近年、サイバーセキュリティの状況は急速に変化しており、人工知能 (AI) がますます重要な役割を果たしています。生成AIモデルは、驚くべきスピードでエクスプロイトコードを作成できるようになり、防御側が脆弱性に対応するための機会の窓を劇的に狭めています。AIが複雑なコードを分析し理解する能力によって推進されるこの変化は、システムを保護しようと努める組織に新たな課題を突きつけています。
エクスプロイトの速度:時間との戦い
脆弱性の公開から概念実証 (PoC) エクスプロイトの作成までの従来のタイムラインは、生成AIの能力のおかげで大幅に短縮されました。かつて数日または数週間かかっていたものが、今では数時間で達成できるようになりました。
ProDefenseのセキュリティ専門家であるMatthew Keelyは、AIを使用してErlangのSSHライブラリの重大な脆弱性のエクスプロイトをわずか午後のうちに開発することで、このスピードを実証しました。AIモデルは、公開されたパッチのコードを活用して、セキュリティホールを特定し、エクスプロイトを考案しました。この例は、AIがエクスプロイトプロセスを加速し、サイバーセキュリティの専門家にとって手ごわい課題を提示する方法を示しています。
Keelyの実験は、Horizon3.aiの投稿に触発されたもので、SSHライブラリのバグのエクスプロイトコードの開発が容易になったことについて議論されていました。彼は、AIモデル、特にOpenAIのGPT-4とAnthropicのClaude Sonnet 3.7が、エクスプロイト作成プロセスを自動化できるかどうかをテストすることにしました。
彼の発見は驚くべきものでした。Keelyによると、GPT-4はCommon Vulnerabilities and Exposures(CVE)の説明を理解しただけでなく、修正を導入したコミットを特定し、古いコードと比較し、脆弱性を特定し、PoCを作成しました。最初のコードが失敗した場合、AIモデルはデバッグして修正し、学習し適応する能力を示しました。
脆弱性調査におけるAIの役割拡大
AIは、脆弱性の特定とエクスプロイトの開発の両方において、その価値を証明してきました。GoogleのOSS-Fuzzプロジェクトは、大規模言語モデル(LLM)を使用してセキュリティホールを発見し、イリノイ大学アーバナ・シャンペーン校の研究者は、CVEを分析することでGPT-4が脆弱性を悪用する能力を実証しました。
AIがエクスプロイトを作成できる速度は、防御側がこの新しい現実に適応する必要があることを強調しています。攻撃プロダクションパイプラインの自動化により、防御側は対応して必要なセキュリティ対策を実施するための時間がほとんど残りません。
AIによるエクスプロイト作成プロセスの解体
Keelyの実験では、Erlang/OPT SSHサーバーの脆弱なコードセグメントとパッチされたコードセグメントを比較するPythonスクリプトを生成するようにGPT-4に指示しました。このプロセスは「差分」として知られており、AIは脆弱性に対処するために行われた特定の変更を特定できました。
Keelyは、コードの差分がGPT-4が動作するPoCを作成するために不可欠であると強調しました。それらがなければ、AIモデルは効果的なエクスプロイトを開発するのに苦労しました。当初、GPT-4はSSHサーバーをプローブするファザーを作成しようとし、さまざまな攻撃ベクトルを探索する能力を示しました。
ファジングが特定の脆弱性を明らかにしなかったかもしれませんが、GPT-4は、Dockerファイル、脆弱なバージョンのErlang SSHサーバーのセットアップ、ファジングコマンドなど、ラボ環境を作成するために必要なビルディングブロックを提供することに成功しました。この機能により、攻撃者の学習曲線が大幅に短縮され、脆弱性を迅速に理解して悪用できるようになります。
コードの差分を武器に、AIモデルは変更リストを生成し、Keelyは脆弱性の原因について問い合わせました。
AIモデルは、認証されていないメッセージに対する保護を導入したロジックの変更を詳述しながら、脆弱性の背後にある理論的根拠を正確に説明しました。このレベルの理解は、AIが脆弱性を特定するだけでなく、その根本的な原因を理解する能力を強調しています。
この説明に続いて、AIモデルは、完全なPoCクライアント、Metasploitスタイルのデモ、またはトレース用のパッチ適用済みSSHサーバーを生成することを提案し、脆弱性研究におけるその多様性と潜在的なアプリケーションを紹介しました。
課題の克服:デバッグと改良
その印象的な機能にもかかわらず、GPT-4の初期PoCコードは正しく機能しませんでした。これは、単純なスニペットを超えるAI生成コードでよくあることです。
この問題に対処するために、Keelyは別のAIツールであるCursorとAnthropicのClaude Sonnet 3.7に目を向け、動作しないPoCの修正を依頼しました。驚いたことに、AIモデルはコードを修正することに成功し、AIが独自の出力を改良および改善する可能性を示しました。
