サイバー脅威
2023年上半期のサイバーセキュリティに対する脅威の動向:生成AIの浮上
2023年上半期における脅威の動向について、生成AIが与えた影響に焦点をあてて解説します。
サイバーセキュリティを取り巻く状況は、犯罪市場の動向次第で、わずか半年の間に急変する場合があります。2023年上半期には、生成AIツールを用いたサイバー犯罪が浮上し、「バーチャル誘拐」などの詐欺行為でその存在感が高まりました。サイバー犯罪用の生成AIツールとして、すでに「WormGPT」や「FraudGPT」などが宣伝されています。攻撃者はこれらのAI技術によってさらに巧妙な手段を見出し、新たな脅威を生み出していくと推測されます。しかし、セキュリティチーム側でもさまざまなAI技術を活用することで、より効果的で強力な対策を実現できるものと期待されます。
トレンドマイクロでは、2023年上半期に発生した主要な事象やそのパターンについて分析を行いました。本分析結果は、企業や組織が今後の下半期に向けて対峙するリスクを見越し、待ち受ける課題に備える上で役立つものと考えられます。
サイバー犯罪に利用されるAIツール
AI技術を導入する企業や組織は著しい増加傾向にあり、さまざまなメリットをもたらしています。しかし、サイバー犯罪者もまた、AIの威力を利用して攻撃の効率や効果を高めようとしています。
トレンドマイクロでは2023年6月、比較的新たななりすまし詐欺の一種である「バーチャル誘拐」を取り上げ、その危険性や懸念点について解説しました。本詐欺の実行者は、被害者に対して突如電話をかけ、家族や友人を実際に誘拐したかのように装い、身代金を要求します。この際、攻撃者は「ディープフェイク」と呼ばれるAI技術を用いて「誘拐された」本人のように聞こえる音声を作成し、電話上の被害者に聞かせます。AIモデルの訓練にあたっては、通常、ソーシャルメディアに投稿された音声データが利用されます。
しかし、攻撃の初期段階で特に重要な役割を果たしているのは、的確な被害者の選出に利用される「生成AI」であり、作業時間の大幅な効率化が図られています。攻撃者はChatGPTのような生成AIを利用して大規模な被害者候補リストをフィルタリングにかけ、誘拐という危機的な状況に際して身代金の支払いに応じそうな被害者を抽出します。この際、所在地情報や広告分析を組み合わせることも可能です。以上の流れはリスクベースのスコアリングシステムに相当するものであり、攻撃者は、その結果情報から次の攻撃対象を一目で把握することが可能です。
バーチャル誘拐は、理論上の話ではなく、すでに実際の事件として発生しています。今後、こうした攻撃が生成AIによってさらに自動化され、より一層の効率化が図られる可能性が懸念されます。例えば、攻撃者はChatGPTを用いて会話文を自動生成し、それをディープフェイクやテキストを読み上げるアプリによって被誘拐者の声に変換するなどの手口が考えられます。
バーチャル誘拐の他にも、攻撃者の手によって継続的に刷新され、勢いを増している詐欺の手口は数多く存在します。その一例として、「養豚式投資詐欺」では、攻撃者がオンラインまたは恋愛サイト上で被害者と親密な関係を演出し、偽の暗号資産ビジネスを持ちかけて資金を吸い上げようとします。こうした攻撃者もまた、ChatGPTや類似のツールを不正利用することで、対話テクニックの向上、または騙されそうな被害者の選出を図る可能性があります。
今後の展開に関する予測
サイバー犯罪者は、急浮上した生成AIツールを用いて攻撃を自動化し、その効果を高めようとするでしょう。将来的には、AIで運用されるDDoS(Distributed Denial of Service Attack:分散型サービス妨害)型攻撃やワイパー型マルウェアなどが出現するなど、サイバー攻撃の手法がさらに巧妙化し、その規模も拡大する可能性があります。
生成AIの不正利用が懸念される領域の1つとして、先にも述べた大規模なデータ解析に基づく被害者の選定プロセスが挙げられます。サイバー犯罪者は生成AIを用いることで、被害を受けやすい個人や組織を精度良く選定し、影響の最大化を図る恐れがあります。
対策
幸い、トレンドをはじめとするセキュリティ専門企業でも、脅威から顧客を守るAIツールの開発を行っています。トレンドでは、AIや機械学習によるサイバーセキュリティの先駆者として、2005年という早い段階から当該の技術を製品内に導入してきました。当初のスパムフィルタリングから始まり、未知の脅威を効果的に検知してブロックするモデルの開発を続けています。
