セキュリティーベンダーのマカフィーが昨年末に発表した2020年のセキュリティ脅威には、ディープフェイクによる脅威、ランサムウェアによる2段階の攻撃などが発表されています。これらの脅威は今までも度々生じてきましたが、2020年には新技術が用いられ、「進化した」攻撃がしかけられてくると言われています。今回はさらに激しさ、巧妙さを増してくると予測されるサイバー攻撃に焦点をあてて、その危険性や回避方法などを見ていきたいと思います。
2020年に予測される脅威とは?
マカフィーによる脅威予測
- 未熟なスキルの攻撃者向けのディープフェイク作成機能が普及する
- 顔認識機能を回避可能なディープフェイクを攻撃者が作成する
- ランサムウエア攻撃が2段階で脅迫攻撃に進化する
- APIがクラウドネーティブの脅威につながる
- コンテナ化されたワークロードの増加でセキュリティ対策が「シフトレフト」し、DevSecOpsが注目される
これらはマカフィーが2020年の大きな脅威となるとして発表したものです。これらの攻撃の脅威となる点、従来のものとどう違うのか一つずつ見ていきます。
未熟なスキルの攻撃者向けのディープフェイク作成機能が普及する
ディープフェイクは「深層学習(deep learning)」と「偽物(fake)」を組み合わせた造語で、既存の画像と映像を、元となる画像または映像に重ね合わせ、結合することで実際には起こっていない出来事で行動している偽の映像が生み出されることになります。
2017年にインターネットサイトRedditでディープフェイクのポルノが初めて出現しました。2018年4月、アメリカのコメディアン ジョーダン・ピールとバズフィードCEOのジョナ・ペレッティは、ディープフェイクの危険性に関する公共広告として、バラク・オバマを使ったディープフェイクを作成しています。
ディープフェイクでは、AIの中でも、GAN(Generative Adversarial Networks、敵対的生成ネットワーク)と呼ばれる技術が使われています。入力データを大量に与えることで、データだけから特徴を抽出することができ、教師データと呼ぶ正解を人間が教えなくてもいい、という点が特長です。
2020年のディープフェイクの進化:
ディープフェイクの作成には専門的な知識が必要とされていましたが、人工知能と機械学習の継続的な進歩により、テクノロジーの専門家でなくても精巧なディープフェイクの作成が可能になりました。技術は、精巧なディープフェイクビデオを作成する能力を低レベルのスキルの脅威攻撃者にまで広げ、個人の意見や世論を操作しようとしています。フェイクが巧妙で騙されてしまえば、民主主義への脅威や国際情勢へも深刻な影響を与えかねません。そして企業もまた犯罪のターゲットとなりえますが、既に昨年実際の被害が生じています。英国のエネルギー会社の最高経営責任者(CEO)が、ドイツの親会社のCEOを騙った「声のディープフェイクス」の電話による指示で、ハンガリーの企業の口座に22万ユーロ(約2,600万円)を送金してしまった事件が発生しました。世界で初めてAIで作られた合成音声による詐欺被害としてニュースになりましたが、合成音声は声色だけが同じというわけではなく、声の調子や言葉の区切り方、ドイツなまりまで再現されていたと報告しています。こうした巧妙なディープフェイクによる犯罪がさらに蔓延していくことが懸念されています。
顔認識機能を回避可能なディープフェイクを攻撃者が作成する
スマートフォンのロック解除や空港でのパスポート検証、路上での歩行者識別など、さまざまな場面で顔認識システムが活用されています。例えばユニバーサル・スタジオ・ジャパンでは、年間パスポートの利用客に顔認証システムを導入しました。初回利用時に顔を登録しておくと、2回目からは年間パスポートをリーダーにかざして、認証用モニターに顔を向けるだけで入場できます。ディープフェイクによって顔認識を回避する技術が登場すると予測されています。もしこれらが攻撃者によって回避されてしまえば、自分になりすましてサービスを利用したり、企業にとっても社員になりすましたりして機密データにアクセスされるといった被害が生じるでしょう。
