サイバー犯罪におけるAIの最新の役割 RSA 2025カンファレンスで議論された内容

文●フォーティネットジャパン 編集●ASCII

提供: フォーティネットジャパン

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はフォーティネットジャパンが提供する「FORTINETブログ」に掲載された「事実とフィクションの分離:AIの利用によって変化するサイバー犯罪の概要」を再編集したものです。

 急速に変化するセキュリティ環境において、「人工知能(AI)」は注目のフレーズであり、業界での会話、取締役会での議論、およびメディアの見出しを席巻しています。AIは、サイバーセキュリティの特効薬だと主張する人がいる一方で、私たちが知っているデジタル社会を徐々に破壊するものと考える人もいます。

 エマージングテクノロジーについて言えば、付随するこのようなAIのハイプサイクル(成熟段階)や大胆な主張は、現実とは完全に一致しないことがしばしばあります。脅威アクターがAIを攻撃ツールボックスの中に組み込んでいることは確かですが、しばしば議論される終末的なシナリオの大部分は、理論上の話にとどまっています。

 防御者は、恐怖や不安、疑念を強めるのではなく、AIの利用によって変化する現在のサイバー犯罪エコシステムの状況、およびAIがもたらす将来の変化を明確に評価する必要があります。

 先日、サンフランシスコで開催された2025年RSAカンファレンス(RSAC)で、まさにこのトピックへの対応を目的としたパネルディスカッションに参加しました。私は、カリフォルニア大学バークレー校のCenter for Long-term Cybersecurity(CLTC)Berkeley Risk and Security Lab(BRSL)、およびシンガポール南洋理工大学の専門家らと共に登壇し、AIを利用したサイバー犯罪を深く議論できたことを嬉しく思います。

 セッションでは、防御者が、AIを活用したサイバー犯罪に関する事実とフィクションを区別できるようにするために、実践的、政策的、および学術的な視点を組み合わせながら、進行中の「AI-Enabled Cybercrime: Exploring Risks, Building Awareness, and Guiding Policy Responses(AIを活用したサイバー犯罪:リスクの調査、意識の向上、政策対応ガイド)」などの研究調査から得られた知見、およびFortiGuard Labsの脅威インテリジェンスと分析を活用しました。

サイバー犯罪におけるAIの最新の役割

 サイバー犯罪者は、新しい攻撃手法を作成するためにAIを活用していると考えられがちですが、実際は、脅威アクターは主に、ソーシャルエンジニアリングやマルウェア展開などの既存の手口の効率や規模を強化するためにAIを活用しています。また、AI技術は、サイバー犯罪者の参入障壁を下げ、脅威アクターの初心者でも熟練者でも、成功率と収益性が高い攻撃の実行を可能にしています。

 カリフォルニア大学バークレー校のCenter for Long-term Cybersecurity(CLTC)の非常勤研究員であるGil Baram博士は次のように述べています。「AIは現在のところ、サイバー脅威を再発明するものではなく、加速させるものです。最新の研究から得られた主な調査結果によると、AIから生まれた新たな脅威は見つかっていません。脅威は同じですが規模や範囲が異なり、正確さや精度がより向上しています。」

 シンガポールのS.ラジャラトナム国際研究学院のアソシエイトリサーチフェローであるHelena Huang氏の指摘によると、このような攻撃者の能力の変化は、主にAIの民主化が推進剤となっています。以前はコーディングに関する専門知識が必要でしたが、現在はAIを活用して簡単に利用できるようになりました。攻撃者は「手軽なボタン」としてAIを利用しており、このテクノロジーを使って偵察活動の大規模化やクレデンシャルスタッフィング攻撃の最適化などの労働集約的な攻撃を自動化することで、高度にパーソナライズされたコンテキスト関連性の高いソーシャルエンジニアリングのやりとりを作成したり、既存の不正コードを最適化して検知を回避します。

 パネルディスカッションでは、FortiGuard Labsで得られた、攻撃者が自身の活動支援のために使用しているFraudGPTやWormGPTなどの具体的なツールに関するいくつかの観測結果を紹介しました。また、サイバー犯罪の裏社会におけるAI-as-a-Service(AIaaS:サービスとしての人工知能)の急速な成長についても指摘しました。今日の犯罪者は、過去10年で一般的になったRansomware as a Service(RaaS:サービスとしてのランサムウェア)のように、AIを活用したサービスを購入することが可能で、特定の業界や言語を対象とした偵察ツール、ディープフェイクの生成、またはソーシャルエンジニアリングキットが提供されています。例えば、AI翻訳ツールを利用することで、言語的な誤りが排除され、フィッシングメールの説得力を高めてしまうこととなりました。