トレンドの防御戦略
最近では、生成AIを活用したセキュリティ運用の改良に取り組んでいます。例えば、サイバーセキュリティ支援ツール「Companion」を用いることで、繰り返し作業を自動化し、解析チームの時間をより高価値なタスクのために有効活用することが可能です。本ツールは、SecOps(Security Operations:セキュリティ運用)チームのために複雑なスクリプトを理解し易い状態にデコードし、推奨される対応案を示し、さらに、アラートの内容や状況に関する説明を提示するなど、メンバー間におけるスキルギャップの解消にも貢献します。
2023年上半期に発生したその他の事象
ランサムウェア:適応と進化
ランサムウェア攻撃においては、AIツールによって不正な活動が自動化されるなど、その手口が巧妙化しつつあります。その代表例が新型ランサムウェア「Mimic」であり、暗号化によって最も重大な影響が出そうなファイルを特定するために、正規の検索ツールを不正使用します。一方、ランサムウェアグループ「Royal」は、攻撃対象をLinuxプラットフォームにまで拡大するなど、能力の高まりがうかがえます。
トレンドマイクロのデータによると、2023年にはランサムウェアの標的として主に金融、IT、ヘルスケア業界が狙われました。2023年の1月から7月17日までに当該3業界への攻撃が成功した件数は、それぞれ219件、206件、178件となりました。
弊社の調査によると、ランサムウェアグループは互いに協力して活動する傾向があり、これによってコストを抑えながらサイバー犯罪市場での存在感を強めています。ランサムウェアグループによっては、APT(Advanced Persistent Threat:標的型攻撃)グループと似たような攻撃を展開するなど、動機自体を切り替える動きも見られます。このように進化を続ける脅威に対し、企業や組織では、シフトレフト(早い段階から対抗策を実施する)の戦略に基づいて防御を強化し、ネットワークにアクセスされる前に攻撃を阻止することが重要です。
脆弱性:サイバーリスク指標の低下
CRI(Cyber Risk Index:サイバーリスク指標)が低下していることより、警戒が弱まってきているようにも見受けられますが、脅威の実態は依然として憂慮すべきものです。ランサムウェア「Clop」がファイル転送サービス「MOVEIt」を狙い、さらに政府関連組織を侵害したように、攻撃者は比較的小さなプラットフォームに目をつけ、これを不正利用する方法を模索しています。Googleによる新しいトップレベルドメインは、不正なURLの隠蔽手段として利用されるリスクを抱えています。コネクテッド・カーは、ハッカーにとっての新天地として映るでしょう。こうした脅威に対処する上では、自発的にサイバーリスク・マネージメントを行う姿勢が重要です。
攻撃キャンペーン:検知の回避と攻撃対象の拡大
攻撃者は、ツール、テクニック、プロシージャ(TTPs:Tools、Techniques、Procedures)を継続的に刷新することで、検知を回避しながら、より多くの標的を網にかけようと画策しています。例えばAPT34は、セキュリティポリシーを回避するために、DNSの通信と正規なSMTPのメール通信を織り交ぜた手口を利用しました。Earth Pretaは、攻撃対象を重要度の高いインフラや機関に切り替え、複数の手法を組み合わせてマルウェアを展開しました。
APT41の派生グループ「Earth Longzhi」は、新しい技術を備えて再浮上し、複数の国々にある組織を攻撃しました。当該の攻撃キャンペーンは、綿密に調整されたサイバー諜報活動を伴うものです。そのため、企業や組織では、こうした活動に対する警戒を維持し続けることが重要です。
トレンドの2023年上半期サイバーセキュリティレポートについては、こちらをご参照ください。
参考記事:
Cybersecurity Threat 1H 2023 Brief with Generative AI
By: Trend Micro
翻訳:清水 浩平(Core Technology Marketing, Trend Micro™ Research)