総務省が「AIを守る／AIで守る」の2視点で進めるセキュリティ政策　生成AIで拓く新たな防御の可能性

AIを悪用する攻撃者……総務省が先導する「AIで対抗する」アプローチ

　AIに対する攻撃とともに急増しているのが「AIを用いた攻撃」だ。特に、生成AIの普及にともなってフィッシング攻撃は爆発的に増加しており、2022年から2023年の間に悪意あるフィッシングメール全体は1265％も増加。なかでも認証情報を狙ったものが970％近く増加しており、2024年5月には世界の不審メール7億通のうち8割が日本を標的にしていたという報道も見られる。

　「AIがフィッシング攻撃の質と量を大きく変えています。ある研究によれば、AIが生成したフィッシングメールの成功率は人間が作成したものとほぼ同等である一方、情報収集から送信までのプロセスを自動化できるため、攻撃コストは従来比で95％以上も削減できるという結果も出ています。従来は高度なスキルや資金を必要としていた攻撃が、AIを使えば誰でも簡単に、大量に展開できるようになり、攻撃の裾野が広がっているのです」（中村氏）

　また、マルウェアの生成においてもAIは強力なツールになっている。大きな注目を集めたのが、ハッカー集団である「APT28」がウクライナ政府への攻撃時に利用した新種のマルウェア「LAMEHUG」だ。これはQwenを用いて生成されており、感染後に攻撃コマンドを動的に生成するという特徴をもつ。この事例によって、マルウェアコードの生成、フィッシングによるマルウェアの配布、感染後の情報窃取といった一連のプロセスをすべてAIで実行可能であることが示された。

　一方で、AIが防御側にとっても強力なツールだとして、中村氏は次のように語る。

　「AIは膨大なログを解析したり、リアルタイムで異常を検知したりすることに役立つため、防御側にとっても優秀な“盾”になり得ます。情報セキュリティの専門家であるブルース・シュナイアー教授も指摘するように、AIは攻撃と防御の両方を強化する技術であり、既に不利な立場にある防御側にとっては均衡を取り戻す可能性を秘めているのです」（中村氏）

　セキュリティ対策にAIを活用する取り組みは総務省でも推進している。その一つがIoTボットネット対策におけるAIの活用だ。情報通信研究機構（NICT）によれば、2024年には1つのIPアドレスあたり平均13秒に1回の頻度で攻撃通信が観測されているという。特に目立つのがIoT機器を狙った攻撃で、Webカメラやルーターといった身近な機器が標的にされがちだ。

　IoT機器が乗っ取られると、大規模なDDoS攻撃に利用される恐れがある。攻撃者が感染させた数百・数千台の機器をボットネット化し、標的に対して一斉に通信を送りつけると、ネットワークやサーバーが処理能力を超えてしまい、サービス停止や社会的影響を招く。実際に監視カメラへの不正アクセスや自治体を狙った攻撃も確認されており、IoTの脆弱性が深刻な社会的リスクにつながっているとした。

　そこで、総務省はIoTボットネットの対策を多面的に進めている。具体的には、感染端末を指揮するコマンド＆コントロール（C&C）サーバーの通信を検知するために、電気通信事業者と協力してフロー情報を分析する実証を推進しているという。

　このC&Cサーバーの検知に機械学習が活用されている。既知のC&Cサーバーの特徴情報を教師データとして学習させ、電気通信事業者が収集している膨大な情報の中から未知のC&Cサーバーを自動的に検出する仕組みだ。従来の手法では拾えなかった情報まで広く検出可能で、月平均数十件程度のC&Cサーバーアドレスを取得でき、そのうち約3割は公開情報よりも早く検知することに成功していると中村氏は説明した。

　さらに生成AIを活用する動きも進んでいる。具体的には、生成AIによって学習シード情報（機械学習の基になるデータ）の生成を効率化し、検知モデルの精度を向上する取り組みがある。生成AIを活用することで、多様な情報源からのデータ収集や整理を自動化でき、C&Cサーバーの特定をより精緻かつ迅速に行えるようになるとした。最終的には、検知結果をもとに注意喚起などの対応オペレーションを高度化し、防御の実効性を一層高めていくことを目指しているという。

　中村氏は最後に、「生成AIは新しいリスクを生み出す一方で、防御のための強力なツールにもなり得ます。この両面を踏まえつつ、産・学・官で連携して安全安心なAI活用の実現を目指していきたいと思います」と決意を述べ、セッションを締めくくった。