。この方法が漸次的にどう進化していくのかについて、以下に示す。



現時点では、ロングテール状態の組織はレベル1に、洗練された組織は通常、レベル3から4の間に位置付けられるが、将来的にはほとんどの組織がレベル5になる必要がある。業界全体で成功するには、企業は過去の古い考え方を進化させていく必要がある。「War for talent」(人材育成競争)という考えを持ち巨大なセキュリティチームを雇用している企業は、データサイエンティストの雇用にも力を入れ、AIを用いた独自の防御策の構築も始めている。この現象は一時的なものかもしれない。企業の不正防止チームは10年以上機械学習を使用しているのに対し、従来の情報セキュリティ業界は、5年前にはAIについて意地の悪い皮肉を言っていた。今では大きな興味を持っている状況に転じているものの、これは過剰な軌道修正であるかもしれない。

しかし、暗号化の専門技術チームを雇用する企業がいないのと同じで、大規模なAIチームを雇用することが正しい答えになる可能性は低い。この方法では、絶えず進化するサイバー犯罪の攻撃から防御するために必要な有効性、規模、信頼性には到底届かない。最良の答えは他にある。それは、使用するセキュリティ製品を組織のデータと統合してAIでより多くのことができるようにすることである。そうすれば、誤検知や検出漏れ、およびAIから価値を得るための難題について、ベンダー側に責任を負わせることができる。結局のところ、AIは特効薬ではなく、単に防御のためにAIを使用するだけでは十分ではない。AIを効果的に使うべきである。

 

効果についての責任をベンダー側に負わせる最善の方法は、ROIに基づいてベンダーを判断することである。サイバーセキュリティが分析と自動化の問題になっていることの有益な副作用として、当事者全員のパフォーマンスをより詳細に測定できることが挙げられる。防御AIシステムが誤検知を起こすと顧客からの苦情が増え、検出漏れがあればATOが増える。また、サイバー犯罪者はAIを用いた独自の戦術で攻撃を繰り返すため、企業が追跡できる中間指標は他にも多く存在する。

 

ポストコロナのインターネットでは、良いAIと悪いAIとの間で映画「ターミネーター」さながらのバトルが巻き起こりそうだと聞いて驚いたなら、良いニュースと悪いニュースをお知らせしよう。悪いニュースは、私たちはすでにそのバトルにほぼ突入しているということだ。たとえば、主要な小売サイトでは現在、約90%のログイン試行が通常、サイバー犯罪ツールから行われているという。

 

しかし、それは同時に良いニュースなのかもしれない。世界はまだ、明らかに崩壊したわけではないのだから。世界が崩壊していないのは、業界が正しい方向に進み、迅速に学習し、多くの組織がすでにAIベースの効果的な防御策を講じているからだ。しかし、技術開発、業界教育、さらには防御策の実践の話をすれば、まだまだ課題は山積みだ。そして、その場しのぎの防御では、サイバー犯罪者がコンピューターの前で過ごす時間を増やすことになるということも忘れてはいけない。

Shuman Ghosemajumderは現在、F5AIグローバルヘッドを務めており、これまでにShape Security2020年にF5により買収)のCTOGoogleTrustSafetyチームでのグローバル製品責任者を歴任。

 

この記事はVentureBeatのShuman Ghosemajumderが執筆し、Industry Diveパブリッシャーネットワークを通じてライセンスされたものです。ライセンスに関するお問い合わせはlegal@industrydive.comにお願い致します。

※本記事の文中リンクは英語のページに遷移します。

Related Contents