ランサムウェア分野の第一人者によると、ここ数カ月でアンダーグラウンドマーケットで利用できるAI活用型サイバー犯罪ツールが爆発的に増加しているといいます。
Halcyon の Ransomware Research Center でシニアバイスプレジデントを務める Cynthia Kaiser 氏は、元FBI サイバー部門副局長であり、ホワイトハウスのアドバイザーも歴任した人物です。6月2日のInfosecurity Europeに登壇した同氏は、政府での経験を通じて、サイバー脅威への対処が「私たちの時代における国家安全保障上の最大の挑戦」であると実感したと語りました。
「世界で最も権力を持つ人々の目に恐怖の色を見るとき、それが何千マイルも離れた場所でキーボードを叩く人間の仕業によるものだと知っていると、背筋が凍ります」と、参加者に向けて語りかけました。
Kaiser 氏と Halcyon のチームはすでに、サプライチェーンの「専門化・効率化・分業化」に依存するサイバー犯罪のアンダーグラウンド構造をマッピングしていました。
しかしさらに、AI活用ツールがどのような影響をもたらすかを検証しようと、4,000件のエントリ、77のTelegramチャンネル、20のダークウェブフォーラム、5つの専門アンダーグラウンドマーケットを対象とした分析を実施したと説明しました。
その結果、AIに言及する投稿数が12月のわずか38件から2月には1,486件へと急増していることが判明し、チームは衝撃を受けました。増加率は3,810%超に上ります。
関連記事:Infosecurity Europe — 脅威アクターがAIを悪用してEDR回避ツールを構築
さらに注目すべきは、こうしたサービスがマーケットに登場した際、自動化された流通システム、フリーミアムオプション、段階的な料金体系を備えていた点です。これは成熟した市場の証しだと Kaiser 氏は指摘します。
サイバー犯罪者が販売するツールの全容
これらのフォーラムやマーケットプレイスでは、大きく4つのカテゴリに分類されるツールが販売されていると Kaiser 氏は説明します。
- 武器化されたLLM:悪用目的で秘密裏に再学習させたAIモデル、正規ツールのハッキング版(「ルールと安全制限」を除去したもの)、またはWormGPTのようにゼロから構築された新たなAIシステムが含まれます
- AI活用型なりすまし詐欺:BEC(ビジネスメール詐欺)、KYC(本人確認)の回避、セルフィー認証システムの突破を目的とした音声・映像ディープフェイクを可能にします。現在では、わずか3秒の音声データさえあればツールの学習に利用できると Kaiser 氏は述べました。同氏が紹介した一つのツールは、KYCプラットフォームの突破率92%を謳っており、ダークウェブ上での知名度が高まるあまり、犯罪者たちが海賊版を探し求めているほどだといいます
- AI強化型マルウェアおよびインフラ:テキスト生成にとどまらず、実際の攻撃オペレーションをリアルタイムで支援します。一例として、25言語に対応し15万件超の通話データで学習済みのAI活用型コールセンターがあり、被害者を安心させるためにコールセンターの環境音まで生成する機能を持っています
- ジェイルブレイク済み・不正入手済みAIサービス:ダークウェブの出品物の大部分を占め、最安値は盗まれたChatGPTアカウントのわずか10セントから購入できます。ジェイルブレイク済みAIを提供する高度に組織化された活発なサイバー犯罪コミュニティが存在すると Kaiser 氏は指摘しました
Kaiser 氏は、犯罪者たちが需要を拡大しながら攪乱への耐性を高め続けている実態についても説明しました。
フリーミアムツールが広く普及しているため、サイバー犯罪への参入コストは「実質ゼロ」に等しい状況です。Telegramボットを活用した流通システムが、販売・カスタマーサービス・通知・注文追跡の全プロセスを自動化しており、「無人の店舗」として機能していると Kaiser 氏は付け加えました。
加えて、複数チャンネルを組み合わせることで冗長性も確保されています。
「有料プランが摘発されても、無料プランが配布を継続します。ウェブサイトがダウンしても、Telegramボットが動き続けます」と同氏は説明します。「Telegramチャンネルが凍結されればフォーラムのスレッドが残り、フォーラムが押収されてもウェブサイトは生き残ります。各チャンネルがお互いのバックアップとして機能しているのです。」
反撃の狼煙を上げる
こうした状況に対応するため、組織は4つの側面で備えを強化する必要があると Kaiser 氏は述べました。
- 低スキル攻撃者の急増と高度なグループからの継続的な圧力への同時対処。前者は基礎的な脅威にとどまりますが、ノイズを生み出してセキュリティチームを疲弊させる可能性があります
- 電話を主要な攻撃ベクターとして再認識した社会設計の推進。具体的には、意識啓発と認証プロトコルの刷新が求められます
- AIによって加速する迅速な攻撃に対し、AI活用型の振る舞い保護、自動アイソレーション、トークン失効、認証情報の無効化で対抗できる体制の整備
- 官民両セクターにまたがる連携強化。AIモデルの開発企業も積極的に取り組む必要があります。「これは技術的な問題である以上に、政策とパートナーシップの問題です」と Kaiser 氏は述べました。「このマーケットを効果的に摘発するには、防御側・モデルプロバイダー・決済処理業者・ホスティングインフラの間の連携が不可欠です」
「朗報もあります。こうしたマーケットの仕組みを明らかにするインテリジェンス活動は、同時に脆弱な部分も浮き彫りにします」と Kaiser 氏は締めくくりました。
「法執行機関による摘発と財政的な圧力は、確実に摩擦を生み出せます。攻撃者が実際に何を購入し、何を構築し、何をしているかを直接観察に基づいて把握している防御側は、意味のある実行可能な優位性を持ちます。」
翻訳元: https://www.infosecurity-magazine.com/news/cybercrime-ai-tools-surge-3800/
