攻撃対象の拡大／ID ベースの攻撃／AI の新たな利用がテーマ – RSA Con 2024

RSAC: Experts Highlight Novel Cyber Threats and Tactics

2024/05/10 InfoSecurity — サイバー犯罪者や脅威アクターたちが、ツールの性能を向上させるにつれて、洗練された新たな攻撃手法が出現している。防御者たちにとっては、この進化を常に把握することが不可欠となる。Proofpoint の Senior Manager of Threat Research である Daniel Blackford は、「攻撃者たちは大きな成功を収め、多くの資金を手にし、活動範囲を拡大している」と説明している。

さらに Daniel Blackford が付け加えているのは、サイバー犯罪のエコシステムが拡大し、Cybercrime-as-a-Service のエコシステムが、より専門化されていることだ。5月6日〜9日にサンフランシスコで開催された RSA Conference 2024 では、攻撃対象の拡大／ID ベースの攻撃／AI の新たな利用という、３つの重要なサイバー脅威のテーマが浮き彫りになった。

攻撃対象の拡大

それぞれのセキュリティ・チームは、組織のエンドポイントに焦点を当てがちだ。しかし、その一方では、技術インフラ全体が標的になる可能性が頻繁に指摘されている。

Secureworks の CTO である Mike Aiello は、同社の顧客ベースで、前日に確認された APT によるルーター侵害を取り上げた。Aiello は Infosecurity に対して、「脅威アクターたちの攻撃対象はエンドポイントを超え、インフラ全体となっている」とコメントしている。

また、SANA Technology Institute College の研究部長である Johannes Ullrich は、サポートが終了した膨大な数のシステムやソフトウェアが使用され続け、組織の技術スタックは ”変曲点” を迎えていると述べた。彼は、「これらのソフトウェア・スタックの多くに、亀裂が生じつつある」と指摘している。

多くの組織が、複数の言語で書かれたソフトウェアを使用しており、その中には古いものもある。このような現実は、脅威アクターにとって絶好のチャンスであるため、このようなシステムを段階的に置き換えるプロセスを、ユーザー組織は開始する必要に迫られている。

AI が本人確認とオンライン・セーフティに挑む

生成 AI ツールの利用可能性が高まる中で、特にクローズアップされているのは、ID をめぐる問題だ。Ullrich によると、それらの AI ツールにより、高精度のディープフェイク音声の開発コストが大幅に削減されたという。一連の悪意のツールは、古くから確立されている CAPTCHA のような、本人確認ツールをバイパスするようになってきている。

Ullrich は、その解決策はリスクベースの ID にあり、過度なチェックによる煩わしさを防ぐことにあると考えている。そこに含まれるものに、AI を使った異常な行動の特定や、レビューのためのフラグ設定などがある。

今年の RSA Con では、sextortion の惨状の拡大も取り上げられた。SANS Institute で DFIR (Digital Forensics and Incident Response) のカリキュラムを担当する Mahalik Barnhart は、sextortion は “制御不能である” と表現している。

Sextortion とは、被害者に自身のヌード写真を送るよう強要する脅威アクターが、写真を公開しないという約束と引き換えに、金銭を支払わせる行為である。それらは多面的な詐欺であり、オンライン上でのグルーミングを含み、しばしばディープフェイク技術が使用される。

Barnhart は、ネット上に投稿された画像が、生成 AI によるフェイクだとしても、多くの人の目に触れるため被害は拡大し、取り返しがつかないことになると指摘する。ESET が 2023年8月に行った調査によると、2023年上半期の sextortion 詐欺は、2022年上半期と比較して 178％増加したという。

Barnhart は、「写真が本物であろうとなかろうと、一枚の写真が人生を台無しにすることがある」と指摘する。

sextortion 詐欺の被害者の大半は子ども達だが、sextortion 攻撃を防ぐには、啓蒙と教育がカギとなる。オンラインで見知らぬ人と話さないといった、基本的なルールを徹底することだ。そのことを、親も子供も理解する必要がある。

AI が生成するマルウェア

マルウェアの作成に AI を活用することが、サイバー・セキュリティの専門家たちにより議論されてきた。現在では、洗練された脅威グループが、この戦術をキャンペーンに活用しているようだ。

Blackford が例として挙げるのは、2024年4月に TA547 というグループが実行したサイバー・キャンペーンである。Proofpoint が発見した同キャンペーンでは、最終的なペイロードを配信するために PowerShell スクリプトが使用されたが、このスクリプトは、ChatGPT などの LLM (large language model) により作成された可能性が極めて高いという。

重要な指標のひとつは、コードのほぼ全ての行が、綿密に文書化されていたことだ。Blackford は、「完璧な文法で、徹底的な文書化を実施する開発者に会ったことがない」と指摘している。

RSA Con 2024 からの記事も、今回で５本目となります。今日の記事で面白かったのは、人間のズボラさを AI が真似るのは、それなりに難しいという指摘です。今後は、それをもカバーする AI が登場するのでしょうか？ よろしければ、以下の RSA Con リンクも、ご利用ください。

• 05/08：OSS：レギュレーション整備／Security-by-Design／AI の活用
• 05/08：CISA の Vulnrichment：NVD が残したギャップを埋める？
• 05/07：Security by Design の強化を目指す米国政府：メモリセーフな開発言
• 05/06：Google の最新セキュリティ製品：AI とMandiant のノウハウをプッシュ