IEEEが提言を発表 「基本的なサイバーハイジーンはAI時代に通用するか？」

IEEE(アイ・トリプルイー)は世界各国の技術専門家が会員として参加しており、さまざまな提言やイベントなどを通じ科学技術の進化へ貢献しており、今回サイバーセキュリティに関しての提言を発表いたします。

サイバーセキュリティに関しては、長年にわたり消費者も企業も同じようなアドバイスを受けてきました。つまり、強力なパスワードを使用し、定期的にデータをバックアップし、可能な限り多要素認証を使用するようにということです。

これらの3本柱は、サイバーハイジーン(衛生)と呼ばれるものの基本であり、個人情報を安全に保つのに役立ちます。しかし今、私たちは新たなサイバーセキュリティパラダイムに突入しており、そこでは生成AIを使って人間や技術上の脆弱性を悪用することが可能です。
ここで疑問が生じます。これらの基本的なサイバーハイジーンの実践は、新たに出現しているAIを駆使したサイバー脅威を防御には十分なのでしょうか？

IEEEのシニアメンバーであるケイン・マクグラドリー氏(Kayne McGladrey)は、生成AIの台頭に伴い一般的には3つの脅威が生じていると説明しています。すなわち、ビジネスメール詐欺、ディープフェイク、攻撃コードの生成です。
「これらの脅威は、現時点ではその適用範囲はまだ比較的限られているものの、もはや単なる理論上のものではありません。」とマクグラドリー氏は警告しています。「脅威アクターは、ビジネスメール詐欺、ディープフェイク、攻撃コードの生成を超えて、生成AIの革新的な用途をさらに見つけていくと予想するのが妥当でしょう。」

それでは、そうしたサイバー攻撃とはどのようなものか探ってみましょう。

BEC攻撃では、経営役員のEメールアカウントを乗っ取り、個人を不正な取引の実行へと誘導します。従来、この種の攻撃の成否は、経営役員の文章スタイルの模倣具合に大きく依存していました。ところが生成AIは、文章のスタイルだけでなく、その微妙な雰囲気までも模倣できるため、BEC攻撃の拡張性が高まり、効果も向上しています。Eメールの侵害に対する最善の防御策は多要素認証だと考えられています。

ディープフェイクは、AI技術を使って本物と間違えるような偽の音声や動画コンテンツを生成します。脅威アクターは、ディープフェイクを使用し個人を標的にしてなりすますことができるため、偽情報を流したり、評判を落としたり、さらには市場を操作する可能性まであります。
マクグラドリー氏は次のように述べています。「消費者は、不審な、あるいは大げさなメディアコンテンツに遭遇した場合、注意深く疑いの目で見るべきです。基本的なサイバーハイジーンだけでは、ディープフェイクの手口から十分に防御することはできません。」

ほとんどの悪意のあるアクターは、新しいエクスプロイトを作成したり、コードを記述するような技術的スキルは持ち合わせていません。むしろ、攻撃には事前に特定したプレイブックに頼って、ダークウェブからコードをダウンロードしています。生成AIを使用すると、脅威アクターは他のシステムの脆弱性を突くために特別に設計された悪質なコードを生成することができます。

専門家は、悪意のあるアクターは最も抵抗の少ない経路をたどる傾向があるため、サイバーハイジーンを少し改善するだけでも好結果をもたらす可能性があると指摘しています。
それでは、個人や組織はどうすれば基本的なサイバーハイジーンの実践を補完し、セキュリティを強化することができるのでしょうか？強力なパスワード、定期的なバックアップ、多要素認証が不可欠であることに変わりはありませんが、以下のような追加の手順が推奨されます。

セキュリティキーとは、通常USBでハードウェアに接続する小さな物理デバイスです。基本的に第2の認証形式として機能し、誰かにアカウントのパスワードを知られても、サービスへのアクセスは拒否されます。他の形式の多要素認証とは異なり、簡単にはなりすますことができず、フィッシング詐欺にも遭いにくい方法です。企業では一般的になりつつあり、富裕層や著名人がアカウントへのアクセスを保護するためにも使用されています。

オペレーティングシステムとソフトウェアアプリケーションを最新の状態に保つことが極めて重要です。これにより、悪意のあるアクターによって悪用される恐れのある脆弱性を修正することができます。

組織は、NISTサイバーセキュリティフレームワーク(CSF)や、Center for Internet Securityのクリティカル・セキュリティ・コントロール(CIS-CSC)など、評判が高く信頼できる情報源に従って最新情報を入手し、そのフレームワークに対する進捗状況のベンチマークを定期的に実施する必要があります。

従業員、顧客、個人のサイバーセキュリティ意識を高めます。これには、フィッシングメールの識別方法、パスワードを共有しないことの重要性、公衆Wi-Fiのリスクへの理解に関するトレーニングが含まれます。

特に公衆Wi-Fiに接続している場合に、仮想プライベートネットワーク(VPN)を使用すると、インターネットトラフィックが暗号化されるため、データの傍受から保護することができます。

アクセス制御と最小特権の原則：
組織は、アクセス権を必要とする人だけに制限し、それらの権限を定期的に見直す必要があります。「最小特権の原則」を実施し、ユーザーが重要なネットワークにアクセスできるのは、自分の任務を果たすために必要な最小限のレベルにとどめるようにします。

IEEEメンバーのスカンヤ・マンダル氏(Sukanya Mandal)は次のように述べています。「一言で言えば、基本は極めて重要ですが、包括的なサイバーハイジーンには、セキュリティに対する多層的なアプローチが必要になります。これには、技術的な対策だけでなく、教育、ポリシー、実践が含まれ、それらが一体となることでセキュリティ文化が醸成されるのです。」

■IEEEメンバー 情報通信研究機構 サイバーセキュリティ研究所 サイバーセキュリティ研究室 伊沢 亮一 主任研究員のコメント

生成AIは学習したデータをもとに新しいコンテンツを生み出すことができる技術です。このコンテンツにはメール文章や映像・音声、プログラムなどが含まれ、今後、生成AIが悪用されることで、本提言で挙げられているような巧妙なサイバー攻撃が行われることが懸念されます。
一方で、生成AIによるサイバー攻撃対策にも期待が持てます。例えば、あるシステムに対する攻撃コードがAIにより生成できるのであれば、システムの検証段階でAIを導入し、事前に攻撃の起点となるシステムの脆弱性を修正しておくというAIの利活用が考えられます。
将来的なサイバー攻撃対策として、本提言にあるような基本的なサイバーハイジーンの改善は継続的に実施し、さらに生成AIの利活用も欠かせないものになると思われます。現状では生成AIによる自律的なサイバー攻撃対策が可能になるまでにまだ時間が必要との報告[1]もありますが、今後の動向を注視しておくのが良いと思われます。
[1] Trend Micro Incorporated, “4 Generative AI Security Benefits,”
https://www.trendmicro.com/en_vn/ciso/23/h/generative-ai-security-benefits.html, 2023年8月1日.

IEEEは、世界最大の技術専門家の組織であり、人類に恩恵をもたらす技術の進展に貢献しています。160カ国、40万人以上のエンジニアや技術専門会の会員を擁する非営利団体で、論文誌の発行、国際会議の開催、技術標準化などを行うとともに、諸活動を通じて世界中の工学やその他専門技術職のための信用性の高い「声」として役立っています。
IEEEは、電機・電子工学およびコンピューターサイエンス分野における世界の文献の30％を出版、2000以上の現行標準を策定し、年間1800を超える国際会議を開催しています。

詳しくは http://www.ieee.org をご覧ください。