AI型サイバー攻撃に対抗する方法：今すぐ始めるべし

AIを使ったサイバー攻撃は主流ではないが、いずれ犯罪者が活用するようになることは明白だ。こうした攻撃に対抗する方法とは何か。今すぐ始められることは何か。

≫ 2020年09月11日 08時00分公開

[Lee Howells and Yannis Kalfoglou，Computer Weekly]

　長い間、サイバー攻撃の悩みは「起きるか起きないかではなく、いつ起きるか」の問題だと考えられてきた。

　2018年には、クレデンシャルスタッフィング攻撃からランサムウェアに至る342件の侵害が行われ、28億の消費者データが漏えいし、推定損害額は6540億ドル（約69兆円）を超える。2019年には、漏えい件数が41億レコードに増加している。

　AI（人工知能）をサイバー攻撃の主要ツールに利用する手口はまだ主流になっていない。だがツールの利用や機能は拡大され、より高度になっている。やがてサイバー犯罪にAIが利用されるのは避けられない。そうした動きはサイバー攻撃の大規模化や高度化につながり、脅威を増大させる。

　AIはサイバー攻撃にさまざまな機会を与える。攻撃速度の向上や規模の拡大などの一般的なものから、属性や検出の難度化、信頼済みユーザーへのなりすまし、ディープフェイクなどの高度なものにまで広がるだろう。

　ジョン・サイモール氏とフィリップ・タリー氏共作のツール「SNAP_R」は、シンプルだが的確なAIベースの攻撃の例を提示する。

　AIが大量データを分析する能力は、特定の組織を標的として個別にそうした攻撃を作成できる可能性を高める。プロの犯罪者集団がAIを駆使すれば、組織のセキュリティ機能をしのぐ速度と完璧さでの攻撃が可能になる。

　ただし、同じ手法で立ち向かうことで、AIが解決策の一端を担える可能性もある。2016年、米国国防総省の国防高等研究計画局（DARPA）は「Cyber Grand Challenge」（CGC）を開催した。CGCは、世界初の（人間の介入が許されない）完全機械式サイバーハッキングトーナメントだ。これは、欠陥を推論してパッチを作成し、リアルタイムでネットワークに展開する自動防御システムを作成するための競技会だ。この種の戦闘AIをサイバー防御の一部に利用することは、今後一般的になっていくだろう。

　防御を強化する一つの手法として、機械学習の高度なパターンマッチング機能を展開する行動ベースの分析の利用が考えられる。

　データアクセスについての適切な同意があることを前提として、ストリーミング、機器、従来のITインフラから入手できる豊富なユーザー行動データを基に、ユーザーの行動の細かい実態を提供できる。

　特定の時刻にユーザーが使う端末（例えば午後10時に「iPad」を使う）、ユーザーが通常行うアクティビティー（午後10時に電子メールを処理）、ユーザーが対話する相手（午後10時にはテレビ電話はかけない）、ユーザーが通常アクセスするデータ（午後10時には共有ドライブにアクセスしない）といったことを判別できる。

　このような機能は、高度にトレーニングされた機械学習システムによってリアルタイムに構築、管理、更新することが可能だ。通常のパターンから逸脱するパターンを分析し、サイバー防御メカニズムの展開を促すアラートを起動する。

　行動データの活用は、従来型SIEMシステムでは慣例になっていた。ただし、AIはこれをさらなるレベルに押し上げる。適切な行動データの選択や、特定の脅威に合わせた時間やタスクのパターンのスライシングなど、事前に操作ルールを作成する必要はない。機械学習のアルゴリズムがこれを自動的に行う。この解決策では、周辺の行動のアクティビティーからデータポイントを取り込み、新たな脅威パターンの堅牢（けんろう）な証拠を提示することもできる。

　ある大手グローバル銀行は、ニューラルネットワークを使って銀行外への接続が正当か偽装かを予測している。偽装接続は、侵害した端末でスヌープウェア（訳注：主にモバイル端末で情報を盗むスパイウェア）を使って接続を試みるか、ドライブバイダウンロードサイトへのリンクを提示する。これらは通常、バンキング型トロイの木馬サーバ攻撃など、高度なbotネットを利用して起動される。

　ニューラルネットワークは、LSTM（Long Short-Term Memory）（訳注）を使って銀行によってトレーニングされ、URLやドメイン名を検証してその正当性を判断する。銀行は、27万を超えるフィッシングURLを使ってアルゴリズムをトレーニングし、botネットの検出などの攻撃に対する検出率を90％以上にしている。これは従来のサイバーセキュリティシステムを大きく上回っている。

訳注：RNN（回帰型ニューラルネットワーク）の一種で、時系列データによる分類や予測に適した手法。長期の傾向から今後の数値を予測する場合などに使われる。

　思い過ごしではなく、攻撃AIは遅かれ早かれ全ての組織が対策の準備に入らなければならない問題だ。対策の方法や機能を見直すなら今だ。手遅れになると、後からさかのぼって見返すしかなくなる。

　戦略を成功させるには、機能だけを開発して展開するのではなく、AIが組織にもたらす新しい対策をうまく生かせるように文化的なプロセスやガバナンスを変える必要がある。

TechTargetジャパントップセキュリティ