ChatGPTに関わるインシデントは今後さらに増える
エムオーテックスは大阪で1990年に創業、IT資産管理、セキュリティ対策ツールのLANSCOPEの開発、販売、およびサイバーセキュリティのコンサルティングサービスやソリューション導入、運用監視サービスを展開している。同社の製品にはまず、組織の資産管理、内部統制対策、ウイルス対策をオールインワンで提供する「LANSCOPE Endpoint Manager」がある。
また「LANSCOPE Security Auditor」は、Microsoft 365の監査ログを収集し利用状況の可視化やインシデントにつながる操作の把握を可能とする製品だ。「LANSCOPE Professional Service」は、サイバーセキュリティの様々な領域に対し、セキュリティ診断などのサービスを通じサイバー攻撃などのリスクから組織を守る。
「LANSCOPE Cyber Protection」は、AIを活用し既知のものだけではなく未知のマルウェアからも防御し、EPPの「CylancePROTECT」とEDRの「CylanceOPTICS」をエムオーテックスのマネージドサービスとして提供している。これらのLANSCOPEブランドの製品、サービスを用い「顧客の安全と生産性の向上を支援します」と西村氏は語る。
ChatGPTに絡んだセキュリティインシデント
続いて西村氏は、最新のセキュリティインシデントの事例を紹介した。昨今、ChatGPTが大きな注目を集めている。これまで、オレオレ詐欺や国際ロマンス詐欺などに代表されるように、詐欺目的でメールなどを通して金銭を要求する類のサイバー犯罪は、日本語の壁があり日本ではさほど大きな被害はなかった。しかし「ChatGPTを使うことで日本語の壁をクリアし、フェイク画像のなりすましなどでも被害の恐れが増す恐れがあります」と西村氏は指摘する。
実際に、ChatGPTに絡んだインシデントも発生している。2023年3月には、韓国の製造メーカーにおいてChatGPTに社内の機密情報を入力してしまい、情報が外部サーバーに送信されるといった事例が発生している。またChatGPT Plusのユーザーの個人情報がChatGPT経由で確認できてしまったインシデントもあった。6月にはアカウントのハッキングがあり、ChatGPTのアカウント情報約10万件がダークウェブで販売されている。これらへの対策には、ChatGPTのやり取りや応答履歴を削除する必要があるほか、2要素認証なども推奨されている。
8月には許可していない回答が得られるケースもあった。これはOpenAIの脆弱性によるもので、本来システム側で制御している、許可していない回答が出てしまったものだ。ChatGPTに関連するインシデントはまだそこまで件数は多くないが「今後ますます増えると予測されます」と西村氏は語る。
BlackBerryの調査によれば、ITプロフェッショナルの約半数が、ChatGPTを用いたサイバー攻撃が今後1年以内に成功すると予測。また同調査では、世界中の組織の75%がChatGPTなどの利用を禁止するか禁止を検討している。
そしてエムオーテックスが5月に開催したChatGPTに関するセミナーでアンケートを採ったところ、既に約3割の企業がChatGPTを業務に使っており、利用ガイドラインなどを整備しているところもあれば、利用を禁止する組織もあったという。
エムオーテックスでも業務でChatGPTを利用しており、社員の7割程度が活用を開始している。Microsoft Azure OpenAI Serviceを採用し、データは自社で契約しているAzureの中だけに保管できるようにしているという。利用例としては、各種セキュリティ製品で検知したイベントログなどをChatGPTで分析し知見を得ている。「ログから瞬時に回答が得られ、かなり便利です」と西村氏。社内で生成AIを使うためのガイドラインも作成し、社内と外部のAIサービスをハイブリッドで活用している。
だが生成AIを利用している中では、様々な懸念も明らかになっている。たとえば隠れてChatGPTを利用する人がいたり、ChatGPTに間違って機密情報を渡したりするケースもある。エムオーテックスでは、これらはLANSCOPE Endpoint Managerで管理している。
「たとえば操作ログから利用者を把握したり、ChatGPTの書き込みログを可視化したりしています。またChatGPTの誤った解答を正しいとして受け取ってしまうことや、著作権の扱いに関してはガイドラインや定期的な社内教育で対応しています」(西村氏)
ChatGPTのような生成AIに関しては、サイバー攻撃への悪用も懸念される。これに関してはLANSCOPE Cyber Protectionを用い、AIを活用し防御するという。このように、ChatGPTに関する新たな形でのセキュリティインシデントが出ているが、引き続きクラウドサービスやサプライチェーン攻撃、ランサムウェア被害なども多く、これらは近年と変わらない状況だという。その上で西村氏は「攻撃が高度化していることもあり、防御が難しい実態があります」と語る。
現在のセキュリティ対策は後追い対策のEDRが主流に
ゼネラルリサーチの調査によれば、現状は8割ほどの組織がセキュリティ対策をしっかり実施できていると回答。一方で2割は対策が不十分で、具体的にはログ解析ができていないか難しいとの回答が多い。また、クラウドサービスでは設定項目が多すぎて手が付けられないといった回答など、これらの項目が監査ログの定期的なチェックや運用ができない理由となっている。
調査によれば、監査ログの定期的なチェックや運用ができていないことで、約5割がインシデントにつながったと回答。定期的なチェックの頻度は1年に1度が最も多く44%で、1~3ヵ月に1度が27%となっている。不安のある設定は外部とのファイル共有で、次に多要素認証といった認証関係、ゲストユーザーの設定と続く。
