AIが初めて自律的に攻撃を開始

LuckyStep – shutterstock.com

CISOやセキュリティ担当者は、サイバー攻撃が人間によるAIツールの利用ではなく、AIシステム自体から発生するようになることを以前から予想していました。この懸念は新たな研究結果によって現実のものとなりました。

AIが攻撃者を置き換える――その影響

Anthropicの最新の脅威インテリジェンスレポートによると、AI支援の開発ツールClaude Codeがすでにネットワークへの侵入やデータ窃取に悪用されたことが明らかになっています。このような生成AIによる自動化攻撃の標的となったのは、先月だけで医療機関を含む17の組織にのぼります。

「これらの攻撃は、AIが技術的アドバイザーとしてだけでなく、実際のオペレーターとしても機能するという、AI支援サイバー犯罪の憂慮すべき進化を示しています」と、AIベンダーはレポートで述べています。これにより、個々の脅威アクターが手動では困難な、より巧妙で複雑な攻撃が可能になります。

具体的な事例では、Anthropicによると、攻撃者側でこれまでにないレベルのAI統合が見られたといいます。「Claude Codeは、攻撃者が環境を偵察し、脆弱性を突き、ネットワーク内を横移動し、データを流出させるのを支援しました。」

また、Anthropicだけでなく、セキュリティベンダーのESETもほぼ同時期に、初のAI支援ランサムウェア「PromptLock」に関するレポートを発表しました。「このマルウェアは証明実験的なもので、まだ実際には観測されていませんが、公開されているAIツールの悪用がランサムウェアや他の脅威の加速装置となりうることを、私たちの発見は示しています」とESETの研究者はブログで述べています。

SANS Instituteの研究責任者Rob Leeは、これを根本的な変化と捉えています。「これにより、個人やごく小規模なグループでも被害を拡大でき、ランサムウェア攻撃の件数をこれまでにないレベルまで対数的に増やすことが可能になります。」

サイバーセキュリティコンサルタントのBrian Levineもこの動向を批判的に見ていますが、同時にチャンスもあると指摘します。「AIはサイバー攻撃を容易にするかもしれませんが、痕跡を消したり、キーボードの背後にいる人物の身元を隠したりすることにはあまり特化していません。これは、AIに全面的に依存するサイバー犯罪の素人を少なくとも捕まえるチャンスになるかもしれません。」

さらにLevineは、純粋なAI支援サイバー攻撃が犯罪の地下世界で主流現象になると予想しています。「サイバー犯罪の世界はビジネスの世界を映し続けています。近いうちにサイバー犯罪者も自分の“仕事”を心配しなければならなくなるでしょう。過去数年、犯罪ハッカー集団はますます専門化し、さまざまな“職種”を担ってきました。今後これらの役割はAIに取って代わられる危険性があります。」

さらに懸念すべき点は？

Info-Tech Research Group UKのエグゼクティブカウンセラー、Phil BrunkardはAnthropicのレポート自体は概ね肯定的に評価しつつも、警鐘を鳴らします。「Anthropic――そして今やOpenAIも――自社プラットフォームが悪用されていることを透明に公表しているのは注目すべきことですが、依然として受動的な対応です。他のベンダーがこの例に倣うかは疑問です。特に、効果的な管理策を講じていないと自覚している場合はなおさらです。大手AIベンダーが自社のコードを標的型サイバー攻撃に悪用されないよう、どのような対策を講じているのか明確な回答が必要です。」

セキュリティ担当者は、純粋なAI支援サイバー攻撃への備えを万全にすべきです。Moor Insights & Strategyの主任アナリスト、Will Townsendは次のような対策を推奨しています。「レッドチーム演習、プロンプトインジェクション対策、入力検証、脅威インテリジェンスの統合などが有効な防御策です。さらに、DNSセキュリティコントロールを導入し、疑わしいドメインやAIが組み込まれたマルウェアペイロードを積極的に特定することも推奨されます。」

同じくMoor Insights & Strategyのアナリスト、Bill CurtisはCISOに対し、最新の脅威動向に注目するよう勧めています。「量子セキュリティに取り組む企業は、より差し迫ったAI支援攻撃の問題を見落とさないようにすべきです。これらの脅威の勢いを削ぐ一つの方法は、重要な業務システムをネットワークから切り離すことです。エアギャップ型データセンターは現時点では大きなトレンドではありませんが、今後注目されるかもしれません。」（jm）