Bugcrowdによると、倫理的ハッカーの大多数(82%)が現在ワークフローにAIを使用しており、企業はより迅速な発見、より多くの評価、より広範なセキュリティカバレッジ、そしてより高品質なレポート作成の恩恵を受けられるという。
バグバウンティの専門企業は、世界中のセキュリティ研究者2000人を対象に調査を行い、Inside the Mind of a Hacker レポートを作成した。
その結果、AIを使用している回答者の割合が2023年の64%から大幅に増加していることが明らかになった。現在、4分の3(74%)がAIは自分の仕事の価値を高めると考えており、これは昨年からほぼ変わっていない。
レポートで回答者が挙げたAIの主な活用例は次のとおり:
- 反復的な作業を自動化・高速化し、時間を確保して運用をスケールさせる
- 散らかったJavaScript、未整形のファイル 、大規模なコードベースなど、「人間が触りたくない」コードの分析――新たな領域で脆弱性を発見するのに役立つ
- 未知の技術に直面した際に「行き詰まりを解消」してくれるリサーチアシスタントとして
倫理的ハッカーと協業する組織にとって、これらの進歩は「実際に修正が必要な点に焦点を当てた」より高品質な発見を、以前よりも速く得られることを意味する。
AIがもう一人のチームメンバーとして機能することで、予算を増やす必要なく、ハッキングチームはより徹底した作業が可能になる。
また同レポートによれば、この技術はハッカーに対し「特定の標的に合わせたカスタムツールの構築、難読化コードの大規模分析、 手作業では探索が面倒すぎて不可能だったエッジケースのテスト」を可能にしているという。これは、より包括的なセキュリティにつながる。
同社は、AIが研究者のレポートを「磨き上げ」、より高品質な提出物にするのにも役立っていると主張した。
BugcrowdのCEOであるデイブ・ゲリーは、「犯罪組織から国家主体のアクターに至るまで、あらゆる業界で攻撃者がAIを活用して攻撃の速度と頻度を加速させており、防御側がこれまでになく劣勢に追い込まれている」と警告した。
「社内のセキュリティチームであれ、セキュリティ運用の一部をマネージドサービス企業に外部委託している場合であれ、セキュリティチームは高まる脅威環境に対応するため、AIの活用を迅速に強化しなければならない。」
倫理的ハッキングに関する詳細:Google、最高報酬3万ドルのAIバグバウンティを開始
Bugcrowdのレポートではまた、ハッカーの72%がチームでの協働はより良い結果につながると考えており、61%がチームで作業するとより重大な脆弱性を多く見つけられると回答したことも明らかになった。回答者の5分の2は現在チームの一員としてハッキングしており、さらに44%はそうしたいと考えているものの、チームメイトが見つかっていないという。
レポートは「ハッカーがチームで活動すると、互いに学び合ってスキルを向上させ、強みを組み合わせ、プロフェッショナルネットワークを広げ、さらにはより高い報酬を得ることもできる」と指摘している。
倫理的研究者とは?
Bugcrowdのレポートは、セキュリティ研究コミュニティに関する興味深い調査結果も明らかにした:
- 大半(89%)は18〜34歳
- 女性だと自認するのは5%のみ
- 5人に1人がニューロダイバージェントだと自認
- 3分の2がパートタイムでハッキングしており、そのうち約半数は週14時間未満、40%以上は週10時間未満でハッキングしている
- 「セキュリティ研究」に次いで、倫理的ハッカーの主な職業は情報・Webアプリのセキュリティ、教育・研修、そして建築・工学である
翻訳元: https://www.infosecurity-magazine.com/news/over-80-of-ethical-hackers-now-use/