フェイスブック、 マイクロソフト 、アマゾン・ドット・コムは6校余りの大学と協力し、「ディープフェイク検知チャレンジ」を2019年12月からスタートさせると発表しています。画像検証に取り組む新興企業が複数現れる中、偽情報対策が後手に回っていると批判されてきたハイテク大手も対応に本腰を入れ始めていますが、攻撃者も進化を続けていて予断を許さない状況です。
成長を続けるセキュリティ資産であるAI駆動型顔認識は、人間やマシンをだますことができるディープフェイクメディアの作成にも使用されています。 マカフィーによれば「脅威の攻撃者もまた、ますます悪意のある方法でAIとMLを活用することを学んでいます。」ということです。
ランサムウェア攻撃が2段階で脅迫攻撃に進化する
ランサムウェアとはパソコンやスマートフォンなどのデータ、もしくは端末自体を暗号化して使用不能にし、それらの復号化と引き替えに身代金を要求する不正プログラムのことです。マルウェアの一種である。これに感染したコンピュータは、利用者のシステムへのアクセスを制限してしまいます。感染したPCをロックしたり、ファイルを暗号化したりすることによって使用不能にしたのち、元に戻すことと引き換えに「身代金」を要求する不正プログラムで、身代金要求型不正プログラムとも呼ばれます。
被害:
- 感染PCの有効な操作ができなくなる
- 感染PC内のファイルやネットワーク共有上のファイルが暗号化され、利用できなくなる(ランサムウェアの駆除を行っても暗号化されたまま残る)
- 要求された「身代金」を支払うことによる金銭的な被害
マカフィーではこのランサムウェアがさらに進化を遂げることを警告しています。
「2019年をにぎわせたランサムウェア、マルウェア、RDP攻撃が過去のものになる中、サイバー犯罪者は攻撃の複雑性と規模を増強させ、セキュリティ対策に打ち勝つ手法を常に模索しています。そして、最先端のテクノロジーを悪用し、より頻繁に私たちに挑んできます。2020年以降の脅威状況は、サイバーセキュリティにとって興味深いものになることは確実でしょう。」
引用:
その手法は従来のように第一段階での攻撃で使用不要にしたPCの復元を条件に身代金を要求し、さらには第二段階で要求に応じて復元中の被害者を再び脅迫するというものです。攻撃者はあらかじめ盗んだ機密データを公開すると脅し、さらなる身代金を要求するというものです。復元だけでなく、攻撃時に盗んだデータそのものにも価値があることを知り、二重で金銭を取ろうとする悪質な手口です。
対策にはエンドポイントへのウイルス対策製品の導入、内部ネットワークから外部不正サイトへのアクセスをブロック、クライアントPCの脆弱性対策、ファイルサーバーのバックアップといった対策が必要です。
ビジネスを加速し、コラボレーションを促進するためにクラウドサービスを利用する企業が増える中、クラウドセキュリティの必要性はかつてないほど高まっています。API(アプリケーションプログラミングインタフェース)は、アプリケーションがクラウドサービスなど他のアプリケーションへ接続できるようにします。しかしこうしたAPI関連の欠陥が、クラウドに新たな脅威を引き起こす可能性が指摘されています。
リスク:
- データを一気に消される
- プライバシーや機密に関わるデータを一気に抜かれる
- 違法なデータをアップロードされる
- 不要なデータが大量に送られる
対策にはIPアドレス単位でアクセス制限する、認証をかける、SSL/TLSを使って暗号化処理を行う、アクセス権限の設定、バックアップといった対策が必要になります。
こうした脅威への対策とは?
こうした進化した脅威を防御することは至難の業です。情報は「盗まれることを前提」に対策していく必要もあるとさえ言われています。その中でセキュリティ対策の一つとして、暗号化は重要な役割を果たしています。情報を暗号化すれば、通信経路を盗聴されても、情報の中身が漏洩することはありません。暗号化を解くためには暗号鍵が必要であり、主要な暗号化方式を使用していれば、暗号鍵が盗まれることはまれだからです。巧妙化するサイバー攻撃の最新動向に注意を払いつつ、しっかりとデータを守る対策も行っておくようにしましょう。
データ暗号化ソリューション「D'Amo」「MyDiamo」に関する情報はこちら