攻撃のターゲットはより絞り込まれ、恐喝はより執拗なものになる

“AIと自動化”でスマート化するサイバー犯罪、Fortinetがそのトレンドを解説

文●大塚昭彦/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

 フォーティネットジャパン(Fortinet)は2024年10月17日、直近の脅威ランドスケープ(脅威の全体像)を解説する記者説明会を開催した。同社の脅威インテリジェンス組織を統括する米Fortinet幹部のデレク・マンキー氏が出席し、“スマート化”する現在のサイバー犯罪のトレンドを説明するとともに、それに対抗していくためのFortinetにおけるAI技術活用について紹介した。

米Fortinet 主席セキュリティストラテジスト 兼 脅威インテリジェンス担当 グローバルVPのデレク・マンキー(Derek Manky)氏

2024年は全世界で1.6兆回の攻撃行動を検知、日本は168億回

 マンキー氏は、Fortinetのグローバルな脅威インテリジェンス調査チーム「FortiGuard Labs」を指揮する人物だ。FortiGuard Labsには現在、およそ500名のセキュリティ専門家が在籍しており、脅威状況の調査分析や技術的なR&Dに当たっている。

 FortiGuard Labsが分析、提供を手がけるのが、包括的なセキュリティサービス「FortiGuard」の脅威インテリジェンスである。世界中に展開されているFortinetのファイアウォール、エンドポイントセキュリティ(EDR、EPP)、クラウドセキュリティ(CNAPP)などの製品を情報収集の“センサー”として、未知の脅威情報をいち早く収集し、専門家が分析を行う。そこで発見された新たな脅威の情報は、すぐさま顧客の防御に役立てられる仕組みだ。

 ただし、数百万台規模のセンサーから収集されるイベントデータは、毎日数十億件規模に達する。そのためFortiGuard Labsでは、AI/ML(機械学習)の力も活用しながら分析処理を行っている。

FortiGuardでは、数百万台規模のセンサーから収集した膨大な情報を、AI/MLを活用しながら専門家が分析している

 なお、2024年1月~9月(Q1~Q3)の9カ月間で、FortiGuard Labsが検知した攻撃行動(Malicious Activity)は、グローバル総計でおよそ1.6兆回に及んだという。地域別(APAC、北米、南米、EMEAの4地域)ではAPACが最多の5098億回で、日本はAPACで5番目に多い168億回だった。「日本に対する攻撃は非常に活発だ」(マンキー氏)。

 また、日本に対する攻撃で多く見られたのが「クレデンシャルアクセス」、つまりIDやパスワードなどを狙った攻撃だったという。マンキー氏は、こうした攻撃の現状から「『多要素認証』や『ゼロトラスト』『ID管理』への取り組みが必要だと分かるだろう」と述べる。

グローバルの脅威ランドスケープと日本の脅威ランドスケープ(2024年1~9月)

ダークウェブ調査から見える「攻撃者のトレンド」は?

 ただし、攻撃の回数や手法だけを見ていても“攻撃者の気持ち”までは分からない。マンキー氏は、最近の攻撃行動やダークウェブの調査から読み解ける「攻撃者側のトレンド」を紹介した。

 マンキー氏は、最近のサイバー攻撃は「ハードに(強力に)」なっているのではなく「スマートに(賢く)」なっているのだ、と説明する。手当たりしだいに攻撃を展開するのではなく、最終的な目的(金銭を得るなど)を見定めたうえで、特定の業種にターゲットを絞り、効率良く攻撃を行って目的を達成するのがトレンドだ。

 実際に、ダークネットで活動する初期アクセスブローカー(ネットワークに不正侵入するための情報を、攻撃を実行する犯罪者に販売する)では、特定業種に絞ったかたちで販売を行うケースが見られるという。また、攻撃実行についても業種が絞られる傾向があり、たとえば現在のランサムウェア攻撃は、OT(製造業の現場)をターゲットとするものが44%を占めるという。

 さらに、AIを活用した自動化による攻撃の迅速化(エクスプロイトが実際の攻撃に使われるまでの短期化)、ランサムウェア攻撃における恐喝の多重化(「データの暗号化」だけでなく「機密情報の公開」「データの破壊」を含む)といったトレンドも見られると説明した。

ダークネットの初期アクセスブローカーは、業種を絞って情報を売りに出しているという

特定の業種に標的を絞り、多重の恐喝を行うなど、攻撃はより「スマート」に(効率的に)なっている

 なお、昨今の地政学的な変化を背景として、国家が関与/支援するサイバー犯罪も「かつて見ないようなレベルで発生している」とマンキー氏は指摘した。“生成AIの武器化”が進んだり、ダークウェブで「Reconnaissance(偵察) as a Service」といったサービスが販売される状況が見られたりするという。

 Fortinetでは古くから、Interpol、NATO、世界経済フォーラムなどグローバルなサイバーセキュリティ機関とのパートナーシップに基づく活動を続けており、マンキー氏自身もCyber Threat Alliance、MITREなどに在籍する。その取り組みのひとつとして、サイバー犯罪のエコシステムに関する情報を共有し、その姿を明らかにすることで、資産の差し押さえや組織の壊滅を狙う「Cybercrime Atlasコミュニティ」にも参加していると紹介した。

高度化、組織化するサイバー犯罪に対抗するために、Fortinetではさまざまなセキュリティ機関とのパートナーシップを組んでいる

FortinetにおけるAI/ML活用は「第3フェーズ」に入った

 前述したとおり、FortiGuardでは1日数十億件規模のイベントデータを収集してAI/MLで自動処理し、専門家による詳細な脅威分析に役立てている。マンキー氏は「われわれは15年ほど前から、AI/MLの開発を続けてきた」と説明する。

 AI/MLの第1フェーズは2012年ごろから、FortiGuard LabsおよびFortiGuardのクラウド側、つまりFortinet社内での採用だった。

 「(AI/MLの導入を進めた理由は)新たな脅威、マルウェアサンプルが1日に100万件を超えるようになり、FortiGuard内部の脅威分析処理プロセスを自動化する必要が生じたためだ」

 やがて第2フェーズとして、ここで培ったAI/MLの技術やモデルを、ファイアウォールやEDR、サンドボックスといった製品に搭載していった。ユーザー側、すなわち「オンプレミス」への展開である。

FortinetにおけるAI/ML活用の歴史。FortiGuardクラウド側からユーザー側に活用が広がり、現在は生成AIも組み込んだ新たなフェーズに移行している

 そして、この2年ほどは第3フェーズの「FortiAI」に進んでいると、マンキー氏は説明する。ニューラルネットワーク技術を活用して、AIによるさらに高度な自動化処理やセキュリティ運用(SecOps)支援を行うものだ。Fortinetでは、これまでにAI関連で42件の特許を取得しているという。

 FortiAIでは、もちろん生成AI技術も取り込んでいる。ただし、これまでの長年にわたるAI開発の知見が基礎になっており、単に「自然言語によるユーザーインタフェース」だけを実現するものではないことを強調した。

 「たとえばFortiAIは、セキュリティのオーケストレーションを行うプレイブックを自動生成することができる。これを人間がやろうとすると、多数のアナリストが時間をかけてやる大変な作業になる」

 なおFortiAIについては、セキュリティ運用の簡素化や迅速化につながる機能やユースケースについて紹介する機会をあらためて設けたいとした。

■関連サイト