一部の研究者は、AI主導のサイバー攻撃に関する報告を単なるマーケティングメッセージだとして退けているが、脅威インテリジェンスの専門家は、CISOが脅威チェーンにおけるAI利用の増大する証拠を無視するのは自らの危険を招くと反論している。
企業全体でのAI導入が加速するのと同時に、デジタル上の敵対者の間でもAI利用が進む中、サイバー脅威チェーンにおけるAIの役割をCISOの最重要懸念事項とすべきかどうかを巡って、激しい議論が巻き起こっている。
少数ながら声の大きい専門家や、あるサイバーセキュリティベンダーは、AI強化型の脅威に関する警告は、サイバーインテル企業や新たな防御ツールを売り込みたいAI企業があおる誇大広告にすぎないと主張している。
「AIが魔法のようにすべてのサイバーセキュリティポリシーやテクノロジーをすり抜けるという仮想シナリオを、みんなが心配している」と、Expelのプリンシパル脅威リサーチャーであるMarcus Hutchins氏はCSOに語る。「実際に起きているのは、経営層が実績のあるサイバーセキュリティポリシー、ツール、緩和策から離れ、実証されておらず、いざというときに機能しない可能性が高い生成AI製品に引き寄せられているということだ。」
しかし、現場の実務家やベテランの脅威インテリジェンスリーダーの大半は、これに強く異議を唱える。彼らは、AI支援型の脅威は仮説ではなく、すでに存在しており、それを軽視することは、ますます俊敏になる敵対者がAIを使って攻撃のスピードと規模を拡大しようと実験を重ねる中で、組織を危険にさらすと主張している。
「従来のマルウェアにはなかった能力にAIが使われているのを、私たちは間違いなく目にしています」と、SentinelOneの脅威発見・対応担当SVPであるSteve Stone氏はCSOに語る。「マルウェアの改良をより迅速に行うため、コード生成の相棒として、あるいはソーシャルエンジニアリングにAIが使われているのです。攻撃ライフサイクル全体を通じて、攻撃者はAIを利用しています。」
最近の2つの調査レポートは、AIがサイバー攻撃サイクルの中で拡大しつつある、そして潜在的にはより危険な要素になっているという見方を裏付けており、現在大きなスピード優位を持つ敵対者に対して、自組織がどの程度防御できるのかをCISOが評価する時間は、残り少ない可能性があることを示唆している。
攻撃チェーンにおけるAI利用の証拠は増え続けている
MicrosoftやOpenAIを含む多くの大手サイバーセキュリティ企業およびAI企業が、AIがどのようにサイバー攻撃を強化しうるかを詳述したレポートを発表しているが、最近の2つの調査レポートはこの見解にさらなる重みを与えている。これらは、敵対者が単なる生産性向上のためのAI利用を超え、運用ツールにより直接的にAIを統合し始めていることを示唆している。
11月5日、Google Threat Intelligence Group(GTIG)はレポートを公開し、脅威アクターがAI悪用の新たな運用フェーズに入ったと結論づけた。これは、より優れたフィッシングメールの作成やコードの高速記述といった従来の生産性向上目的のAI利用を超え、実行中に動的に挙動を変化させるツールの利用にまで拡大しているというものだ。同レポートによると、「政府支援の脅威アクターやサイバー犯罪者は、業界全体で攻撃ライフサイクル全体を通じてAIを統合し、実験している。」
Googleは、実行時に大規模言語モデル(LLM)を利用する、PROMPTFLUXやPROMPTSTEALといった実験的マルウェアファミリーにおける「ジャストインタイム」AIの初の利用事例を含め、AIを用いて開発された最新のマルウェアサンプル5件を特定した。
「生産性向上ツールは、おそらく全体像から見れば、[脅威アクターが] LLMやその他の生成AIツールを自らの能力強化に使っている方法の中で、現時点で最も大きな割合を占めていると思います」と、GTIGで国家支援型ハッキングおよび脅威分析のグローバル責任者を務めるBilly Leonard氏はCSOに語る。
Leonard氏は、脅威アクターがプロンプトインジェクションを行う日が近いと見ている。これは、AIのモデル入力を操作して情報を漏えいさせたり、有害なコンテンツを生成させたりする手法だ。これまで彼のチームが目にしてきたAI支援型攻撃は、まだそこまで高度なレベルには達していない。
しかし彼は警告する。「脅威アクターが自前のAIエージェントを展開し始めることを、我々は想定すべきです。これは、ある種の自律システムによる攻撃、つまり一部の人々が恐れている攻撃に近づくことを意味します。現在、AIレッドチーミングなどを行うためのオープンソースツールが多数存在します。脅威アクターは、それらをレッドチーミング以外の目的で使っている可能性が高い。今後12カ月のうちに、そうした事例がさらに増えると見ています。」
Googleのレポートは、Hutchins氏や他の研究者から、不要な恐怖をあおっているとして当初批判を受けたが、Hutchins氏はその後、自らの苦情を撤回しており、新たなAIサイバー脅威の領域がいかに未知であるかを物語っている。
「私たちが発表した調査レポートは、『AIによるサイバー脅威はくだらない』という陣営と、『AIで空が落ちてくる(世界の終わりだ)』という陣営の双方の論拠として使われました」とLeonard氏は言う。「両者とも、自分たちの主張を正当化するために、同じレポートと同じ調査結果を指し示したのです。つまり、『どちらかの立場を選ばなければならない』ということです。」