 また、パネリストとして、サイバー犯罪経済の構造的な変化に関する知見を提供しました。10年前は、大半のサイバー犯罪者グループが、攻撃プロセス全体を自身で管理していましたが、現在のサイバー犯罪グループは、多様な役割を持つ企業のように運営されています。開発、テスト、アクセスブローカー、収益化は、別々の専門部隊が担当しています。初期アクセスブローカーは、セキュリティ侵害されたシステムを購入者に販売します。その他の部隊は、ソーシャルエンジニアリングやディープフェイクの生成のみに注力しています。

 より深刻な長期的な懸念は、成功した手法やツールが脅威アクターによって共有されるスピードです。ある国家レベルの脅威アクターによって開発された手口は、多くの場合、数週間で他者によって採用されます。

今後の展開とサイバーセキュリティの防御者への影響

 セキュリティ専門家が防御戦略の計画を立てる際は、AIを利用したサイバー犯罪の戦術の数年後の変化を予測することが重要です。また、この進化が業界全体にもたらす根本的な転換および考えられる課題を認識することも同様に重要です。

 本セッションを通して、脆弱性の発見、新たな攻撃ベクトルの作成、および自律型エージェントの使用の増加におけるAIの潜在的な影響について議論しました。今後のAIの進化により、ゼロデイ脆弱性の発見が大幅に加速化する可能性は深刻な懸念であり、防御者は、対応する準備が必要です。

 サイバー犯罪者は、AIを利用して新しい脆弱性を探索するだけでなく、AIを利用して新しい攻撃ベクトルを簡単に開発できます。現在はまだ発生していませんが、必然的に現実になると考えられます。例えば、攻撃者は、AIシステム自体の内部脆弱性を悪用したり、組織が使用する機械学習モデルを標的とする巧妙なデータポイズニング攻撃を実行する可能性があります。

 最後に、現時点では、自律型エージェントのグループが集結して、サイバー攻撃全体を実行する可能性は低いと思われますが、脅威アクターが、攻撃を支援する自動化の導入を増やしている状況をサイバーセキュリティコミュニティで監視することは非常に重要です。

当社の包括的防御戦略の進化

 攻撃者による将来のAIの利用を予測すると、AIを活用した高度化する脅威に対抗するには、防御の進化が必要であることは明白です。パネリストの1人が「AIを活用した攻撃は阻止することが可能で、防御者も、迅速に対応を進めています。」とコメントしています。

 幸いなことに、防御者は同様の対応を開始しています。ITチームは、MITRE ATT&CKなどのフレームワークを利用して、予測モデリングと異常検知を行うためのAIを導入しています。一方で、犯罪企業は俊敏性を保ち続ける中、防御者は多くの場合、官僚主義や責任の縦割りに起因する制約が存在するため、対抗するには、より懸命に取り組む必要がある、と同パネリストは指摘しています。

 サイバー防御の進化には、AIを活用した脅威ハンティング、超自動化されたインシデントレスポンス能力、セキュリティアーキテクチャの再考の可能性を重視することなどが含まれます。

 防御の戦略や戦術を調整するだけでなく、これらの強化につながる今回のような対談や官民連携は、私たち全体の成功にとって極めて重要です。私がパネルディスカッションで述べたように、国際的な協力が不可欠になっており、これが効果的な防御のための唯一の道のりです。

 また、これらの議論は、政策変更にも反映させる必要があり、AIの利用や悪用に関して、新しいフレームワーク、および標準化され国際的に承認された規範を事前に策定することが求められます。

 AIは引き続き、サイバーセキュリティのあらゆる側面に影響を及ぼすと予想されます。人材や専門知識に関係なく、単一の組織だけでこの変化をうまく乗り越えることはできません。フォーティネットは、CLTCのAIを活用したサイバー犯罪の取り組みや他の同様の取り組みに対して、引き続き貢献できることを嬉しく思います。私たちは、変化する脅威の状況を乗り越え、協力して敵対者に対抗しながら、業界や国境を超えて防御者を支援していきます。

 成功は、テクノロジーだけでなく、協力、柔軟性、継続的な適応力にかかっています。

 パネルディスカッションの締めくくりに、技術競争は今後も続く一方で、私たち自身もまた確実に進化し続けているというメッセージを加えました。

■関連サイト

Fortinet トップへ