サイバー攻撃にアジャイル開発、スウォーム技術、AI／機械学習が使われる――新たな脅威をFortinetが説明：攻撃者がAIに悪いことを教えてしまう

FortinetのChief of Security Insightsを務めるデレク・マンキー氏が来日し、最新のリサーチ結果に基づく脅威動向を説明。今後現れる恐れのある新たな脅威について警告した。

[高橋睦美，＠IT]

　FortinetでChief of Security Insightsとして脅威リサーチに当たっているデレク・マンキー氏が2019年7月28日に来日し、最新の動向について解説した。

　同氏は「今はC2（コマンド＆コントロール）サーバで制御されているbotネットが、『スウォーム』（Swarm：群体）化し、感染したマシン同士が自律的にコミュニケーションを取って攻撃を展開するようになる可能性がある。よりアダプティブで、レジリエンスが高く、拡張性のあるbotネットが生まれる恐れがある」など、新たな脅威の姿を警告した。

攻撃者側もアジャイル開発を採用し、高頻度でリリースを繰り返す時代に

Fortinet Chief of Security Insights デレク・マンキー氏

　Fortinetでは、顧客に導入されているUTM（統合脅威管理）をはじめとする同社製品から収集した情報に加え、専門のリサーチャーによるリサーチを踏まえ、最新の脅威動向をグローバルに把握し、ブログや四半期ごとのレポートを通じて成果を公表してきた。

　ただ「われわれのリサーチャーも増強しているが、最近ではサイバー犯罪者側も人数を増やし、アジャイル開発を採用して1日に3〜4回のペースで頻繁にリリースを行ったり、ランサムウェアの誘導にアフィリエイトを活用したりと、活発に活動している」（マンキー氏）

　ちなみに、2019年第2四半期の動向をまとめた最新版のレポートでは、「フォレンジックやネットワーク分析、インシデントレスポンスをより難しいものにするため、侵入後に目に付かないよう、より巧妙に隠れるようになった」ことがトピックだという。

　またテレメトリー情報の観測によると、サプライチェーン攻撃が目立つようになったことも2019年第2四半期のポイントの一つだ。この種の攻撃としてはASUS製品のBIOSのアップデート機構を侵害して侵害する「Shadow Hammer」が有名だが、他にも、医療情報を管理する企業が外注先経由で不正アクセスを受け、情報が漏えいする事件が発生した。こうしたインシデントによって「サプライチェーンの信頼が揺るがされるようになっている」と同氏は述べた。

　Fortinetはまた、四半期ごとのレポート以外に、「Playbook」という形でも脅威情報をまとめている。「相手の出方を研究し、それに応じてさまざまな戦術を用意しているアメリカンフットボールのように、敵をプロファイリングし、どんな戦略、どんな戦術を取ってくるかをまとめている」（マンキー氏）。Playbookの情報は顧客の対応支援に活用するだけではなく、脅威情報を共有する業界団体、Cyber Threat Alliance（CTA）に加盟している信頼できるパートナーや法執行機関と共有することで、「相手の手の内をさらし、隠れにくくすることで、攻撃者にとっての攻撃のコストを上げていく」ことを狙っているという。

　こうしたPlaybookの一つとして、ロシアを拠点とするサイバー犯罪者グループ「Silence Group」の活動についてまとめたものを公開した。Silence Groupは金融機関の職員をターゲットにしたフィッシングメールを通じてWindowsのヘルプファイルを装ったマルウェアを送り込み、感染するとシステム内で侵害を拡大していく。最終的にはATMのシステムをコントロールし、出し子の待ち受ける特定のATMから現金を引き出させてしまうという。

「C2サーバとの通信を絶つ」という根本対策では歯が立たない、スウォーム型botネット

　こうした動向を知るマンキー氏が今一番懸念しているのが、スウォーム型の脅威だ。

　スウォーム（群体）とは、誰かが命令を下さなくても自律的に動く虫や鳥の群れのように、プログラム同士が分散自律的にコミュニケーションを取り、連携して活動していく形態を指す。ナノテクノロジーとの連携や配送サービスの最適化、さらには5G通信のコア技術としても採用されており、「善用目的での活用も進んでいるが、他の技術同様、悪用される恐れもある」とマンキー氏は述べた。

　現にその兆しが見えているのがbotネットだ。現時点で広くまん延しているbotネットは、攻撃者が操るC2サーバからのコマンドに基づいて動作し、第三者へのDoS攻撃などを仕掛ける。従って、「C2サーバとの間の通信を特定して止めれば、無力化が可能だった」（マンキー氏）

以前のbotネット攻撃（出典：Fortinet）

　しかし、P2Pネットワークよりもさらに自律的なスウォーム型のbotネットには、コントロールを行うC2サーバが存在せず、その裏でbotを操る攻撃者の手を介することなく動作する。このため「どれか1つのノードを落としても、botネットの活動自体は継続できる。未感染の端末を探して感染を拡大していくことも、DDoS攻撃を仕掛けるなど自分の役割も変えていくことも自律的に行え、アダプティブなことが特徴だ」（マンキー氏）

　既に、このスウォーム技術が用いられた可能性があるbotネット「Hide and Seek」が観測されている。「P2Pで互いに通信を行い、『ネットワーク上で見つかった、このNAS（Network Attached Storage）の、このファイルを標的にしてダウンロードしよう』といった命令を、インテリジェントなコマンドを使って命令している」と同氏は述べた。

スウォーム技術が用いられたbotネット攻撃（出典：Fortinet）

　まだPoC（概念実証）レベルではあるが、将来的にスウォーム型の脅威と人工知能（AI）／機械学習技術と組み合わされば、厄介な相手になる可能性が高い。これに対しFortinetでは、「デコイ」と呼ばれる、おとり技術を採用して攻撃者の目くらましを行う「FortiDeceptor」や、点ではなく「面」で守っていくアプローチによって、対策を支援していくとした。

機械学習が汚染される恐れがある時代

　マンキー氏はプレゼンテーションの中でたびたび、「攻撃者側はどんどんスピードアップしている。われわれ守る側もそのスピードに追い付いていかなければならない」と述べている。

　より迅速な対応を手助けする技術の一つとして期待されているのがAI／機械学習技術だ。人間が処理して判断するよりも高速に、正確に脅威を検知し、対処する強力な武器になる可能性があるが、そのポテンシャルは攻撃者にとっても同様だ。

　プログラムに予期せぬデータを入力して脆弱（ぜいじゃく）性を見つけ出す「ファジング」は、製品を安全に開発する手法の一つとして活用されているが、これを自動的に行う「AIファジング」を攻撃者が悪用し、新たな脆弱性を見つけて攻撃してくるリスクがあるという。「それも、自らのリソースだけを使うのではなく、クリプトマイナーのように第三者のPCを乗っ取ってマシンリソースを消費する可能性がある」と同氏は述べた。

　さらに、機械学習プロセスの「ポイズニング」（汚染）にも注意が必要だとした。「子どもに悪いことを教えると“まね”をしてしまうように、攻撃者がAIに悪いことを教えてしまう恐れもある」（マンキー氏）。こうした状況に対し、例えば守る側のAIとAIを相互に接続し、力を合わせていくことが、戦いに勝つ手段の一つになるかもしれないと同氏は述べている。