人工知能は優れたサイバーセキュリティツールだが、諸刃の剣でもある

[[245793]]

セキュリティにおける AI の役割は、ホワイトハットハッカーとサイバー犯罪者の両方にとって魅力的ですが、両者のバランスはまだ見つかっていないようです。

人工知能は、大規模な機能の自動化だけでなく、時間の経過とともに学習した内容に基づいて意思決定を行う可能性を秘めているため、サイバーセキュリティ開発者にとって新たな大当たりとなっています。これはセキュリティ専門家に大きな影響を与える可能性があります。多くの場合、企業にはマルウェアの山から針を見つけるためのリソースがないのです。

たとえば、普段はニューヨークで働いている従業員が、ある朝突然ピッツバーグからログインした場合、それは異常です。AI は、ユーザーがニューヨークからログインすることを予期するように学習しているため、それが異常であると認識できます。同様に、ユーザーがピッツバーグからログインし、数分後にカリフォルニアなどの別の場所から再度ログインした場合、悪意のある意図の兆候となる可能性があります。

したがって、最も単純なレベルでは、AI と「機械学習」は行動規範を理解することを中心に展開されます。システムは、正常な動作が何であるかを学習し、ベースラインを確立するために環境を観察するのにある程度の時間を必要とします。そうすることで、アルゴリズムの知識をデータセットに適用して、標準からの逸脱を検出できるようになります。

サイバーセキュリティのための AI は、さまざまな方法で防御者を支援できます。しかし、AIの登場には欠点もあります。まず、サイバー犯罪者もこの技術を利用しており、さまざまな悪意のあるタスクに使用できることは明らかです。たとえば、開いている脆弱なポートをスキャンしたり、会社の CEO の口調や声そのままの電子メールを自動作成したりすることが、24 時間盗聴されています。

近い将来、この自動模倣は音声にも拡張される可能性があります。たとえば、IBM の科学者たちは、AI システムがユーザーの独自の話し方や言語特性を分析、解釈、反映する方法を考案しました。理論的には、人間がテクノロジーと会話しやすくなります。しかし、この種の悪意のある欺瞞的なアプリケーションが使用される可能性は明らかです。

同時に、サイバーセキュリティなどさまざまな分野で AI を導入しようとする熱意が高まり、新たな攻撃対象領域が急速に拡大しています。これは、設計段階から組み込まれたセキュリティが必ずしも有利になるとは限りません。 AI には、オンライン ショッパーへのスマートな推奨事項の提供、品質チェックの自動化による生産プロセスの高速化、さらには山火事のリスクの追跡と監視など、あらゆる業界に革命を起こす力があります。カナダのアルバータ大学の研究者たちは、この点に関してさらなる研究を行っています。

AI のこの二面性、つまり一方では善の力、他方では悪の力は、まだバランスが取れていないものの、AI への関心は高まり続けています。

人工知能のための「良い戦い」

人工知能は、サイバーセキュリティへの応用に関して大きな注目を集めています。 AI は大量のデータを分析して関連するパターンや異常を探すため、一定期間にわたって何が誤検知を構成し、何らかの規定されたポリシーの範囲内で何が除外されるかを学習することが求められる場合があります。そのため、これは侵入防止と検出にとって非常に有益なものとなり、たとえば不正行為の検出や、DNS データの流出や認証情報の不正使用などの悪意のある活動の根絶が可能になります。

人工知能アルゴリズムは、ユーザーおよびネットワークの動作分析に適用できます。たとえば、機械学習は、人、エンドポイント、プリンターなどのネットワーク デバイスのアクティビティを観察し、潜在的に悪意のあるアクティビティにフラグを立てます。

