生成AIで攻撃者はさらに進化……防御側は使いこなせるか?
──攻撃者は、生成AIを活用して攻撃の手法や手順をさらに進化させていると耳にします。フーバーさんから見てどうでしょう?
フーバー氏:まだ攻撃の能力そのものが劇的に変化しているわけではないですが、攻撃頻度やスピードは確実に進化しています。生成AIによって弱点をより素早く特定し、迅速に攻撃を仕掛けられるようになりました。防御側は、それになんとか対抗しながら追いつこうとしている状況ですね。これは仕方ないことではあります。「防御側は常に正しくなければならず、攻撃側は一度でも成功すれば良い」とはよく言ったものです。
生成AIによる具体的な攻撃者側の変化としては、たとえばスピアフィッシングのような、よりターゲットを絞った攻撃が可能になったことが挙げられるでしょう。標的の情報を迅速に解析してプロファイルを作成し、パーソナライズされた巧みなメールを生成するなど、精度と速度を両立した攻撃を展開できるようになりました。生成AIが登場してそれほど経っていないですが、既に一般化してきている手法です。
──防御側は生成AIを上手く活用できないものでしょうか。
フーバー氏:できるはずです。攻撃者がやっているように、防御側もスピードと質を生成AIによって補えるでしょう。実際、Tenableでは、すべての脆弱性を評価し、プライオリティをつけて対策を講じるためのAI支援機能をユーザーに提供しています。今や世界中のほとんどの組織は、限られたリソースの中で対応しきれないほどの脆弱性に直面していることでしょう。しかし、AIを活用することで、時間が割かれていた業務を自動化し、人はより重要な作業に優先して取り組めるようになります。
──今後のAIと脅威の進化について、何か予測していることはありますか。
フーバー氏:一つ懸念しているのは、今後AIがさらに進化し、脆弱性を自動で特定できるようになることで、攻撃者の介入なしに完全自動での攻撃が可能になるというシナリオです。そうなれば、防御側でもAIを活用し、同様に自動的な防御行動をとることが求められるようになるでしょう。
──それが実現すれば、リソースの限られる防御側にとってはさらに苦しい戦いになりそうですね。何か良い打開策が見つかればいいのですが……。
フーバー氏:特効薬的なものを期待するのは、あまり現実的ではないですね。少なくとも、今のところは見つかっていません。
攻撃者は、ユーザーやパスワードの特定から、企業のITシステムへのアクセス権購入に至るまで、簡単に膨大な情報を手に入れることができます。防御側は、こうした事情や手口をすべて確認し、迅速に理解して対応していかなければなりません。正直、これは困難です。
そのため、防御側もAIを活用して、インターネット上の情報はもちろんのこと、犯罪組織について入手可能な情報、そして自分たちの内部のセキュリティ情報について、出来る限り網羅して収集できるようになればと。そうして攻撃者への理解を深め、いずれは防御側も迅速に、質の高い防御を実現できるようになることを期待しています。
──防御側は、攻撃者のアプローチに対して対策を打つものですから、やはり常に後手であることには変わりないということですね。
フーバー氏:おっしゃる通り、依然として攻撃者のほうが技術を使いこなすハードルが低く、有利になりやすいとは思います。最近のトレンドだと、Ransomware as a Service(RaaS:サービスとしてのランサムウェア)は良い例ですね。ランサムウェアのことをよく知らない人でも、サービスを購入するだけでランサムウェア攻撃ができてしまうわけです。ITシステムに侵入するためのアクセス権も販売されています。あるいは、組織に不満を持つ従業員を見つけて、報酬と引き換えにアクセス権を譲ってもらえるかもしれません。