サイバー攻撃が役割分担と自動化体制を備えた「産業型エコシステム」へ進化しているとの分析が出た。この過程で人工知能(AI)を基盤に攻撃の効率性が高まり、今年の企業におけるランサムウエア被害は前年より389%急増したことが明らかになった。
キム・ヨンピョ・フォティネットコリア情報保護最高責任者(CISO)は28日、ソウル江南区のフォティネットコリア事務所で「サイバー犯罪の産業化、何が変わったのか」をテーマに講演し、「単発的で受動的だったサイバー攻撃の形態が、最近は産業化された攻撃形態へと変わっている」と述べた。
キムCISOは、サイバー犯罪がランサムウエア製作、初期侵入、匿名ホスティング、資金洗浄など役割別に細分化された産業型エコシステムへ進化していると診断した。過去のように一人のハッカーが最初から最後まで攻撃を遂行する構図ではなく、役割が細分化された組織が互いに協業するということだ。
フォティネットコリアは、このような構造にAI基盤の自動化が結びつき、攻撃効率が大きく高まったと分析した。フォティガードラボ・インサイトによると、ハッキング対象を探索し脆弱性を見つけるための活動を意味する世界のスキャニング・偵察試行件数は昨年1兆1600億件に達したが、今年に入り約45%減の6400億件水準まで減少した。
キムCISOは、攻撃成功確率が低い所は素早く除外し、可能性が高い所に攻撃を集中する形で効率性が高まっていると説明した。
攻撃の速度は一段と速まっている。脆弱性が公開されてから実際の攻撃が行われるまでに要する時間である「エクスプロイト所要時間」は、昨年の平均5.4日から今年は即時〜24時間水準まで短縮された。ランサムウエア被害規模も急速に拡大し、昨年約1600件水準だった被害企業数が今年は7831件まで増加したことが分かった。
キムCISOは「過去には攻撃サイクルが数カ月に及ぶ場合もあったが、最近は数時間から1日以内に攻撃が進む方向へ変わっている」と述べた。
このような脅威拡散に伴い、フォティネットコリアは「セキュリティの内在化」の必要性が一段と高まったと強調した。AI・クラウド・大規模言語モデル(LLM)システムを構築する際、設計段階からセキュリティを同時に適用すべきであり、サービス構築後にセキュリティを付け足す方式には限界があるという主張だ。
キムCISOは対応戦略として、ゼロトラスト基盤の継続認証体制とマイクロセグメンテーション(Micro Segmentation)、攻撃表面管理などを提示した。内部の利用者や機器であっても継続的に身元を検証し、ネットワークを細分化して侵害範囲が全体システムへ拡散するのを防がねばならないという意味だ。
キムCISOは「AIの進展に伴い、基本的なセキュリティ体制がより重要になっている」とし、「攻撃可能性に対する継続的なモニタリングと先制対応体制を整えるべきだ」と述べた。