ググっても出てこない「サイバー攻撃者のAI活用」のリアル――AI時代の「アタックサーフェス」再定義：ITmedia Security Week 2024 夏

2024年8月30日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 夏」における「アタックサーフェス管理」ゾーンで、多摩大学 ルール形成戦略研究所 客員教授 西尾素己氏が「攻撃者はAIを使ってここを狙う。今知るべき最新攻撃事情」と題して講演した。

[宮田健，＠IT]

　企業・組織ではビジネスにおける活用方法が検討、模索されている生成AI（人工知能）だが、既にサイバー攻撃者は自身の“ビジネス”のために利用している。では、サイバー攻撃のどのフェーズで、どのように利用しているのか。また、生成AIへの攻撃では、具体的にどこを攻撃してくるのか――。その最新情報を、特に「ググっても出てこない」ことを中心に西尾氏は語った。頭の中に入れておくことで“アタックサーフェス”が指すものをアップデートできる講演内容となっていた。

多摩大学 ルール形成戦略研究所 客員教授 西尾素己氏

　現在のサイバー攻撃は“災害”と同じように捉えられつつある。しかし災害との大きな違いは、それを知覚できるかどうかという点にある。特に未知の脆弱（ぜいじゃく）性を悪用したゼロデイ攻撃など、防ぎにくいものもある。

　西尾氏は「アタックサーフェス管理は、攻撃の発生原理を元に防御する部分を管理するものだが、研究者の視点ではこれまでと大きく変わる部分はない。一方で、AIにフォーカスしたアタックサーフェスの管理はあまり情報が公開されていない」と講演を始め、サイバー攻撃の現状を整理する。

日常的にやってくるサイバー攻撃の“今”を認識できているか

　まず西尾氏は、ランサムウェアに関しての最新情報から、アタックサーフェス管理として考慮しておくべき攻撃手法の変化を語る。

　ランサムウェアは日本でも猛威を振るっている攻撃の一つだが、西尾氏によると「一部ではもうランサムは“オワコン”とされている」という。その理由には、身代金を支払うことが“できなくなった”ことがある。身代金の支払いを米国が違法化し、一番の被害者である米国企業が支払わなくなった。これは裏を返すと「これまでならば身代金を支払えばデータを返してくれたが、今は自力で復旧が必要。サイバーレジリエンスが叫ばれるのはこういう背景がある」と西尾氏は指摘する。身代金の推移は平均値、中央値ともに単価が上がっているのは、支払う絶対数が減ったからだ。「この現状を認識してほしい」（西尾氏）

ランサムウェアは支払いを拒否する企業が増えたことで、身代金の金額が増え続けている（西尾氏の講演資料から引用）