サイバーセキュリティは、特にScattered Spider のような敵対的なAIベースの攻撃が、さまざまな「Living-off-the-land」手法を用いて、影響範囲を広げてスピードを上げ、その活動を偽装できるようになったことで、近年これまでになく厳しい監視の目にさらされています。これはつまり、今日のネットワークを防御するには、より迅速で高度かつ多層的な対応が求められるということです。
攻撃側のAIはすでに台頭し始めています。GoogleのThreat Intelligenceチームは、安全ガードレールを回避したり、悪意あるスクリプトを生成したり、自動的に検知を回避したりできるAIツールを含む、新たに登場し成熟しつつあるAI駆動型の攻撃手法を追跡しています。Anthropicは、ネットワーク偵察、脆弱性の発見、標的ネットワーク内での横移動、データ収集を行うために、さまざまなマルウェアの断片をつなぎ合わせるAIベースのオーケストレーションが、世界で初めて確認された事例を観測したと報告しています。
このようなAIオーケストレーションは、手動による検知や修復の手法を容易に圧倒してしまうほどのスピードとスケールで行われます。これらはあらゆる意味で「新しい」攻撃であり、機械学習アルゴリズムの自動化と知能を利用して、デジタル防御をかいくぐります。
こうした攻撃は、AIが従来のセキュリティ保護を迂回する方法の、ほんの始まりにすぎません。認証情報の侵害の歴史は何十年も前にさかのぼりますが、新しいのは、わずかなAIプロンプトだけで達成できるスケールの大きさと、それによってAI駆動のハーベスティングを活用し、膨大な量の盗難データを収集できる点です。
これは、悪意ある攻撃者がAIを利用する方法の一例にすぎません。2025年6月のCloud Security Allianceのこのレポートでは、自律型AIエージェントがエンタープライズシステムを攻撃するために利用されうる70以上の手法が列挙されており、これらのエージェントが、従来の信頼境界やセキュリティ慣行を超えて、攻撃対象領域を大幅に拡大してしまうことが示されています。
もはや本当に何も安全ではなく、私たちは確実にゼロトラストの時代に突入しています。ゼロトラストという用語は、John Kindervag氏が2009年にForrester Research在籍時に初めて提唱して以来、ほぼ普遍的な前提条件へと発展してきました。今日のネットワークにおける違いは、SOCアナリストもまた何一つ当然とは考えられず、攻撃がどこから発生しようとも、それを見つけて阻止する能力をより高めなければならないという点です。
AI駆動型攻撃に対してNDRが重要な理由
組織が新たなAI脅威に対抗するより良い方法を模索する中で、防御メカニズムとしてこれらの技術がどのように役立つのかを理解するため、ネットワークの可視性に注目するようになっています。
既知のトラフィックシグネチャのブロックに注力したり、手動調査に依存したりするレガシーソリューションとは異なり、ネットワーク検知&レスポンス(NDR)システムは、ネットワークデータを継続的に監視・分析し、リアルタイムのインサイトを提供して、高速かつ巧妙なAIベースの脅威を検知し、自動的に異常なデータ転送やネットワークトラフィックパターンを特定します。これらのシステムは、単純なネットワーク可視化にリアルタイム分析を付加します。
今日のレガシー防御システムは、AIが何千ものカスタマイズされたマルウェア亜種を生成できるようになる以前の時代に、こうした既知の脅威に焦点を当てるよう設計されていました。
これが、「Network Detection and Response solutions(ネットワーク検知・レスポンスソリューション)」の検索が増加している一因かもしれません。これは、GoogleトレンドとGartnerの「Magic Quadrant™ for Network Detection and Response」レポートの両方に表れています。
今日のNDRシステムがAI駆動型攻撃に対抗できる理由は次のとおりです:
