情報セキュリティのリーダーはAIサイドバースプーフィング攻撃への備えが必要だと研究者は述べている。
AIブラウザは賢いかもしれませんが、一般的な脅威をブロックするほど賢くはありません。それは悪意のある拡張機能です。
これはSquareXの研究者の結論であり、彼らは木曜日にレポートを公開し、攻撃者が侵害されたブラウザ拡張機能を通じてAIサイドバーを悪用できることを示しました。
この攻撃手法自体は新しいものではありません。悪意のある拡張機能は長年にわたり、ブラウザのウェブストアに挿入され、Chrome、Edge、Firefoxなどの標準ブラウザを感染させてきました。
SquareXが発見したのは、ユーザーがクエリに利用する正規のAIサイドバーを偽装できる悪意のある拡張機能です。彼らの目的は、ユーザーを悪意のあるウェブサイトに誘導したり、データ流出コマンドを実行させたり、バックドアをインストールさせたりすることです。SquareXによれば、AIサイドバースプーフィングは、リリースされたばかりのOpenAI Atlasブラウザでも機能します。
CISOやCIOにとっての一つの解決策は、AIブラウザの使用を禁止することだと示唆しています。これは、IT部門がスタッフが使用するブラウザを管理できる場合、特に従業員が自身のインターネット接続デバイスを使用することが許可されている場合に成り立ちます。少なくとも、ITは従業員がAIブラウザ・非AIブラウザにインストールしたすべての拡張機能を監査する必要があるとレポートは述べています。
AIに関するすべてをゼロトラストプロトコルで扱う
CISOやCIOは、より優れたガードレールが確立されるまでは、AIに関するすべてを最も強力なゼロトラストプロトコルで扱う必要があると、インシデント対応企業CypferのCOOであるEd Dubrovsky氏はコメントしています。
「AIの利用と機能に関してガードレールを設定してください」と彼は述べ、「もしAIに脆弱なソフトウェアを企業ネットワークに導入する場合、それをデジタルクラウンジュエル(重要資産)にアクセスできない、またはそれらの存在すら認識できない場所に分離してください」と付け加えました。
彼は、AIは全く異なるフィールドであり、CSOはまだその準備ができていないと指摘しました。課題は、ITリーダーがAIを新しいツールやツールセットと考え、ソフトウェア開発や保守の手法をその管理に適用しようとしていることです。
しかし彼の見解では、AIは「適切な審査やセキュリティ管理がほとんどない新しい従業員を100人雇ったようなもので、その中に悪意のある者がいた場合に資産をどう守るか」という問題に近いといいます。
「AIは単なる言語チャットボットではなく、タスクが定義されて展開されるエージェント機能も持っており、AIによってAIソフトウェアが作成・展開されることもあります」と彼は述べました。「これはある意味で人間をキーボードから遠ざけ、新たなソフトウェア機能に置き換えるのです。」
リスクは、AIが完全に無謬であることはなく、おそらく今後もそうならないという点だと彼は付け加えました。いつかAIが人間の欺きのほとんどを回避できるほど強力になる日が来るかもしれませんが、他のAIによる操作を回避できるのでしょうか?と彼は問いかけました。
「ダンプスターファイア」
カナダの従業員向けセキュリティ意識向上トレーニング企業Beauceron Securityの責任者David Shipley氏も同意しています。
「CISOが退屈で、事件で人生にスパイスを加えたいなら、これらのAI搭載の混乱をユーザーに展開すればいいと思います」と彼は述べました。
「しかし、ほとんどのCISOのように多くの問題を抱えていて、自由時間や退屈がそのリストにないなら、これらのダンプスターファイア(AIブラウザ)は絶対に避けるべきです。」
正当なブラウザと拡張機能のエコシステムを構築・維持するのは困難な作業であり、Apple、Google、Microsoftでさえ問題を抱えていると彼は指摘しました。
