[レポート] AIセキュリティとサイバー脅威の攻防最前線 ~ChatGPT悪用からAIモデル検知回避、最新RaaSトレンドまで~ #SecurityDaysSpring2023
最初に
東京で開催された Security Days Spring 2023 に参加してきました!視聴させていただいたセッションは下記です。
AIセキュリティとサイバー脅威の攻防最前線~ChatGPT悪用からAIモデル検知回避、最新RaaSトレンドまで~ | Security Days Spring 2023
こちらをレポートとして記事にしました。
セッション概要
AIセキュリティとサイバー脅威の攻防最前線~ChatGPT悪用からAIモデル検知回避、最新RaaSトレンドまで~
開発と運用を一体化させるDevOpsのサイクルにセキュリティ対策を取り入れる「DevSecOps」のニーズが高まりつつあります。しかし開発の現場では、DevOpsへの取り組みもなかなか進まない、というのが現状ではないでしょうか。 本セッションでは、DevSecOpsを見据えた上でDevOpsから取り組みたいと考えている方に、DevOpsとは何か、というところから解説します。
レポート
サイバー攻撃、防御の進化
- 2015 年移行、AI を使用したサイバー攻撃が増加傾向にある
・手法も巧妙になっている。
・2次被害から、3次被害へと利用者に影響範囲が及ぶケースもある。
マルウェア技術のトレンド
- Emotet をはじめとする64 bit マルウェアの増加
・32 bit 版のマルウェアは、64bit のクライアント端末に対応しているため主流。
・追加で、最近は 64bit 版のマルウェアが増えており、知見が少なく対処が難しい。
・NGAV により、実行ファイル(exe、dllなど)の検知は可能だが、64bit マルウェアに対応しているツールが少ない。
AI、ML を用いた防御
AI、ML は、白黒チェックが得意な反面、未知のマルウェア検知が難しい
- 検知しやすいもの
- 検知しにくいもの
・パッキング、PE32 マルウェア、ランサムウェアなど
・PE64、ドキュメントファイル、ローダー、独自コードを持ったパッキングなど
ChatGPT の悪用
危険なプログラムの作成は、ChatGPT 側で断る様にされている
- しかし、伝え方によっては FTP で、○○に××ファイルを送信するプログラムの作成を依頼すると、作成してくれる。
- つまり、シナリオさえ描ける人なら、コードを作成できてしまう = サイバー犯罪も増える見込み
RaaS(Ransomware as a Service)の増加
サイバー犯罪組織が儲かる仕組みを取り、脅威グループが増加している。
- アクセスブローカー
どの企業が、どの IT 製品を使用しており、どんなツールを使っているか、どこにアクセスしているか、などの情報を持つ組織
・内部不正で、社内情報を流出して儲かるアフィリエイトのような仕組みもある。
→ DSP(Data Security Patform)を使用して、重要データに対する脅威や、ふるまいを検知して対策する必要がある。
Deep Instinct 社の取り組み
ここまで説明した課題に対して、Deep Learning を使用した技術で,エンドポイントの防御層を展開
- AI、ML の範囲でカバーできない領域を保護
- 手軽な運用
- アップデート回数が少ない
- 検知できるファイル数が豊富
- エンドポイント、サービスへの展開
・既知/未知のマルウェアを予測してブロック
・ランサムウェア、情報搾取系のファイルレスマルウェアにも対応
・オフライン環境でも検知能力を維持しつつ、自動で防御
・誤検知が少ない
→ AI だと、既知の情報を頼りにする + 久しぶりに検知した情報は脅威でなくても誤検知してしまう
・従来製品比:数重~数百分の 1程度
・シグネチャ更新、フルスキャンの通常運用が不要
・新たな脅威に対するアップデートも不要
・PE、PDF、Java、パワーシェル、スクリプトや数多くのファイル
・エージェント型(エンドポイント向け)
・エージェントレス型(サービス向け = API を使用して、オンデマンドでファイルをスキャンが可能)
まとめ
AI、ML だけでなく、Deep Learning まで踏み込むことで、「未知のマルウェア」まで検知可能になる = セキュリティインシデントも削減できます。
また、セキュリティ担当者は、検知した脅威情報を社内へ説明する責任もあるといわれる中、Deep Learning により誤検知が少なく済むのは運用上非常に効率的だと感じました。
従来型のアンチウィルスに予防の面で、機械学習型のアンチウィルスを展開して、脅威ハンティングや、封じ込め対処に活用していける