同様に、AI は Web 行動分析でも役割を果たし、ユーザーが Web サイトとどのようにやり取りするかを研究し、オンライン詐欺検出を補完する役割を果たします。

たとえば、ユーザーが小売アプリケーションにログインし、サイト内を検索して、詳細を確認する製品を見つけ、その製品をショッピングカートに保存するか、チェックアウトする場合です。ユーザーは購入者として行動プロファイルを構成できるようになりました。将来、そのユーザーが同じ電子商取引サイトで大幅に異なる行動を示した場合、潜在的なセキュリティインシデントとしてフラグが立てられ、さらに調査される可能性があります。

DNS 側では、AI システムが DNS トラフィックを検査して、DNS クエリが権威サーバーに送信されたが有効な応答を受信しなかったインスタンスを追跡できます。 「これを防ぐのは難しいが、検出するのは簡単だ」と、Plixerの監査およびコンプライアンス担当ディレクターのジャスティン・ジェット氏はThreatpostの最近のコラムで説明した。たとえば、シリアル番号 0800fc577294c34e0b28ad2839435945.badguy.example[.]net が特定のネットワーク マシンに何度も送信されると、システムは IT プロフェッショナルに警告を発します。 ”

パスワードの侵害や不正使用を特定することも良い例です。データ侵害により人々の電子メールやパスワードがダークウェブ上に流出するため、この種の攻撃はより一般的になりつつあります。たとえば、Equifax のデータ侵害では数百万件の有効な電子メールが公開され、2016 年の Yahoo のデータ侵害では攻撃者が 5 億人のユーザーのアカウント情報にアクセスすることができました。人々はパスワードを再利用する傾向があるため、犯罪者は成功することを期待して、異なるマシンで異なる電子メールとパスワードをランダムに試します。

こうした攻撃を特定するには、「AI はユーザーのベースラインをすでに持っているため、ここでは役立ちます」と Jett 氏は説明した。 「これらのユーザーは、毎日複数のデバイスに接続してログインします。1 人のユーザーがサーバーに何百回もログインを試みることはよくありますが、100 台の異なるマシンに接続しようとして 1 回しか成功しないユーザーを見つけることはまれです。」

AI は、オープンソース コードの潜在的な欠陥を自動的に評価するためにも使用できます。たとえば、サイバーセキュリティ企業の Synopsys は、AI を使用して既知の脆弱性をオープンソース プロジェクトに自動的にマッピングし、企業に対するリスクの影響を評価しています。たとえば、数百の法的文書 (ライセンス、利用規約、プライバシー ステートメント、HIPAA、DMCA などのプライバシー法など) を自動的に分析して、検出された脆弱性のコンプライアンス リスクを判断します。

しかし、脆弱性のもう一つの応用は、回顧と予測です。新たな脆弱性が発表された場合、ログデータを調べて、過去に悪用されたかどうかを確認することができます。あるいは、これが実際に新しい攻撃である場合、AI は、攻撃者の次の動きが何であるかを判断するのに十分な証拠があるかどうかを評価できます。

AI は、特定のパターンを見つけるといった、退屈で反復的なタスクでも優れたパフォーマンスを発揮します。 JASK の CEO 兼共同創設者である Greg Martin 氏は、そうすることで、その実装により、ほとんどのセキュリティ オペレーション センター (SOC) が直面しているリソースの制約を軽減できると述べています。 SOC スタッフは毎日何百ものセキュリティ侵害を展開しますが、もちろんそのすべてが実際の攻撃というわけではありません。

「セキュリティチームは常に情報に圧倒されている」と451リサーチのリサーチディレクター、スコット・クロフォード氏はインタビューで語った。 「敵の行動、最新の攻撃ツール、マルウェアの変化、内部リソースなどについて、膨大な量の情報が生成されています。侵入防止の分野では、生成されるログ データとアラートの量が膨大です。 SIEM 市場はこの問題を部分的に解決するように設計されており、対処が必要な問題がある場合にのみ登場しますが、それだけでは十分ではありません。その結果、分析と人工知能を通じてデータを処理し、そこから意味を引き出す新しいテクノロジーが登場しています。 ”

