Metasploitの生みの親が語る AIで激変するサイバー脅威と防御側がやるべきこと(1/2 ページ)
広く利用されている侵入テストフレームワークMetasploit。その生みの親であるHDムーア氏は、急速に深刻化するサイバー脅威をどう見ているのだろうか。防御側の対応はどうあるべきか。長期的な変化を含めて同氏に聞いた。
AIにより、サイバー攻撃はスピードと複雑さを帯びるようになった。急速に進化する脅威に対し、企業はどのように自社を守るべきなのか。ペネトレーションテスターとしての豊富な経験を持ち、現在はrunZeroのCEO(最高経営責任者)を務めるHDムーア(HD Moore)氏に話を聞いた。
脆弱性の急増と「ロングテール」への攻撃
ムーア氏は、現在広く利用されているペネトレーション(侵入)テストフレームワークのMetasploitを2003年に個人で開発し、オープンソースプロジェクトを立ち上げて推進した人物。
その後20年間あまりのうちに、サイバー脅威は3つのフェーズで変化してきたと同氏は語る。以前はパッチが公開されてから攻撃が始まるまでに数日から数週間の猶予があったが、約5年前からパッチ公開前に攻撃されるゼロデイエクスプロイトが一般化した。そして現在は、CVE(共通脆弱性識別子)が付与される前に膨大な数の脆弱(ぜいじゃく)性が発見・悪用される時代に突入している。
防御側はWindowsなどの主要なソフトウェアを守ることに意識を集中してきた。だが、攻撃者はLLM(大規模言語モデル)を用い、特定の企業や業界しか使っていないような「ロングテール」のコンポーネントから未知の脆弱性を見つけ出し、標的にするようになったとムーア氏は指摘する。
攻撃の自動化とMFAを突破するセッション窃取
脅威アクターはLLMを使い、脆弱性の発見にとどまらず、攻撃実行自体の自動化と高速化を進めている。AIにより、侵入からドメインコントローラーや機密データに到達するまでの時間が極端に短縮され、防御チームが最初のインシデントを検知して調査を始める前に、データの窃取が完了してしまう事態が起きている。
アイデンティティへの攻撃も巧妙化している。多くの人が多要素認証(MFA)を頼りにしているが、現在の攻撃者はブラウザからCookieやセッション情報を直接盗み出すため、MFAを簡単に迂回できてしまう。さらに、セッションを利用して永続的なバックドアを仕掛けられれば、ユーザーが再認証を行うたびにトークンが盗まれるため、MFAは実質的に無力化されるとムーア氏は警告する。
コンテナ技術の盲点とサプライチェーンのリスク
最近の攻撃トレンドとして、Linuxの特権昇格脆弱性の悪用が目立つ。多くの企業はコンテナ化を進めているが、コンテナはOSと同じカーネルを共有しているため、重要度の低いコンテナが1つ侵害されただけで、システム全体や他のコンテナまで乗っ取られるリスクがある。
また、サプライチェーンの複雑化も防御を困難にしている。特に注意すべきは、利用しているさまざまなアプライアンス製品の裏側でLinuxや無数のオープンソースソフトウェアが動いていることだ。これを把握できていない企業が多いという。npmやPyPIなどのパッケージエコシステムで少数の開発者の認証情報が盗まれると、バックドアが仕込まれたパッケージを通じて被害が雪だるま式に拡大していく。
自衛のためのベストプラクティスとAIの活用
このような高度な攻撃に対抗するため、企業はベンダーからの脆弱性通知を受け身で待つのではなく、自社の資産を能動的に監査する必要がある。アタックサーフェス管理(Attack Surface Management:ASM)に取り組む企業は多いが、インターネットに露出している外部環境だけでなく、複雑化した内部ネットワークにおけるASM、さらにはより広くリスクベースのセキュリティ管理を行うことが非常に重要だとしている。
ソフトウェア開発環境については、外部パッケージの利用にクールダウン期間を設けることをムーア氏は推奨する。新しいパッケージが公開されてもすぐには導入せず、バックドアなどが発見されるまでの時間差を利用して、7〜14日ほど待ってからインストールする手法だ。また、Googleなどの先進的な企業では、LLMを利用して開発者の全てのコミットを自動的に監査している。
セキュリティ予算を懸念する企業に対して、Moore氏は「既に自社で持っているデータを別のベンダーから買い直す必要はない」と助言する。現在では、Amazon Web ServicesやMicrosoft Azureの設定データをLLMに読み込ませるだけで、瞬時に構成の監査レポートを得ることができる。
Copyright © ITmedia, Inc. All Rights Reserved.