ファビオ・プラトゥッチェロ、クラウドストライクのグローバルフィールド最高技術責任者(CTO)は「最近猛威を振るっているサイバー攻撃は25年前にも存在したが、生成型AIの登場でハッカーの攻撃回数が急増し、防御網が破られるスピードが指数関数的に速くなった」と述べた。ハッカーがAIを武器化し、マルウェア開発、脆弱性分析、アカウント奪取などを自動化することで、より迅速かつ広範な攻撃を断行しているという説明である。
クラウドストライク(CrowdStrike)は米ナスダック上場のサイバーセキュリティ企業である。クラウド、エンドポイント検知、アイデンティティ(ID)セキュリティに特化した技術を基盤に2011年の設立以降、急成長してきた。昨年の売上高は30億6000万ドル(約4兆4000億ウォン)で前年比約36%増だった。JPモルガン、バンク・オブ・アメリカ(BoA)、アマゾン、エヌビディアなどフォーチュン500企業の過半を顧客に持つ。
プラトゥッチェロCTOは最近ChosunBizとのインタビューで「ハッカーの攻撃サイクルが速まるなか、企業や機関の防御負担が大きくなっている」とし「企業もこれに対抗して先制的に統合されたAI中心の防御体制を構築すべきだ」と語った。
相次ぐランサムウェア攻撃でジャガー・ランドローバー、マークス・アンド・スペンサーなどグローバル企業に甚大な被害を与えた「スキャタード・スパイダー」というサイバー犯罪組織を、AIを効果的に武器化するハッカーの例に挙げた。プラトゥッチェロCTOは「この組織は最近24時間でランサムウェア攻撃を完了したが、1年前に同一の攻撃を実行するのに約3日を要した点を踏まえると、スピードは驚くほど速くなった」と述べた。スキャタード・スパイダーはわずか2分で奪取したアカウントを使って企業システムにアクセスし、多要素認証(MFA)の設定を変更して担当社員の通知機能を無効化した。彼は「過去にはこのような攻撃は数日から数週にわたり行われた」とし「しかしハッカーがAIを武器化したことで、今では同一の攻撃を早ければ2時間以内に実行できるようになった」と語った。
プラトゥッチェロCTOは、脅威行為者を特定国家や政権の利益のために働く国家背後(nation-state)ハッカー集団、金銭獲得が目的の企業型サイバー犯罪者(e-crime)、理念的理由で攻撃を行う集団であるハクティビスト(hacktivist)の3つに大別した。特に中国、北朝鮮などの国家背後ハッカーと金銭的利益を狙うサイバー犯罪組織が、攻撃成功率を高めるためAIを多様な形で悪用していると指摘した。
代表的に北朝鮮のハッカー組織「フェイマスチョルリマ」は、北米・西ヨーロッパ・東アジアの大企業にソフトウエア開発者として偽装就業する手口を用い、昨年だけで約320社に侵入した。偽装就業の成功率は前年比220%増となった。プラトゥッチェロCTOは「チョルリマはAIツールで偽のLinkedInプロフィルと履歴書を作成し、多数の企業に就職した」とし「オンライン面接でもディープフェイク技術で声と映像を変造し、AIで面接質問をリアルタイムに分析して回答を生成した」と説明した。
クラウドストライクは最近発刊した「脅威分析レポート」でチョルリマに言及し「彼らは昨年最も活発に活動したハッカー組織の一つで、他の国家連携勢力の作戦速度を大きく上回った」と分析した。
プラトゥッチェロCTOは、北朝鮮ハッカーの偽装就業は諜報活動というより金銭的動機が大きい点で、他の国家連携組織と差別化されると評価した。彼は「中国やロシア連携のハッカーは企業や組織に侵入した後、長期間静かに潜伏し、情報収集や他国の世論操作に注力する」とし「一方、国際社会の制裁を受ける北朝鮮は偽装就業で諜報活動も行うが、外貨獲得を図る動機が極めて強く作用する」と述べた。
彼はAIツールが一段と進化するにつれ、今後2〜3年以内にAIモデルとAI基盤インフラを狙った攻撃が大幅に増えると見通した。「AIモデルのパラメーター(媒介変数)や学習データを毀損して誤作動を引き起こしたり、非公開であるべき機微なデータやシステム情報を露出させるよう誘導するハッキングが登場すると予想する。」
クラウドインフラを狙った攻撃も着実に増えるとみる。昨年のハッカーによるクラウド侵害攻撃は前年比136%増で、そのうち40%は中国連携の攻撃勢力が主導した。彼は「企業の主要データの大半がクラウドに保存され、今やAIモデルもクラウドで運用されており、攻撃者が機会をうかがっている」とし「特に中国連携ハッカー組織のクラウド侵入試行は今後も増加する可能性が高い」と述べた。
韓国の企業と政府機関も年初から連鎖的にハッキング攻撃を受け、個人情報流出などの被害が発生した。4月に2300万人の顧客情報が流出したSKテレコム、基地局とサーバーがハッキングされたKT、ランサムウェア攻撃を受けたYES24・SGIソウル保証・ウェルカム金融グループなどに至るまで、大型のハッキング事故が相次いだ。最近ではLG U+までサーバーハッキングの兆候を政府に申告し、通信3社が今年すべてサイバー攻撃に破られたことが明らかになった。
プラトゥッチェロCTOは、韓国企業が地政学的に北朝鮮、中国に近い点を考慮してセキュリティ戦略を立てるべきだと助言した。攻撃者は国家背後勢力から金銭目的の企業型組織、個人まで多様であり、業種別にどの攻撃者の標的になり得るかという脅威プロファイルを把握した上で、適切なソリューションを導入すべきだということだ。彼は「最近会った韓国企業は、クラウド、エンドポイント、オンプレミスのアイデンティティなど複数ドメインが同時に攻撃を受けるクロスドメイン攻撃への懸念が多く、これに対応できる統合セキュリティ体制が必要だ」と述べた。
特にアイデンティティ(ID)が企業セキュリティの第一の防衛線となっただけに、韓国企業も関連投資を拡大すべきだと強調した。彼は「内部者のアカウント情報や認証情報を奪取されると、攻撃者はわざわざシステムを破る必要はなく、ログインだけで容易にマルウェアを仕込める」とし「攻撃者が身元を奪ってシステムに侵入した場合、検知および対応(DR)も難しくなる」と指摘した。
クラウドストライクは、ますます高度化するAI基盤のサイバー攻撃に対応するため、AI DR(検知および対応)技術を強化していると明らかにした。その一環として9月にAIセキュリティ企業パンジアを2億6000万ドルで買収した。パンジアは生成型AIを標的とする「プロンプト注入攻撃」に対応できるセキュリティ技術を備える。
彼は「AIは両刃の剣で、どう使うかによって攻撃の道具にも強力な防御手段にもなり得る」とし「クラウドストライクはAI DRという新たなセキュリティ技術領域を切り開き、セキュリティアーキテクチャを改善するための合併・買収(M&A)も継続する」と述べた。