Keelyは自分の経験を振り返り、それが彼の最初の好奇心を、AIが脆弱性研究をどのように変革しているかの深い探求に変えたと述べました。彼は、かつて専門的なErlangの知識と広範な手動デバッグを必要としていたものが、適切なプロンプトを使用すれば午後に達成できるようになったと強調しました。
脅威の伝播への影響
Keelyは、AIがエクスプロイトプロセスを加速する能力によって推進され、脅威が伝播する速度が大幅に向上していることを強調しました。
脆弱性はより頻繁に公開されるだけでなく、公開されてから数時間以内に悪用されるなど、悪用される速度もはるかに速くなっています。この加速されたエクスプロイトタイムラインにより、防御側は対応して必要なセキュリティ対策を実施するための時間が短縮されます。
この変化は、さまざまなプラットフォーム、地域、業界で同じ脆弱性が非常に短時間で使用される、脅威アクター間の連携の強化によっても特徴付けられます。
Keelyによると、脅威アクター間の同期のレベルは、かつては数週間かかっていましたが、今では1日で発生する可能性があります。データは、脅威の状況の複雑さと速度の増大を反映して、公開されたCVEが大幅に増加していることを示しています。防御側にとって、これは対応ウィンドウの短縮と、自動化、回復力、および常に準備ができていることへのニーズの高まりを意味します。
AIによって加速された脅威に対する防御
インフラストラクチャを防御しようとする企業への影響について尋ねられたとき、Keelyは、重要な脆弱性は迅速かつ安全にパッチを適用する必要があるという中核的な原則は変わらないことを強調しました。これには、セキュリティを優先する最新のDevOpsアプローチが必要です。
AIによって導入された重要な変更は、攻撃者が脆弱性の公開から動作するエクスプロイトに移行できる速度です。対応タイムラインは短縮されており、企業はすべてのCVEリリースを潜在的な差し迫った脅威として扱う必要があります。組織は、対応するのに数日または数週間待つ余裕はもうありません。詳細が公開された瞬間に対応する準備をする必要があります。
新しいサイバーセキュリティの状況への適応
AIによって加速された脅威から効果的に防御するには、組織はプロアクティブで適応性のあるセキュリティ体制を採用する必要があります。これには以下が含まれます。
- 脆弱性管理の優先順位付け: 定期的なスキャン、優先順位付け、および脆弱性のパッチ適用を含む、堅牢な脆弱性管理プログラムを実装します。
- セキュリティプロセスの自動化: 脆弱性スキャン、インシデント対応、脅威インテリジェンス分析など、セキュリティプロセスを合理化するために自動化を活用します。
- 脅威インテリジェンスへの投資: 脅威インテリジェンスフィードに投資し、情報共有コミュニティに参加して、最新の脅威と脆弱性に関する情報を入手してください。
- セキュリティ意識向上トレーニングの強化: フィッシング、マルウェア、その他のサイバー脅威のリスクについて従業員を教育します。
- ゼロトラストアーキテクチャの実装: デフォルトでユーザーまたはデバイスが信頼されていないと想定するゼロトラストセキュリティモデルを採用します。
- 防御へのAIの活用: AIを利用したセキュリティツールを利用して、脅威をリアルタイムで検出して対応します。
- 継続的な監視と改善: セキュリティコントロールとプロセスを継続的に監視し、進化する脅威に遅れをとらないように必要に応じて調整を加えます。
- インシデント対応計画: セキュリティインシデントへの迅速かつ効果的な対応を確保するために、インシデント対応計画を作成し、定期的にテストします。
- コラボレーションと情報共有: 他の組織や業界グループとのコラボレーションと情報共有を促進し、集合的なセキュリティを向上させます。
- プロアクティブな脅威ハンティング: プロアクティブな脅威ハンティングを実施して、損害が発生する前に潜在的な脅威を特定して軽減します。
- DevSecOpsの採用: ソフトウェア開発ライフサイクルにセキュリティを統合して、脆弱性を早期に特定して対処します。
- 定期的なセキュリティ監査とペネトレーションテスト: 定期的なセキュリティ監査とペネトレーションテストを実施して、システムとアプリケーションの弱点を特定します。
AI時代のサイバーセキュリティの未来
サイバーセキュリティにおけるAIの台頭は、機会と課題の両方を提示します。AIは攻撃を加速するために使用できますが、防御を強化するためにも使用できます。AIを受け入れ、セキュリティ戦略を適応させる組織は、進化する脅威の状況から身を守るために最適な立場に置かれます。
AIが進化し続けるにつれて、サイバーセキュリティの専門家が最新の開発状況を常に把握し、それに応じてスキルと戦略を適応させることが重要になります。サイバーセキュリティの未来は、AIを搭載した攻撃者とAIを搭載した防御者の間の継続的な戦いによって定義されます。