生成AIを含むAIの活用が広がる中、サイバー攻撃の高度化/巧妙化が進んでいる。例えば、生成AIが作り出す映像や音声を悪用して攻撃者が経営幹部や上司になりすまして不正な送金を指示したり、重要情報を窃取したりする事案が発生している。従来のセキュリティ対策のみでは対応が難しいこうした攻撃に対して、「IDセキュリティ」の重要性を指摘するのがCyberArk Softwareだ。特権を付与されたIDがビジネスユーザーや社内のマシンにまで広がる中、今後は組織内のすべての特権を包括的に管理/保護する取り組みが欠かせないという。同社執行役社長の柿澤光郎氏と、同社ソリューションズ・エンジニアリング本部 ソリューション・アーキテクト CISSPの染谷浩子氏に話を聞いた。
CEOを騙るビッシング攻撃を経験、迫る生成AIの脅威
──生成AIをはじめとしたAIの急速な進化によって、サイバー攻撃がより巧妙化/高度化していることが危惧されています。具体的にどのような影響が表れていますか。
柿澤光郎氏(写真1):分かりやすい例は、本物と見紛うほどのフィッシングメールです。従来のフィッシングメールでは、どこかの文面の引き写しや日本語を母国語としない者による文章が多く見られました。ところが近年は、AIや生成AIを使って、ターゲットの企業・担当者ごとに内容をカスタマイズするようになってきています。私も先日、AIを悪用した巧妙な攻撃を受けて肝を冷やしました。
写真1:CyberArk Software 執行役社長の柿澤光郎氏──どのような攻撃だったのでしょう。
柿澤氏:社内連絡用のメッセージングアプリに、当社のCEOから連絡があったんです。テキストメッセージで「重要な話がある」と切り出され、「すでに君のAPACの上司には話を通しているが、彼は解雇予定なので、彼を介さずに直接話をしたい」と告げられました。内容を聞くと「財務情報を含めて事情を把握し、日本にどう投資するかの話だ。CFOの許可も取っている」と返されました。
その後、CEOの秘書らしき人物とのやりとりがあり、Web会議の開始時間とURLが送られてきました。CEOや上司、CFOは実在する名前です。直接話したいという要望に不審感を抱いたものの、出張中ですぐに確認できない状況でした。とりあえず指定された時間にWeb会議にアクセスしたところ、画面にはCEOが映っていて、CEOの声で話をし始めたのです。
──実にリアルな流れですね……。それは本物のCEOだったのですか。
柿澤氏:いいえ、偽物でした。CEOと同じ風貌でしたし、声の調子も似ていましたが、偽物だとはっかりわかったのは、彼が「こちらも出張中で声が聞き取りにくい。映像を切って音声に切り替えたい」と言って、声だけでやりとりをはじめたときです。あまりにも都合がよいので、AIを使ったビッシング攻撃(注1)だと確信したのです。すぐに回線を切り、そのタイミングで連絡が取れた上司に確認したところ、非常に巧妙ななりすましだとわかりました。
注1:ビッシング攻撃(vishing)とは、音声(voice)とフィッシング攻撃(phishing)からなる造語で、音声を使って人を騙し、情報を詐取する攻撃のこと。
──何と……。映像も音声もAIで本物そっくりに作ることができ、それが実際の攻撃に悪用されているのですね。犯行の目的は何なのでしょうか。
柿澤氏:1つは金銭を詐取すること。実際、投資詐欺として実際に送金してしまった事案は多くあります。もう1つは、重要な経営情報を聞き出したり、次の攻撃につなげる情報を盗み出したりすること。投資を名目にすることで、取引のある金融機関や口座の管理者、口座番号、残高などの情報を聞き出しやすくなり、ソーシャルエンジニアリングや標的型攻撃につなげます。
AIは攻撃側だけでなく、防衛側にとっても強力なツール
──企業の重要情報を管理している経営層やITリーダーにとっては恐ろしい話です。AIが悪用されると、従来のセキュリティ対策だけでは対抗できないのではないでしょうか。
染谷浩子氏(写真2):AIによってセキュリティ環境が大きく変わってきたことは、多くのITリーダーが実感していると思います。ビッシング攻撃のように、攻撃内容自体は従来のフィッシング攻撃と同じでありながら、AIを用いることで非常に高度化しているのです。これまでのセキュリティ対策では完全に防ぐことは難しい状況です。
ただ、AIが非常に強力なツールであることは、攻撃側だけでなく、防衛側にとっても同様です。すでに多くのセキュリティベンダーが製品やサービスにAIを組み込み始めています。
写真2:CyberArk Software ソリューションズ・エンジニアリング本部 ソリューション・アーキテクト CISSPの染谷浩子氏──AIを組み込んだセキュリティ機能にはどのようなものがあるのですか。
染谷氏:代表的なのは、AIで大量に上がってくるログからリスクの兆候を洗い出すというものです。多要素認証やシングルサインオン(SSO)の状況、リスクの高いアクセス権限の利用状況といったさまざまなログを管理し、危険性があるセッションにフラグを付けていくことで、人間では判断できないリスクの兆候を見つけ出します。こういったケースはAIが得意とするところです。
──AIが生成した映像や音声をAIで見分けることもできそうですね。ほかにはどんな使い方がありますか。
染谷氏:セキュリティを制御するためのポリシーの設定を動的に行うことで、変化していく環境に俊敏に対応するという使い方もあります。近年は、PCやスマートフォン、エッジデバイス、クラウド上の仮想マシンなど管理すべきエンドポイントが増えています。それぞれのマシンにさまざまなアクセス権が利用され、人間では管理しきれなくなっています。AIを使ってそうしたポリシーの制御を動的に実施できるようにします。
──生成AIにはどのようなユースケースがありますか。
染谷氏:代表的な例は、運用業務を生成AIで効率化する取り組みです。セキュリティ運用は担当者の大きな負担になっています。そこで、大量のアラートの内容を要約し、必要なセキュリティ対策を優先的に抽出します。こうしたAIの使い方は、CyberArkでも開発に取り組んでおり、すでに製品として提供しています。
「IDセキュリティ」でAIの脅威に備えよ
柿澤氏:対策の一丁目一番地になるのが「アイデンティティ(ID)セキュリティ」です。人とIDは密接に結びついているため、まずはIDが盗まれないことが重要です。フィッシングメールが届いたり不審なアクセスがあったりしても、IDを盗まれなければ対策を講じることができます。
次に重要なことは、IDに紐付いた権限の管理です。先ほどのお話で、投資詐欺でCEOから送金の指示があったときに、指示を受けた人に権限がなければ送金はできません。または、送金できる権限を持っていても条件が揃わなければその権限を行使できないようにすることも有効です。IDごとにそうしたさまざまな権限を適切に管理することで、ソーシャルエンジニアリングなどの人を狙った攻撃にも対抗できます。
●Next:増え続けるID/特権が深刻なリスクに、企業に求められる備えとは
会員登録(無料)が必要です
- 1
- 2
- 次へ >
