AIを駆使したサイバー犯罪者はより高度なツールを手にし、仮想マシンやハイパーバイザーを完全に消去して、攻撃後のインフラを「暗闇の中で機能停止した」状態に追い込んでいます。Commvaultの最高技術責任者(CTO)であるBrian Brockway氏はこう警鐘を鳴らしています。
「当社の顧客事例の大半において、攻撃の手口は単なる侵入や一部のファイル・フォルダの暗号化・破壊にとどまらず、VM環境全体の掌握、すべてのVMの消去、ハイパーバイザーの破壊、データセンターの壊滅へと進化しています。最終的には、インフラが完全に機能を失った『暗闇の状態』に追い込まれるのです」とBrockway氏はThe Registerに語りました。
Brockway氏によれば、最先端AIは脅威のランドスケープを二つの面から塗り替えているといいます。高度なモデルが大量のソフトウェア脆弱性を次々と発見する一方、攻撃者は公開された脆弱性を従来の数週間ではなく、数分以内に悪用するようになっているとのことです。
「こうした事態への対応として発生する計画外の作業が増えれば増えるほど、優先順位は常に圧迫されます。次のリリースに向けたスプリント計画を立て、準備を整えていても、次の新機能開発よりも是正措置にエンジニアリングの時間を割かざるを得なくなるのです」とBrockway氏は述べています。
Commvaultが引用したPalo Alto Networksの調査によると、MythosやGPT-5.5-Cyberといった最先端AIモデルは、テスト期間中のわずか1か月で、通常の7倍以上のソフトウェア脆弱性を検出したといいます。
こうした状況に備えるため、CommvaultはITおよびセキュリティチームに対し、バックアップの枠を超えて考えるよう推奨しています。具体的には、重要システムをクリーンな状態に復元できるか、復旧環境は侵害された本番システムから隔離されているか、復旧計画に最重要アプリケーションと依存関係が含まれているか、といった点を自問することが求められます。
Brockway氏はエアギャップを出発点として位置づけています。組織は重要データの不変かつ隔離されたコピーを、本番環境のID基盤・ネットワーク・管理プレーンから切り離して保持すべきだと述べ、さらに現実的な攻撃シナリオを想定したRTO(目標復旧時間)とRPO(目標復旧時点)の検証テストを実施するよう求めています。これは、実際の攻撃被害者の復旧プロセスを目の当たりにして得た厳しい教訓だといいます。
「あるチームは何が起きたのかを把握するために煙を払うだけで精一杯です。その後、すべてをベアメタルまで剥ぎ取り、データセンターを一から再展開しなければなりません。その作業が進行している間——決して数時間で終わるものではなく、十分に訓練された環境であっても数日、あるいはそれ以上かかる場合もあります——どのサニタイズ済みのシステムを使って業務を再構築・再開するのか、という問いに答えなければならないのです」と同氏は語りました。
Brockway氏は、企業は自社にとって欠かせないシステム——IDプラットフォーム、請求システム、業務用データベース、クラウドサービスなど——を優先的に特定し、復旧の順序を定めるべきだと述べています。また、AIが中核業務に組み込まれるにつれ、データパイプライン、モデルリポジトリ、ベクトルデータベース、エージェンティックワークフローといった新たな依存関係も復旧計画に織り込む必要があると指摘しています。
Commvaultの提言では、組織が継続的にリカバリテストを実施することも不可欠だとしています。Brockway氏は、最悪の事態が発生する前に、隔離されたクリーンルーム環境でそれらの計画をリハーサルするよう推奨しています。
「私が必要としているのは、使用している構成やビルドと同じ構成を持つテスト環境です。フルスペックの本番リソースでなくてもかまいませんが、そのアプリケーションスタックをライブ環境に展開してテストできるかどうかを確認できる必要があります。これこそがクリーンルームというコンセプトの本質です。単にインシデントへの事後対応ではなく、迅速にクローン展開できる環境を持つということなのです」と同氏は述べました。
Brockway氏は、AI時代のこの新たな常態が、エンタープライズソフトウェアを構築・維持するエンジニアたちを圧迫していると述べています。初期のAIスキャンツールの波がチームを大量の潜在的脆弱性で溢れさせた一方、より新しいモデルはさらに踏み込み、制御された環境に侵入してエクスプロイトを自ら試みます。これは攻撃者の手口を模倣する能力だといいます。
「そうしたモデルを環境内に入れる際には、極めて厳格なセキュリティ管理のもとで行う必要があります。実質的に、外部の攻撃者が行うことと同じことを自動化しているようなものですから」とBrockway氏は語りました。
その出力は下流のチームを圧倒しかねません。Brockway氏によれば、ある最先端モデルはOS、ブラウザ、その他のインフラ全体で約10,000件のクリティカルな脆弱性を検出したといいます。
「それはつまり、1万件のパッチをシステムに適用しなければならないということです」と同氏は述べました。
この膨大な量は、エンジニアリングの優先順位に関して困難な判断を迫ります。Brockway氏は、計画外の修正作業により、スタッフが予定されたリリース作業から引き離されると述べています。Commvaultではこの負荷を吸収するため、Brockway氏はそうした対応だけに専念する常設チームを組織しています。
「彼らは分析と迅速な評価を行うファストアクションチームです」と同氏は語りました。
Brockway氏は、AIによるバグ検出ツールから生まれる膨大なシグナル量は、ノイズのフィルタリング、パッチ適用の支援、デプロイのサポートに向けた、さらなる自動化とAIの活用を必要とするものだと述べています。
「入ってくる情報やシグナルの量は圧倒的です。人々はただ感覚が麻痺してしまい、そうなったときに本当に深刻な問題が起き始めるのです」と同氏は語りました。®