「リスクを拡張機能だけの問題だと考えるのは間違いだと思います」と彼は付け加えました。「これらのブラウザの根本的なDNAが悪いのです。企業は問題に十分な注意を払うインセンティブがなく、悪質な拡張機能はサイバーセキュリティの背中を折る最後の一撃に過ぎません。」
仕組み
CISOには難しい課題があります。従業員をだまして、どのブラウザでも悪意のある拡張機能をダウンロード・インストールさせるのは難しくありません。ブラウザ拡張機能は、パスワードマネージャーやAI生産性アシスタントなど、魅力的な追加ユーティリティであることが想定されています。これらはフィッシングやスミッシングメッセージ、SNS投稿、そして脅威者が可能な場合はGoogle Chromeウェブストアなどのマーケットプレイスにアップロードされて宣伝されます。正規の拡張機能を装ったマルウェアや、正規拡張機能の改ざん版であることもあります。
SquareXのレポートによると、AIサイドバースプーフィングでは、被害者が新しいAIブラウザタブを開くと、悪意のある拡張機能がウェブページにJavaScriptを注入し、正規のサイドバーと全く同じ見た目の偽サイドバーを作成します。ユーザーが偽サイドバーにプロンプトを入力すると、拡張機能はそのAIエンジンにフックします。しかし、プロンプトが特定の指示やガイドを要求した場合、応答に追加の指示を含めるよう操作できます。たとえば、ユーザーが良いファイル共有サイトを尋ねた場合、悪意のある拡張機能は攻撃者のファイル共有サイトへのリンクを提供し、高リスクのOAuth権限を要求して収集するかもしれません。ハッカーの手に渡れば、被害者のメールへのアクセスを許すことも可能です。
あるテストでは、SquareXの研究者が悪意のあるサイドバー拡張機能にmacOSやLinux用のHomebrewパッケージマネージャーのインストール方法を尋ねたところ、インストールコマンドラインにリバースシェルコマンドが含まれており、被害者のデバイスが攻撃者のサーバーに接続される仕組みでした。これにより攻撃者は被害者のマシン上でコマンドを実行できるシステムシェルを得ることができます。
情報セキュリティリーダーは、偽のAIサイドバーによる指示でユーザーが悪意のあるタスクを実行するのを防ぐ、きめ細かいブラウザネイティブのポリシーを設定することが重要だとレポートは述べています。これには、高度な機械学習とページヒューリスティック分析を用いて高度なフィッシングサイトをブロックするポリシー、許可リストにないアプリへの高リスク権限付与をブロックするポリシー、悪意のある/リスクの高いLinuxコマンドのコピーを警告・ブロックするポリシーなどが含まれます。
この研究は「エージェント型ブラウジングの初期段階への警告であり、UIの暗黙的な信頼モデルの再考を促すものだ」と、ExabeamのセキュリティオペレーションストラテジストGabrielle Hempel氏は述べています。
「ここでの主な問題は、エージェント型AIブラウザが全く新しい攻撃面を生み出すことです。この攻撃、つまり悪意のある拡張機能が本物そっくりの偽AIサイドバーオーバーレイを注入することで、脅威者は『信頼された』AIアシスタントUIを乗っ取り、ユーザーに危険な操作を実行させることができます」と彼女は指摘しました。「組織はこれを真剣に受け止める必要があります。なぜなら、AIサイドバーにブラウジングや操作を委任すると、以前は軽微なリスクだったものが、クラウド資産、認証情報、デバイスに対する重大なリスクに格上げされるからです。」
ITリーダーは、AIブラウザの利用を高リスクな機能に関しては安全性が証明されるまで制限すべきだと彼女は助言し、攻撃がホストやストレージ権限を持つ拡張機能を利用するため、組織はそれらの拡張機能承認ワークフローも見直すべきだと付け加えました。実際、広範なアクセスを要求する生産性ツールはすべて精査が必要です。
「これらのツールが導入された後はセグメンテーションも重要です。最小権限の原則がここでも適用され、AIが特定のタブやサービスとやり取りできる範囲を制限するべきです」と彼女は述べました。
