2023年はChatGPTをはじめとした大規模言語モデルの登場など、ITの世界に大きな変革が起きた年といえると思います。サイバーセキュリティにおいては、ランサムウェアの被害が2018年以来最大の件数となり、LINEや富士通といった大手IT企業における情報漏洩も発生するなど、サイバーセキュリティの重要性が再認識されるような年となりました。2024年もサイバーセキュリティを取り巻く情勢は急速に変化していくでしょう。テクノロジーの進展は新たな脅威を生み出しており、これらの脅威に対応するために常に警戒を怠らない必要があります。本記事では、最新の脅威やサイバーセキュリティを考えるうえでのキーワードを紹介します。
生成系AIと大規模言語モデル(LLM)による脅威
生成系AIと大規模言語モデル(LLM)は、非常に便利である一方、標的型メール攻撃など、より精巧で説得力のある脅威を生み出す能力を持っています。例えば、従来であれば不自然な日本語等、標的型メールを見破るための数々のポイントがありましたが、大規模言語モデルの登場により、より一層正確で説得力のある文章を生成し、見破りにくいメールを作成することが可能になっています。また、便利さゆえに、誤って企業情報をアップロードしてしまう懸念があります。近年ではCode Interpreterといった、生成系AIを利用したデータ分析ツールも利用可能になっていますが、企業の会計情報などを分析にかけると意図せず情報漏洩につながる可能性があります。このように、生成系AIを利用するうえで、プロンプトに入力した情報がどのように使われるかを意識することが必要です。さらに、誤った学習データのアップロードやデータポイズニングにより、AIモデルが誤った情報や偏見を学習し、ハルシネーション(誤った情報の生成)が増加する可能性もあります。
国内外の事例
生成系AIを利用した標的型メール作成やデータポイズニングの事例は確認されていませんが、利用における注意を喚起している企業は数多く存在しています。例えばAmazon社では、意図せず企業情報を漏洩することを防ぐために、ChatGPTを利用する際は極秘情報をアップロードしないよう従業員に求めています(※)。
IoTを狙ったサイバー攻撃の増加
コロナ禍を機に、非接触デバイスやキャッシュレス決済の増加に伴いIoT機器が増加しています。令和3年版の情報通信白書によると、2024年には340億台以上のデバイスがインターネットにつながれると予想されています。IoT機器の増加と同時にサイバー攻撃も同様に増加します。IoT機器におけるセキュリティの考慮点は『ゼロデイ攻撃』と『サプライチェーン攻撃』です。ゼロデイ攻撃は、ソフトウェア開発者やセキュリティ研究者によってまだ発見されていないか、あるいは発見されたとしても修正されていない脆弱性をついた攻撃です。IoTデバイスは、設置台数が増えることによりしばしばパッチ等の更新が遅れがちであり、ゼロデイ攻撃のターゲットになりやすいという特徴があります。サプライチェーン攻撃は、製品やソフトウェアの供給経路を通じて実行されるサイバー攻撃です。この種の攻撃は、製品が最終的なユーザに到達する前のいずれかの段階で、悪意のあるコードや脆弱性を埋め込むことによって行われます。IoTデバイスは、その製造プロセスやソフトウェアのアップデートプロセスが複雑で多岐にわたるため、サプライチェーン攻撃のリスクが高いと考えられます。
国内外の事例
アメリカにおいては、スマートホーム機器において製造段階で適切なパッチが適用されていない抱えた状態で出荷されたものが攻撃を受けるという事例が発生しています。また、2020年には大手ネットワーク機器メーカーの偽製品が出回り、情報を詐取されるという事件も発生しています。
※出典
https://threatpost.com/smart-doorbell-vulnerable-to-attack/162527/
https://unit42.paloaltonetworks.jp/iot-supply-chain/
拡張ゼロトラストセキュリティ
ゼロトラストセキュリティとは「信頼すべき内部ネットワーク=トラストネットワーク」をゼロにする、というセキュリティの概念で、コロナ禍のリモートワーク復旧において利用が拡大しています。拡張ゼロトラストセキュリティ(Zero Trust eXtended、ZTX)とは、従来のゼロトラストセキュリティのアプローチをさらに詳細に展開し、組織のセキュリティ戦略におけるさまざまな要素への適用を目指したものです。具体的には、データ、ネットワーク、デバイス、ワークロード、人、可視性(分析性)、自動化の7つの要素にゼロトラストの概念を拡張します。従来のゼロトラストセキュリティはオフィスのITインフラに関する概念にとどまっていましたが、ZTXはITインフラだけでなく、アプリケーションやIT運用に関してもゼロトラストの概念を適用可能にするフレームワークになっています。
国内外の事例
国内印刷大手の大日本印刷では、オフィスインフラだけでなく工場施設においてもゼロトラストセキュリティを導入しています。これはZTXものフレームワークを利用することで、ITインフラの枠を超えて適用している事例になります。
※出典
https://www.dnp.co.jp/biz/column/detail/10158521_2781.html
APIセキュリティの重要性
APIは、システム間の通信において不可欠な要素です。近年はシステムのマイクロサービス化を行うケースも増えていますが、APIによるアプリケーション間の通信はマイクロサービス化において重要な要素です。また、APIの公開による他システム・SaaS連携も容易になっています。APIの利活用が増えれば増えるほど、攻撃者にとっては攻撃の対象(アタックサーフェス)が増加するため、セキュリティの脅威も増加しています。APIを実装するうえでは、適切な認証、アクセス制御、データ暗号化などの対策を行い、サイバー攻撃から極力影響がないように設計を行っていく必要があります。
国内外の事例
APIの脆弱(ぜいじゃく)性に対する攻撃の事例としては、2021年に起きた『Clobhouse』という音声SNSにおける情報流出がありました。ユーザの名前、アカウント作成日といった約130万人分のデータが流出しています。内閣府はAPIに関するセキュリティガイドラインを公開しており、実装の際には参考にするといいでしょう。
※出典(内閣府セキュリティガイドブック)
https://cio.go.jp/sites/default/files/uploads/documents/1019_api_guidebook.pdf
パスワードレス認証
パスワードレス認証は、その名の通り、ユーザがサービスやシステムにログインする際にパスワードを使用しない認証方法です。伝統的なユーザ名とパスワードに基づく認証だと、辞書型攻撃や総当たり攻撃により突破される可能性があるだけでなく、データ流出等により甚大な被害が発生します。また、パスワードを忘れてしまった際に再発行を行うためのインターフェースを作っておく必要があり、システム開発においてもオーバーヘッドがあります。パスワードレス認証はパスワード盗難や忘れるリスクを排除し、同時にセキュリティを強化する認証方式です。指紋、顔認識などの生体認証や物理的なセキュリティキー、ワンタイムパスコードなどを活用し、セキュリティと利便性の向上を目指します。
国内外の事例
FIDO2(ファイドツー)と呼ばれるパスワードレス認証を実現するための国際的な技術規格が存在しており、現在様々なデバイスにおいてパスワードレス認証が実装されています。身近な機器で言うとiPhoneやWindows11、空港の出国ゲートなどにおいてパスワードレス認証が導入されています。
まとめ
より高度化するサイバー脅威から、重要資産を守るためには、事前に脅威情報を把握した上で、自社にとって最適なセキュリティ体制を構築することが求められます。ペンタセキュリティは、20年以上、セキュリティ業界をリードしてきた専門家集団で、お客様のニーズに応じた最適なご提案をさせて頂いております。2024年も「TRUST FOR OPEN SOCIETY」を目指し、Web・データ’認証を中心とした強力なセキュリティソリューションを提供していきます。
