「セキュア開発」はなぜ浸透しないのか?――DevSecOpsを妨げる“4つの敵”:@ITセキュリティセミナー 東京・大阪・福岡ロードショー 2017 レポート(2)(2/4 ページ)
本稿では、@IT編集部が2017年2月7日に東京で開催した「@ITセキュリティセミナー」レポート第2弾(東京Bトラック編)をお届けする。
AI/ビッグデータ技術の“闇”――NII 安藤類央氏
「やな話ばかりですが」という前置きで始まった国立情報学研究所 サイバーセキュリティ研究開発センター 特任准教授 安藤類央氏の特別講演「AI/ビッグデータをセキュリティにどう生かすか、悪用するか」では、AIやビッグデータがもたらす先進的で明るい未来だけではなく、それらが抱える負の側面に焦点が当てられた。AIやビッグデータは、既存のセキュリティ対策を強化するために用いることができる一方で、サイバー犯罪者が攻撃を成功させるために利用する例も登場しており、注意すべき状況にあるというのだ。
安藤氏によれば、AIを活用しようとするプレイヤーはその志向によって「アチーバー」「キラー」「ソーシャライザー」「エクスプローラー」の4つに分類できるという。そしてAIの使い方も、プレイヤー自身の性質を反映したものになるそうだ。
例えば、日経新聞が2017年1月25日にβ版として公開した「決済サマリー」はAI記者が書いた記事だが、これは情報収集を好み、型や作法を重んじる「アチーバー」タイプのAIの利用方法だという。また、AIを応用したアンチウイルス製品などは瞬発力があって効率の良い「キラー」、GoogleのAI囲碁棋士「AlphaGo」などは探求型の「エクスプローラー」に分類できる。また、人々のムードに影響を与える「ソーシャライザー」としては、Facebookで友人を作りコミュニケーションを行っていた米海軍のサイバー脅威分析官“Robin Sage”のような例が挙げられるという(彼女はAI人格だった。詳しくは後述)。
そしてこれらの分類は、AI/ビッグデータ技術を“悪用”しようとするプレーヤーにも当てはまる。
「例えば、効率的な情報収集を得意とするキラー型の人が“闇に墜ちる”と、『殺害した人間の最適な隠し方』をAIにたずねることで解決してしまうかもしれないし、収集癖のあるアチーバーが悪意を持てば、病歴やDNAの解析結果など、極めて重要な個人情報をAIの力を借りて収集してしまうかもしれない。AIによってこれまで1人ではできなかったことが可能になるが、裏を返せば多くの悪用・脅威の例が見えてくる」(安藤氏)
人間が精神を操作される?――恐るべきAI人格
さて、前述したRobin Sageは、米国の研究者が実験のために形成したAI人格だ。このようなAI技術を応用したSNS上の偽アカウントは、「Sock Puppet(靴下芝居人形)」と呼ばれる。Facebookアカウントの1億4000万人分はフェイクで、その多くがSock Puppetであると推測されている。こうしたSock Puppetは、サイバー犯罪者が悪用すれば、情報流出やマルウェア感染などのサイバー攻撃につながる恐れがある。
安藤氏によれば、こうしたSock Puppetには2つのタイプがあるという。1つは古くからある「タイプ1」で、主にWebのクローリングとフィード/ツイートの取得による情報収集を専門とする。基本的には利用者のサポートが目的だが、既にさまざまなサイバー犯罪でも悪用されている。
例えばある犯罪者は、タイプ1のSock Puppetを使って標的企業のキーパーソンのSNS情報を収集し、食べ物と料理店の好みを調査した。そして彼がよく行く料理店のWebサイトをのっとり、水飲み場攻撃を仕掛けたという。また別の例では、Sock Puppetで収集した情報を基にしたソーシャルエンジニアリングによって、人材を引き抜かれたり、機密情報を窃取されたりした企業もあるそうだ。
これだけでも十分恐ろしいが、安藤氏がそれ以上に注意を促すのは、Robin Sageに代表される「タイプ2」のSock Puppetだ。こちらは単に情報を収集するだけでなく、あたかも人間が存在するかのように振る舞い、攻撃対象とSNS上で積極的にコミュニケーションを取ろうとする。
こうしたほとんど人間にしか見えないAI人格を悪用すれば、SNS上で精神的な“接触感染”をはかり、対象の人物に負の影響を及ぼすことができると安藤氏は指摘する。例えば、コミュニケーションによって相手のモラルを低下させたり、やる気をそいだりして、ついにはうつ病や自殺にまで導くことすらできる可能性があるという。実際、過去には人間による自殺教唆事件も起きているのだから、決して非現実的な語ではない。
「暗い話ばかりしたが、ビッグデータやデータマイニングは面白い分野で、ビジネスチャンスも多い市場。ただし、データは『新たな石油』ともいわれており、データが多くなればなるほど、喜んで悪用する犯罪組織も増えることには注意しなければならない。それから、Sock Puppetの悪用例も既に幾つも登場している。皆さんも、AIによる“接触感染”にはくれぐれも気を付けてほしい」(安藤氏)
Copyright © ITmedia, Inc. All Rights Reserved.