まだ完璧ではない

AI はセキュリティの分野でさまざまな用途に使用されていますが、企業は AI の限界を注意深く理解する必要があります。これらのエンジンの性能は、そこに入力されるデータの品質に左右されます。データをアルゴリズムに帰属させるだけでは、アナリストは何が異常であるかを知ることはできますが、それが重要であるかどうかはわかりません。 AI のパラメータを設定するデータ サイエンティストは、AI の機能を適切に活用するために適切な質問をする方法を知っておく必要があります。 AI は何を探すべきでしょうか? そして、発見したら AI は何を行うべきでしょうか? 多くの場合、望ましい結果を得るために AI をプログラムするには複雑なフローチャートが必要です。

具体的には、例えば小惑星帯の小惑星の異常な動きを見つけるように AI をトレーニングするのは簡単です。しかし、それが地球に向かっているかどうかを知ることが目的であれば、慎重な調整が必要となる。

また、今日のデジタルワークプレイスでは、膨大な企業情報が手元にあるため、人間による監視という形で不具合を監視することは良い考えです。 AI にネットワーク監視の任務を単に割り当てるだけでは、ドキュメントを過度に積極的に隔離したり、重要なデータを削除したり、正当な情報を大量に拒否したりするなど、意図しない結果が生じる可能性があり、生産性に重大な影響を与える可能性があります。たとえば、AI の想定では、前回のログイン シナリオでは、従業員は単に旅行中だった可能性があり、アクセスを遮断することは最善のアイデアではなかった可能性があります。

「どんな機械も完璧で、あらゆる潜在的な行動の可能性を考慮することはできない」と、アズテック・コンサルティングのチーフ・セキュリティ・アーキテクト、ネイサン・ウェンツラー氏はインタビューで語った。 「つまり、人間の注意が必要なのです。そうしないと、正当なものの多くが「悪質」とフラグ付けされたり、マルウェアやその他の攻撃が「善良」とコード化されたりする可能性があります。関連するアルゴリズムには限界があり、時間の経過とともに改善されます。しかし、攻撃はより巧妙になり、学習プロセスを回避して効果を発揮する方法を見つけることもあります。」

また、異常事態が発生した場合に合理的な判断を下せる人材も必要となるため、人々が懸念すべき領域についても考慮する必要があります。簡単な電子メールの形でその従業員に手動のアンケートを実施することができます。大企業では数分ごとにこのような異常が数百または数千件発生していることを考えると、大したことではないように思えます。

「サイバーセキュリティで AI を最大限に活用する最良の方法は、教師あり学習を使用して悪意のある行動の詳細なパターンを特定し、教師なしアルゴリズムで異常検出のベースラインを確立することです」と Jett 氏は説明します。「人間はすぐにはこの方程式から排除されることはありません。」

サイバー攻撃者の宝庫

AI の進化の裏側では、これらのエンジンの機能がさらに強力になり、普及するにつれて、サイバー犯罪者もこの技術を悪用できることに気づき始めています。特に、サイバー攻撃を実行するのがかつてないほど安価かつ容易になっているためです。

たとえば、「AI の悪意ある使用」レポートによると、AI は、スピアフィッシングの自動化、リアルタイムの音声合成を利用した攻撃や詐欺のシミュレーション、パケット スニッフィングやエクスプロイトなどのアクティビティの大規模な実行など、攻撃の有効性を高めることができます。また、この報告書では、AI は既存のソフトウェアの脆弱性を大規模に悪用するために使用される可能性もあると述べています (例: 1 日に数万台のマシンを自動的に侵害する)。