— AIによって加速された偵察キャンペーンや、その他の高速なポリモーフィック攻撃を特定し、対抗する。 これらの攻撃に共通しているのは、自動化された手法を用いて、防御されていない侵入経路や未パッチの脆弱性をテストできる点です。たとえるなら、空き巣が何百もの鍵のかかったドアを素早く一つひとつ揺すって、たまたま開いているドアを見つけるようなものです。NDRソリューションは、こうした自動化システムによって生成される高トラフィックに対応でき、かつこの膨大なデータをタイムリーに処理できます。これは、通常のアクティビティに紛れ込んだ侵入者を見つけ出すうえで極めて重要です。
NDRシステムは、リアルタイム監視を用いてすべてのネットワークトラフィックを検査します。これにより、さまざまなタイプの攻撃における脅威を検知し、そのタイムラインや構成要素を再構築することができます。例えば、これらのシステムには、ネットワーク内での横方向の脅威の動きや、悪意ある攻撃者の回避行動を示すその他の異常行動を明らかにするための、さまざまな自動化およびAI/ML手法が組み込まれていることがよくあります。NDRソリューションはまた、偽陽性と真の陽性アラートを切り分け、真の脅威を調査するための周辺コンテキストやネットワークベースの影響を提供できなければなりません。
— 第二に、エンタープライズのネットワークおよびクラウド環境全体で何が起きているかを要約・分析する。 例えば、暗号化トラフィックと非暗号化トラフィックの比率を算出し、過去のベースラインと比較することや、あるネットワークルーターがこれまでインターネット接続にSSHを使用したことがなかったのに、現在はこのプロトコルを使用していることを観測することなどが挙げられます。また、新しいサービスやIPアドレスへの接続を特定することもできます。このようなインサイトは、セキュリティチームにとって有用であり、調査時のコンテキストをより豊かにし、時間の経過とともにネットワークトラフィックがどのように変化しているかを理解する助けとなります。
— 第三に、これらのパターンを将来の検査と分析のために、何らかのストレージ媒体に保存できること。 システムは個々のファイルを認識・抽出し、さらなるアクションのために分析できます。例えば、この挙動を防ぐための特定ポリシーを設定したり、過去に何が起きて防御が迂回されたのかを確認したりすることが可能です。一例として、.jpgや.pngといった画像拡張子を使用しているものの、実際には攻撃の基盤となりうる実行ファイルである不適切なファイルアップロードを記録する、といったことが挙げられます。
— 最後に、あるイベントが無害なのか、疑わしいのか、悪意があるのかについて判断を下せること、そして単純なマルウェアシグネチャや挙動の認識を超える自動化手法を用いてそれを行えることです。これは、SOCアナリストへの負荷を軽減し、偽陽性を排除するのに役立ちます。先ほどのSSHトラフィック悪用の例を用いると、NDRは暗号化されたトラフィックの中身を見ることはできませんが、これが新たな状況であることを容易に特定し、そのネットワーク可視性の力によって潜在的な悪用としてフラグを立てることができます。攻撃者がその活動を隠すための手口を高度化させるにつれ、潜在的に有害なイベントを素早くトリアージすることが、ますます重要になっています。
敵対者がレガシー防御を回避するためにAIをますます活用する中で、ネットワークの可視性はSOCがその動きを見抜く助けとなっています。侵入経路を探っているのか、ネットワーク内を横移動しているのか、あるいは公然と身を潜めているのかにかかわらず、SOCは実害が出る前にそれらを阻止しています。
NDRのユニークな強みは、従来のツールが無視するか、ログの奥深くに埋もれてしまう問題を、アナリストがトラブルシュートするための実行可能なインサイトとして提供できる点にあります。インシデントレスポンダーは、異常なネットワークトラフィックや疑わしいアプリケーション利用を素早く調査し、隠れたマルウェアや侵入者を特定し、インシデントをより迅速に解決できます。これにより、マルウェア感染の被害範囲を縮小したり、悪意ある攻撃者による機密データの窃取を防いだりできる可能性が高まります。
広範な環境可視性と迅速なレスポンスにより、NDRは組織に俊敏性をもたらし、攻撃者が絶えず進化するAI駆動型の戦術を活用する未来に備えさせます。
Corelight NDRの詳細については、こちらおよびcorelight.com/elitedefenseをご覧ください。
