近年、急速に進化を遂げるAIはさまざまな場面での活用が進められている。サイバーセキュリティの領域においても、攻撃側、防御側の双方にAIの進化は大きな影響をもたらしている。この記事では、AIの進化がセキュリティ対策に及ぼしている影響について、脅威と対策それぞれの面から解説する。
AIとは
AIとは「Artificial Intelligence」の頭文字からなる略語であり、日本語では「人工知能」と訳される。人工知能とは文字通り、「人が持つ知能を人工的に再現するもの」であるが、この言葉が指す範囲は広い。
ChatGPTに代表される生成AIの登場による現在のAIブームは第4次AIブームと呼ばれ、これまでにも3回、AIがブームとなった時期があった。AI黎明期の第1次AIブームは1960年代に起こり、エキスパートシステムに期待が集まった第2次AIブームは1980~1990年代であった。そして、2006年頃からの第3次AIブームで、その火付け役として注目が集まったのがディープラーニングと呼ばれる技術だ。
ディープラーニングはAIの1分野である機械学習の手法の1つだが、大量の並列処理を得意とするGPU(画像処理装置)の急激な進化やインターネット上のデータの爆発的増加、加えて誤差逆伝播法を用いた深いニューラルネットワークの効率的な学習方法が確立したことにより、精度が大きく向上した。
2012年に物体認識の精度を競う国際コンテスト「ILSVRC」において、ディープラーニングが2位を大きく引き離す認識率を達成し、一躍注目を集めることとなった。その後、ディープラーニングをベースとしたAIは急速に発達し、画像認識の精度向上に伴い、さまざまな分野で活用されるようになっていった。
中でも近年、注目を集めているのが、生成AIと呼ばれる分野だ。生成AIは、文字通り新たな画像や文章などを生成するAIのことを指す。生成AIの代表として知られるのが、テキストから画像を生成する「Stable Diffusion」と、会話形式で適切なプロンプト(指示文)を与えることでその答えとなる文章を生成する「ChatGPT」だろう。
これらの技術は2023年以降、実際のビジネスの現場にて実証実験が進んでおり、こうした動きが第4次AIブームと呼ばれるようになっている。
サイバーセキュリティとAIの関係
さまざまな分野で活用されているAIは、サイバーセキュリティ分野に関しても大きな影響をもたらすようになっている。
AIは例えるなら、切れ味の鋭いナイフのようなものであり、使い方次第で世の中に対して危険を与える存在にも、世の中を安全にする存在にもなり得る。サイバーセキュリティの領域においては、サイバー攻撃を行う攻撃側と、その攻撃からシステムを守る防御側のそれぞれが、AIの活用によってより高いレベルに到達することが可能になると想定されている。
AIによるサイバー攻撃の脅威
まずは、攻撃側について考えてみよう。AIを悪用することで脅威が増大するサイバー攻撃としては、以下のようなものが挙げられる。
ディープフェイクによるなりすまし
ディープフェイクとは、AIによって自らの声や顔を別人のものに変換する技術である。最近は、音声によるなりすましであるビッシング詐欺において、ディープフェイクを使って他人の声色になりすますといった事例や、同様になりすました偽動画を用いて詐欺を働く事例も実際に起こっている。
パスワードクラッキング
パスワードを破るための攻撃手法としては、従来から辞書攻撃やブルートフォース攻撃などが知られている。パスワードの文字数や文字の種類を増やすことで、これらの攻撃ではパスワードを破られる可能性が低下する。しかし、AIを悪用したパスワードクラッキングツールを使用することで、一般的なパスワードは短時間で突破されてしまう懸念が生じている。過去に流出したパスワードをAIが学習することで、解読の精度が高まるのだ。
AIファジング
ファジングとは、ソフトウェアテストの手法の1つで、ファズ(fuzz)と呼ばれる通常想定されていない「不正データ」、「予期せぬデータ」、「ランダムなデータ」を対象の製品・システムに与えて意図的に例外を発生させ、潜在的なバグ・脆弱性を検出する手法だ。このファジングはAIを活用することで、より効率良くバグや脆弱性を見つけ出すことが可能となる。攻撃側が悪用することで、短時間で脆弱性を見つけ出し、ゼロデイ攻撃を行うことが見込まれている。
