防御側に残された手段は「AIによる対抗手段」を手にすること
現時点はまだ、攻撃者もAIの実装で試行錯誤している段階だ。しかし、進化のスピードは極めて速い。AIが、人間が見破れないほどの、限りなく本物に近いフィッシングメールを生成できるようになるのも時間の問題だろう。同じように、RaaSが提供する攻撃サービスも、これまで以上のスピードで機能強化が進むに違いない。
そんな時代には、防御側でもAIを駆使して対抗するしかない。
たとえばフィッシングメールに対して、Check Pointでは、セキュリティ意識向上のトレーニングによる“人的対策”と、「Harmony Email & Collaboration」という製品で攻撃メールそのものをはじく“機械的対策”の両面で対抗する。
後者は、インラインAPIを通じてリアルタイムにメール全体をAI解析するのが特徴で、件名や本文がフィッシングメールにありがちなものでないか、「緊急」「至急対応」といった感情を煽る表現が含まれていないか、「返信不可」「今は対応できない」といった回避的な表現があるか、そもそも文章に違和感がないか、送信元として名乗る名義とリンク先URL/ドメインに一貫性があるかなど、メールのコンテキストをふまえた解析を実施。これにより、より高い精度でフィッシングメールをブロックする。
AIは300以上のメールの特徴をとらえて、リアルタイムにフィッシングメールかどうかを解析する
判定に用いる特徴の例。これらを総合的にとらえて「フィッシングメールらしさ」を判定する
また、2024年11月に「Check Point Quantum Firewall R82」に追加された新AIエンジンでは、フィッシングサイト検知能力を強化した。“フィッシングサイトの90%は24時間以内に消える”と言われる中で、こうした時間経過で見えなくなる揮発性の高い情報とグローバルなトラフィックパターンなどを学習・分析して、来たる“未知の攻撃キャンペーン”も予測し、発生時には即時ブロックできるという。加えて、AIの自然言語処理能力を用いてWebサイトの内容を解釈し、自動的にカテゴリ分類ができる。Check Pointでは「98%のURLを正しく分類できる」と述べている。
クラウドベースの脅威インテリジェンス/AI基盤「ThreatCloud AI」では、毎日40億件近くのWebサイトやファイル、2.5億件以上のメールを30年以上にわたって検証してきた。ここで蓄積してきたデータと最新AIエンジンの組み合わせにより、既知・未知の脅威を確実に検知できるという。同社のソリューションやサードパーティ製品に情報をフィードして、迅速な防御を展開する。
そして、Check Point製品の統合プラットフォーム「Infinity Platform」では、サードパーティ製品と連携した自動防御とオーケストレーションを提供する「Infinity Playblocks」が実装された。うっかりフィッシングサイトのURLをクリックしてしまった場合も、他製品と連携することでそのアクセスを速やかにブロックすることが可能だ。
Check Pointのプラットフォーム「Infinity Platform」
サイバー攻撃者は、生成AIを自在に操る“AIネイティブ世代”へと進化しつつある。攻撃は巧妙化し、自動化され、拡張されていく。防御側もまたAIを駆使し、予測と即応を前提とした新たな防御体制を築く必要がある。いまやAIは、攻撃と防御の両陣営にとって不可欠な存在だ。その主導権をどちらが握るのか。この構図がどう変化していくのか、引き続き注視が必要だ。
