新たなIOの調査によると、英国および米国のサイバーセキュリティリーダーは、AIの攻撃対象領域の拡大、特に許可されていないAIツールの使用やトレーニングデータの改ざんの試みに対して、ますます懸念を強めています。
セキュリティおよびコンプライアンスの専門企業は、大西洋両岸のITセキュリティリーダー3000人を対象に調査を実施し、今朝、第3回目となる年次レポート「情報セキュリティの現状レポート」を発表しました。
調査によると、4分の1強(26%)がデータポイズニング攻撃を受けたことがあると回答しました。これは、脅威アクターがモデルのトレーニングデータに干渉し、その挙動を変えようとする攻撃です。
このような攻撃は、AIモデルに依存する組織を妨害したり、マルウェア検知システムを誤作動させるなど、より標的を絞った形で脅威アクターを支援したりする目的で行われる可能性があります。
データポイズニング攻撃は、これまでは理論的なものと考えられており、広く普及しているとは見なされていませんでした。
AIの脅威についてさらに読む:英国企業の80%がAIの脅威に直面し人材不足が深刻化
IOのレポートはまた、企業の37%が従業員による許可されていない生成AI(GenAI)ツールの利用を確認していることも明らかにしました。
このようなシャドーAIは、データ漏洩やコンプライアンス違反に関する重大なリスクをもたらすほか、該当するGenAIツールが安全でない場合には脆弱性が生じる可能性もあります。
DeepSeekの主力LLM「R1」は、今年初めに複数の脆弱性が含まれていることが判明しました。同社はまた、チャット履歴やその他の機密ユーザー情報を含むデータベースを誤って公開してしまいました。
将来への懸念と自信
レポートの回答者は、AIに対する姿勢について複雑な心境を抱いているようです。一方で、来年に向けて最も大きな新たなサイバーセキュリティ脅威として、AI生成のフィッシング(38%)、偽情報(42%)、シャドーAI(34%)、バーチャル会議でのディープフェイクによるなりすまし(28%)を挙げています。
しかし、IOによれば、ディープフェイク関連の攻撃件数は昨年の33%から今年は20%に実際には減少しています。
さらに、回答者は将来について強気な姿勢を見せています。大多数が、AI生成のフィッシング(89%)、ディープフェイクなりすまし(84%)、AI駆動型マルウェア(87%)、偽情報(88%)、シャドーAI(86%)、データポイズニング(86%)への防御に「準備ができている」と感じていると回答しました。
4分の3(75%)が、AIの利用に関する許容利用ポリシーを導入していると回答しており、少なくとも許可されていないツールの利用を抑制するのに役立つはずです。
IOのCEOであるクリス・ニュートン=スミス氏は、AIを「諸刃の剣」と表現しました。
「AIは大きな可能性を秘めていますが、そのリスクも技術の進化と同じ速さで進化しています。多くの組織が拙速に導入し、その代償を今支払っているのです」と彼は付け加えました。
「例えばデータポイズニング攻撃は、単に技術的なシステムを損なうだけでなく、私たちが依存しているサービスの信頼性を脅かします。シャドーAIの存在も加われば、企業と一般市民の両方を守るために、より強力なガバナンスが必要であることは明らかです。」
翻訳元: https://www.infosecurity-magazine.com/news/quarter-uk-us-firms-data-poisoning/