機械学習ポイズニング
最近のセキュリティ製品には、機械学習を用いてマルウェアを検出する機能を備えたものも少なくない。ポイズニングとは、AIの判断を誤らせるようなデータを入力することであり、セキュリティ製品の機械学習の判断を狂わせることを狙う。
フィッシングメール
生成AIを使ってフィッシングメールの文面を自動生成、あるいは自動でやり取りをさせることで、より巧妙で見分けが付きにくいフィッシング詐欺を仕掛けることが可能となる。
AIによって防御側も強化される
AIにより脅威が増したサイバー攻撃に対処するためには、防御側もAIを活用することが求められる。防御側の主なAI活用例を以下に挙げていく。
機械学習によるマルウェアの検出
既知のマルウェアの特徴を抽出して学習させていくことで、未知のマルウェア検出を可能にする。最近はディープラーニングを活用することで、より精度の高いマルウェア検出を実現している。
ログの監視・解析
過去の膨大なセキュリティログから、平時の特徴と攻撃を受けたときの特徴をAIに学習させることにより、取得した新しいログから攻撃やその兆候をいち早く検知することが可能になる。
トラフィックの監視・解析
ログと同様に、ネットワークトラフィックを常に監視し、攻撃時の特徴をAIに学習させることで、通常とは異なるトラフィックパターンを検出した場合、いち早くその対処や報告を行うことが可能になる。
ペネトレーションテスト
AIを利用することで、脆弱性を発見するペネトレーションテストをより効率良く行うことが可能となる。実際にネットワークに接続し、システムに攻撃を仕掛けて侵入を試みることで、未知の脆弱性を攻撃される前に見つけ出す可能性が高まる。
AI時代に求められるセキュリティ対策とは
先述したように、攻撃側、防御側の双方でAIの活用が進められている。この状況はいわば、矛と盾それぞれが一様に強化されていくようなものだと言える。こうした状況下において、サイバー攻撃に対処していくためにも、改めて以下に示すような基本的な対策の徹底が求められる。
OSやアプリを最新にアップデートする
OSやアプリを常に最新のものへアップデートすることは、もはや基本中の基本の対策となる。アップデートを速やかに行うことで、既知の脆弱性を解消できるため、サイバー攻撃の被害に遭うリスクを低減する。
パスワードを破られにくい強固なものにする
AIを活用したパスワードクラッキングツールでは、過去に流出したパスワードから利用頻度が高いパスワードを候補として生成していく。そのため、ランダムかつ15桁以上の長い文字列を採用するなどして、破られにくい強固なパスワードにすることが重要だ。
利用できるのであれば二要素認証を採用する
IDとパスワードだけによる認証だけでなく、指紋認証やSMS認証など別の要素を組み合わせた二要素認証を採用することで、認証を突破されるリスクを大きく減らせる。
不審なメールの添付ファイルは決して開封しない
AIを活用して生成されたフィッシングメールは非常に巧妙だ。今後はより精緻な件名、文面で送られてくることも想定しておく必要がある。そのため、少しでも不審に感じたら、メールに添付されたファイルは開封しないようにしたい。また、付き合いのある取引先や社内ではメールにファイルを添付せず、クラウドストレージやビジネスチャットなどのツール経由でファイルをやりとりするのも有効だ。
ヒューマンエラーが起こる前提で、ソリューションやツールなどを活用する
どんなに注意していても、必ずヒューマンエラーを起こしてしまうのが人間というものだ。ヒューマンエラーが起きることを前提にして、ソリューションやツールでフォローアップできるようなセキュリティ体制を構築することが肝要だ。
こうしたセキュリティソリューション、ツールの中には、先述のようにAIを用いているものも増えてきている。そのような高度なセキュリティソリューション、ツールを導入することは防御を固める一助となるだろう。ただし、こうした対応はいたちごっこの側面があることも否めない。そのためにも、万一リスクが現実のものとなった場合に備え、被害を最小限にとどめるための対策を並行して進めていくことも重要だと言えるだろう。