近年では取引先、委託先、関連企業などを狙うサプライチェーン攻撃により、業務が停止するようなインシデントが多数発生している。またランサムウェア被害では、約7割でサプライチェーンが多い業種が狙われている。セキュリティ投資額に関しては妥当との回答が約3割で、7割を超える企業で投資が不十分と捉えている。
ランサムウェア攻撃が増えている理由として、ビジネスモデルが構築されランサムウェアを作成する人、それを使い攻撃をする人と役割分担が行われ、それぞれの攻撃精度が上がったことで、結果として被害が大きくなっている現状がある。そしてマルウェアが作成されるスピードは1日に100万個以上で、同じマルウェアが使われる割合は約0.5パーセント以下とも言われている。新規のマルウェアが日々作成されており、そのため現在のセキュリティ対策は後追い対策のEDRが主流となっている。
EDRは約6割で導入経験があり、効果はマルウェア感染状況の把握や、実際に感染原因が特定できたとの回答が上位に来る。またEDRの改善要望には価格、誤検知の多さが挙がる。最も多い不満は、検知だけで駆除まで行わないという点が4割に達する。
「調査を進める中で、EDRの導入前、導入後に大きなギャップが発生していると気づきました」と西村氏。たとえば誤検知が少ないからと導入したのに、運用で困ったことで最も多い回答は「誤検知が多い」となっている。7割でEDRの継続運用の意向があるが3割は迷っており、その理由は費用対効果や誤検知などの運用面の課題も挙げられている。
EDRの運用が難しいのは、たとえばランサムウェアがPCにダウンロードされるとほんの数秒で暗号化を開始し、数分で他の端末に水平展開することがある点だ。マルウェアは使い回しされないので一般のウイルス対策ソフトには未知のマルウェアとなり、シグネチャベースの製品では検知が難しいことも挙げられる。
さらに最近はファイルレスなどWindowsの標準システム経由の侵入もあり、ウイルス対策ソフトでは止めるのが難しくなっている。また一般的なEDRではファイルやプロセスの振る舞いを見て検知するが、「数秒で暗号化を開始するものに関しては、検知が難しくなっています」と西村氏は指摘する。
原因の特定から復旧までを一気通貫に対処する製品、サービスを用意
これらの状況に対し、エムオーテックスでは原因の特定から復旧までを一気通貫に対処する製品、サービスを用意している。それがEPP製品であるCylancePROTECTと、EDR製品であるCylanceOPTICSだ。両製品ともAIを活用し未知のマルウェアを99%予測し検知、隔離が可能となっている。パターンファイルやシグネチャは使用せず、日々のアップデートもない。端末のスキャンも必要ないので、負荷が小さいのが特長だ。CylanceOPTICSはCylancePROTECTのオプションに位置づけられ、AIを活用してファイルやプロセスの挙動からマルウェアを自動的に封じ込める。これにより多層防御を実現し、100%に近い防御が実現できる。
CylanceのAIでは、正常なファイルとマルウェアを10億以上収集しクラウド上で学習し、特徴点を抽出し数値化する。1つのファイル当たり最大700万点の特徴点が抽出され、それを数値化した結果を数理モデルとして各端末に配置をする。そして検査対象のファイルと700万点の特徴点を照合し、マルウェアの可能性を導き出すというものだ。
Cylanceは検知力の高さが顧客から評価されており、端末負荷が軽いことも導入の決め手となっているという。機能や性能に関する評価は10点満点で平均7.4点とかなり高く、PCの動作が軽いことも7.5点と高い。これらからも「導入目的と運用後の成果がきっちりと果たされています」と西村氏。既存のウイルス対策ソフトと比較して、約4割で運用が楽になっている。
ただ誤検知は5.3点とそれほど評価は高くないが、これは動的検査機能を有効にするとアラームが多くなるからだろうとのこと。とはいえ誤検知率は、他メーカーの製品よりも外部評価で少ない傾向にあるという。
今後、セキュリティ製品の選択ポイントとしては、事前防御でEPPを優先するか、検知目的のEDRを優先するかが挙げられる。一般的にEDRが主体になっているが、各メーカーともEDRだけではなくEPPとセットで提供するケースが多い。メーカーにより、どちらに強みがあるかなど違いがあるため、それぞれの要求に合わせて選ぶことになるだろう。
そしてもう1つ重要なポイントが、自社で運用するか外部に任せるかだ。自社運用なら画面の見た目や運用性が評価ポイントとなる。外部に任せるなら操作性よりSOCメンバーの質や実績、対応やレスポンスなどのサービス品質が重要となる。
エムオーテックスには「CylanceGUARD」があり、これはEPPのCylancePROTECTとEDRのCylanceOPTICS、そしてオンボーディングのThreat Zero、24時間365日のSOCサービスを1つのパッケージとして提供するものだ。EPPが主流のCylanceのソリューションでは、マルウェア検知率が非常に高いのが1つの特徴だ。また充実したサポート体制があり、EDRの対応では他メーカーと比べ非常にレスポンスが速くなっている。さらにMDRサービスではGUARD専用のポータルがあり、確認の必要なアラートだけに絞り込んで通知できるのも大きなメリットとなる。
CylanceGUARDで対応するメンバーには、サイバーセキュリティの修士号取得者や世界的なSOCイベントの優勝者などが数多くいる。また、平均対応時間が9分と迅速で、これにはイベント通知だけでなく調査結果や対処方法も含まれており「業界最速のスピードを誇っている」と西村氏は自信を見せる。その上で西村氏は「Cylanceの製品は無料体験キャンペーンも用意しているので、その凄さを是非一度体験して欲しいです」と語り、講演を締めた。