GTIGがレポートを発表してからわずか1週間後の11月13日、AI企業Anthropicは、同社のClaude Codeツールを操作し、約30のグローバルな標的への侵入を試み、少数のケースで成功した、中国の国家支援グループによる初の組織的サイバー諜報活動を発見したと主張する、衝撃的なレポートを発表した。
Anthropicによれば、この攻撃は、1年前には存在しなかったか、あってもはるかに未成熟だったAIモデルの複数の機能に依存していた。一方で、攻撃の多くの部分では、プロセスのさまざまな段階で従来型の人手による介入が行われていた。同社は、「産業界、政府、そしてより広範な研究コミュニティが自らのサイバー防御を強化する」ことを支援するため、この事例を公表していると述べている。
AI対応脅威レポートの批判者たちは、Anthropicが侵害の痕跡(IOC)を公開しないという決定をすぐさま問題視し、その省略は調査の価値を損なうものだと主張した。
しかし、経験豊富な脅威リーダーたちは、こうした批判はAI主導の攻撃の本質と、開示にまつわる現実を理解していないと指摘する。
「研究者は常に、すべてのIOCを見たがるものです」と、PwCプリンシパルであり、米サイバー軍の元エグゼクティブディレクターであるMorgan Adamski氏はCSOに語る。「しかし、それらが含まれていないことには、非常に具体的な理由があるかもしれません。敵対者が実際にどのように攻撃を行ったのかを詳細に示すことは、事実上、そのプレイブックを敵に渡すことになりかねません。」
SANS InstituteのチーフAIオフィサーであるRob T. Lee氏は、さらに率直だ。「AnthropicはMandiantやGoogleのようなサイバーセキュリティ企業ではないのだから、少しは大目に見てあげるべきです。それに、どのようなIOCが防御側の助けになるというのでしょうか。彼らがどのように検知したのかを非常に明確に示したとしても、それは彼ら側の話です。では、彼らだけが使えるIOCを公開しろというのでしょうか?ばかげています。」
Anthropic側は、慎重な姿勢を崩していない。同社はCSOに対し、「IOC、プロンプト、技術的詳細を公開することは、脅威アクターに広く使えるプレイブックを与えてしまう可能性があります。私たちはこのトレードオフをケースバイケースで検討しており、今回については、広く公開するのではなく、産業界および政府のパートナーと直接共有することを選択しました」と述べている。
CISOはどうすれば混乱を乗り越えられるか
AI脅威を巡る相反するストーリーにより、多くのCISOは、誇大広告と運用上の現実をどう折り合いをつけるべきか苦慮している。
一部のサイバー専門家が、AI対応のサイバー脅威は実在しないと主張している中で、AI対応サイバー脅威が台頭している状況を踏まえ、SophosのCEOであるJoe Levy氏はCSOに対し、AIは「ロールシャッハテストのような存在になりつつある」と語る。つまり、「人々がどのようにそれを見ようとするかによって、そこに見出すパターンが決まる」という意味だ。
しかしLevy氏は、リーダーたちは状況をよりバランスよく捉える必要があると警告する。「AIの利用方法には確かに新規性があり、エージェント型AIが、これまでの手動攻撃や自動化攻撃の形態を上回るスケールで攻撃者に利用される脅威も存在します」と彼は言う。「その要素は確かに現実です。ただし、現時点までのところ、現在の防御手段を同じレベルの有効性で使うことを妨げるような、重大なエスカレーションは見られていないと思います。」
PwCのAdamski氏は、新たなAI時代のスピードを踏まえ、CISOは瞬時に新たな防御策を打ち出せるよう備えるべきだと強調する。「防御の観点から言えば、そのスピードは秒単位になるでしょう」と彼女は言う。
また彼女は、AI脅威は実在しないという混乱を解くことも重要だと考えている。「結論として、これは敵対者が活用しうる新たなテクノロジーであり、能力なのです。それは存在しており、私たちは、それをテストし、展開し、率直に言ってその利用で成功している人々がいることを知っています」と彼女は語る。
ProtegrityのシニアプロダクトセキュリティアーキテクトであるClyde Williamson氏も、攻撃者が生成AIやエージェント型ツールを悪用しないと仮定するのは危険だと同意する。「ハッカー的なマインドセットを持つ人が、現在の生成AIやエージェント型モデルのような自動化ツールを与えられたとき、それを自分のスキル向上に使っていないと考えるのは、ばかげています」と彼はCSOに語る。
Jimmy Mesta氏(RAD SecurityのCTO兼共同創業者)は、CISOは今のうちから取締役会に対し、難しい予算判断に備えさせるべきだと言う。「取締役会には、『安全ではない状態でいる』か『安全な状態でいる』か、そのためにいくらかかり、何が必要なのかという選択肢が提示されることになるでしょう」と彼はCSOに語る。「CISOは、『すべてを100%やらなければならない』と言って会議室に入ることはできなくなります。これまで以上に多くのトレードオフが生じるでしょう。」
CISOが押し寄せるAI支援型攻撃の波に備える一方で、サイバーセキュリティの基本に焦点を当て続けることも重要だと、Sophosでグローバル政府パートナーシップ責任者兼CTU脅威リサーチディレクターを務めるAlexandra Rose氏はCSOに語る。「私たちが何度も基本に立ち返るのは、それが、AIを試している脅威アクターを含め、あらゆるレベルの高度化した攻撃を止めるうえで最も効果的だからです」と彼女は言う。