「AIの使用により、サイバー攻撃に関わるタスクを自動化することができ、攻撃の規模と効果の間の既存のトレードオフが緩和されるだろう」と報告書の著者らは述べている。

これらは単なる理論ではありません。 2017年、サイバーセキュリティ企業ダークトレースは、偵察目的でネットワーク上の通常のユーザー行動のパターンを観察・学習するために「初歩的な」人工知能を使用した攻撃をインドで実行した。キャンペーンでは、特定のユーザーのコミュニケーション パターンを解析して、そのユーザーの口調やスタイルを模倣することもできます。これは、たとえば、標準的なソーシャル エンジニアリングの試みよりも効果的で説得力のあるビジネス メール詐欺メッセージの組み立てを自動化するために使用できます。

人工知能は優れたサイバーセキュリティツールだが、諸刃の剣でもある

同様に、悪意ある使用に関するレポートでは、AI は大規模なデータ収集に関連するタスクを自動化するために使用され、プライバシー侵害や社会秩序などに関連する脅威を増幅させる可能性があるとも指摘しています。

「既存のデータを利用して人間の行動、感情、信念を分析する新たな攻撃も出現すると予想される」と報告書は警告している。「こうした懸念は権威主義国家において最も重要だが、民主主義国家が真の公共討論を維持する能力を損なう可能性もある」

AI 主導のもう一つの発展は、最近の Hide and Seek ボットネットのようなボットネット スウォームの増加です。 Hide and Seek は、カスタム ピアツーピア プロトコルを介して通信する世界初の自己学習型デバイスのグループです。従来のボットネットはロボットからの命令を待ちますが、スウォームは独立して意思決定を行うことができます。

「異なる攻撃ベクトルを同時に識別して攻撃できる」と、フォーティネットおよびフォーティガード・ラボのグローバル・セキュリティ戦略家、デレク・マンキー氏はThreatpostとの最近のインタビューで語った。 「スウォームは攻撃チェーン、つまり攻撃サイクルを加速させます。スウォームは攻撃者が素早く行動するのを助けます。時間の経過とともに防御が強化されるにつれて、攻撃の機会は減少します。これは攻撃者が失われた時間を埋め合わせるための方法です。」

将来に向けて

おそらく破壊的イノベーションの取り組みに遅れを取らないための努力から、AI はセキュリティの観点から注目を集めており、企業は AI をセキュリティ製品に組み込む頻度が増えています。今後は、急速に加速し複雑化する脅威の状況にこれをさらに完全に適用することに重点が置かれます。

「私たちが目にしているのは、攻撃の高度化が続いていることです。これは、どこにお金を使うべきか分からないリソース不足のセキュリティ部門を背景に起きています」と、情報セキュリティフォーラムのマネージングディレクター、スティーブ・ダービン氏はインタビューで語った。「これらすべては、ますます多くのIoTデバイスがさまざまなソースから情報を取得し、サードパーティのサプライチェーンが非常に複雑になることが多い、ますます複雑化する環境で起きています。AIはますますあなたの腕を必要とするものになりつつあります。」

同氏の説明によると、その目的は、攻撃が起こる前にそれを予測すること、あるいはサイバー犯罪者がネットワークに到達する前に先制的に阻止することだという。

これが起こり始めていることを示す証拠があります。たとえば、IBM は Watson 人工知能と高度な分析機能を使用して、毎日 600 億件のセキュリティ イベントを監視しています。同社は、存在しない手がかりにハッカーを騙して貴重な時間とリソースを無駄にさせるためのAIベースの「認知ハニーポット」を開発した。この技術は、悪意のあるハッカーを騙して、電子メールのやり取りやインタラクティブなウェブサイトを通じて攻撃をそらすように仕向けます。

「IBM の Watson との取り組みは、機械学習の威力と、それが総合的なビジネスの観点から何ができるかをはっきりと示しています」とダービン氏は語ります。「まったく無関係に思えた情報も、今では結び付けられるようになりました。しかし、ベンダーのソリューションの成熟度は、まだ初期段階です。組織の観点から言えば、私はセキュリティ部門がスタッフを配置してベンダーと協力し、将来のセキュリティ ツールを開発することを支持します。」