セキュリティ業界で加速する“Shift Left”──西尾素己氏が語る「ガバナンス回帰」が必要な理由

「0.5デイ攻撃」の時代に突入、従来のパッチマネジメントでは間に合わない

　攻撃者がAIを活用するようになったことも大きな問題だ。AI技術が進歩したことで、従来は人間による、いわば職人技で行われてきたような様々な攻撃プロセスが自動化・高速化されつつある。

　「多くのソフトウェア製品では、攻撃者によるリバースエンジニアリングを阻止するためにコードが難読化されています。これを読み解いて脆弱性を抽出するには、極めて高いスキルが必要とされていました。しかしAIを使えば、難読化されたコードを短期間のうちに読み解いて脆弱性を炙り出せるのです。そのため『コードの難読化』というセキュリティ対策は、現在ではほぼ意味を持たなくなってきています」（西尾氏）

　同じように、攻撃者がソフトウェアのバイナリファイルを動的解析して脆弱性を探索する作業も、AIの導入によって劇的に高速化されている。加えて、脆弱性を修正するためにベンダーから提供されるパッチファイルを解析する作業にも、AIが導入されているという。

　「パッチファイルには、『ここが弱かったので、こう修正しました』という情報が含まれています。したがって、これを解析することで、攻撃者は最新のパッチが当たっていないバージョンのソフトウェアに、どのような脆弱性があるか知ることができるのです。この解析作業も、かつては人間による職人技に頼っていましたが、今ではAIによって誰もが短期間で実行できるようになっています」（西尾氏）

　これにより、市販のソフトウェア製品やOSSに対する脆弱性の探索作業が極めて容易となった。そして、従来は大企業や国家機関をターゲットとする「高度な攻撃」とされてきたゼロデイ攻撃の実行ハードルが、急速に下がってきている。その結果、今や大企業だけでなく中堅・中小企業もゼロデイ攻撃の標的となる時代になった。

　こうした状況を受けて、現在多くの企業でパッチマネジメントの在り方を根本から見直す必要が生じていると西尾氏は指摘する。パッチが公開された脆弱性を突く攻撃を「ワンデイ攻撃」と呼ぶが、従来ならば、攻撃者がパッチの解析に着手してから、攻撃を実行するまでには数ヵ月～半年ほどを要した。しかし今では、AIの活用によって解析作業が一気に高速化されたことで、パッチが公開されてから1週間以内、場合によってはその日のうちにワンデイ攻撃がやって来ることもあるという。

　つまり、テストに長期間をかけてパッチの適用可否を判断する従来のやり方では、その間にワンデイ攻撃を受けてしまう可能性が高まっているのだ。西尾氏はこうした状況を「0.5デイ攻撃の時代」と表現。ゼロデイ攻撃やワンデイ攻撃のリスクがかつてないほど高まっていることを前提としたパッチマネジメントの必要性を強調する。