AI/機械学習、5G、仮想通貨、IoTの普及はサイバー攻撃をどう変えるか?その影響を考える
2019年はこんなセキュリティ脅威が!15社予測まとめ《前編》
2019年01月22日 07時00分更新
AI/機械学習エンジンをだます「機械学習ポイズニング」手法
攻撃者たちが、各種セキュリティツールによる脅威検知機能を回避するためにAI/機械学習を活用するようになるという予測も多い。上述のAIファジングもそうだが、これまでコスト的に見合わなかった攻撃手法も、AI技術による自動化で実用的なものになる可能性がある。たとえばマカフィーは次のように述べており、クラウドストライクも同様の予測をしている。
「人工知能(AI)は次の武器……我々は、後々のステージ展開や検出の回避以前に、回避技術が人工知能の活用を開始し、ターゲット選択の自動化や感染環境の確認が可能になると予測します」(マカフィー)
セキュリティ製品へのAI/機械学習技術の投入が進みつつあるが、これを欺く攻撃手法も登場しそうだ。フォーティネットでは、セキュリティ製品が備える機械学習エンジンに汚染された学習データを与え、判断を誤らせる「機械学習ポイズニング(Machine Learning Poisoning)」攻撃の発生を予測している。
たとえば、機械学習によるアノマリ検知(異常なふるまいの検知)技術を組み込んだセキュリティ製品が増えているが、機械学習ポイズニングによって、特定の攻撃だけは見逃すよう仕向けることを狙うという。ファイア・アイも同様の警告を発している。
「正規トラフィックと脅威を混合させたり、機械学習モデルを混乱させるデータをあえて学習させるような、AIベースの(セキュリティ)ソリューションを回避する新たな手口が登場すると予測されます」(ファイア・アイ)
当然ながら、機械学習ポイズニングはセキュリティ製品以外で使われるAI/機械学習エンジンにとっても大きな脅威となる。たとえばアバストでは、カメラに写ったものを判別する物体検知アルゴリズムを混乱させて、「一時停止の標識を時速45マイルの速度制限標識に誤認させる」ような攻撃例を確認していると述べている。自動運転車や産業ロボット、ホームセキュリティなど、AIによってコントロールされるシステムが身の回りに浸透してくる中で、こうした攻撃が実行されれば人命に関わる危険性が生じる可能性すらある。
機械学習ポイズニングの問題点は、そうした攻撃が行われていることが発覚しにくいことにある。現状のAI技術については、判断の根拠がブラックボックス化するという問題点が指摘されているが、ここでも同様だ。さらにシステム処理の自動化が進めば、AIエンジンがごく限定的な場面で誤った判断をしていたとしても、防御側の人間はおそらく気付くことができない。
AIで高度に進化した「ディープフェイク」ビデオが人間をだます
マシンではなく「人間をだます」攻撃アプローチ、つまりソーシャルエンジニアリングはどうだろうか。やはりこちらでも、高度化したAI技術の悪用によっていくつかの手法がより高度化する可能性が指摘されている。
トレンドマイクロやウォッチガードが予測しているのが、チャットボットを使ったフィッシング詐欺の発生だ。最近ではECサイトやオンラインバンキング、そのほかあらゆる業種のWebサイトで、ユーザーが質問や相談をするためのチャットツールが用意されている。また、LINEのようなメッセージングアプリ上で企業アカウントを開設し、問い合わせを受け付けるケースも増えた。こうしたトレンドを悪用するわけだ。
具体的には、正規サイト上に表示した偽のチャットツールやSNSのなりすましアカウントを使い、そこでのやり取りを通じてユーザーをフィッシングサイトに誘導したり、マルウェアのインストールを促したり、個人情報を聞き出したりする。ここにチャットボットエンジンを導入すればやり取りを半自動化することができるので、手間をかけることなく“スムーズに”フィッシング攻撃を完了できるだろう。チャットボットに慣れたユーザーほど、多少不自然なやり取りであってもボットが応答しているのだろうと考え、怪しまない可能性が高い。
また、いわゆる“フェイクニュース”のような偽情報の大量生成にAIが悪用される可能性も指摘されている。特に、シマンテックやアバストは「偽造された悪質なビデオ」の発生に注意を促している。これは国家間のプロパガンダ戦はもちろん、ビジネス上の詐欺や脅迫にも用いられかねない攻撃手法だ。
「ディープフェイク(Deepfake)」と呼ばれる、高度なAI技術を背景としたフェイク画像/音声/動画の生成技術はすでに実用の域に達しており、セキュリティ研究者や国防関係者が問題視している。たとえそれがあり得ないような内容のものであっても、精巧に偽造されたビデオを見せられれば大半の人はそれが事実だと信じ込んでしまうだろう。たとえば米Buzzfeedが作成した、オバマ元米大統領になりすまして下品な言葉をしゃべるビデオを見れば、その精巧さと恐ろしさがおわかりいただけるはずだ。
