Gartner社の最新レポートによると、人工知能(AI)が悪用されたサイバー攻撃が、企業にとって最大の脅威として3四半期連続で上位を占めています。
同コンサルティング会社は7~9月にかけて、上級リスクおよび監査担当者286名を対象に調査を実施しました。その結果、回答者の80%がAIを活用した悪意のある攻撃に対して深刻な懸念を示しました。AIを利用したサイバー攻撃の増加を示す証拠があるため、この傾向は驚くべきことではありません。
画像出典:AI生成画像、画像ライセンス提供元Midjourney
レポートでは、AIによる情報操作の増加、政治的二極化の激化、組織の人材配置のミスマッチなど、その他の新たなリスクも指摘されています。攻撃者はAIを使ってマルウェアを作成したり、フィッシングメールを作成したりしています。例えば、HPは6月にマルウェアを拡散するメール攻撃を阻止しましたが、そのスクリプトは生成AIによって作成された疑いがあります。このスクリプトは構造が明確で、各コマンドにコメントが付加されており、これは手動で作成されたスクリプトでは一般的ではありません。
セキュリティ企業Vipreのデータによると、2023年第2四半期のビジネスメール詐欺攻撃件数は前年同期比20%増加し、その約半数がAIによって生成されたものです。CEO、人事担当者、IT担当者が主な標的となっています。Vipreの最高製品技術責任者であるUsman Choudhary氏は、犯罪者たちが高度なAIアルゴリズムを利用して、合法的な通信の口調やスタイルを模倣した説得力のあるフィッシングメールを作成していると述べています。
さらに、Imperva Threat Researchのレポートによると、4月から9月にかけて、小売ウェブサイトは平均毎日569,884件のAI駆動型攻撃を受けています。研究者によると、ChatGPT、Claude、Geminiなどのツールや、大規模言語モデルのトレーニングのためにウェブサイトデータを収集するボットが、分散型サービス拒否攻撃やビジネスロジックの悪用などの活動に使用されています。
倫理的なハッカーも、生成AIの使用を認める割合が増加しており、前年の64%から77%に上昇しました。これらの研究者によると、AIはマルチチャネル攻撃、フォールトインジェクション攻撃、自動化された攻撃を支援し、複数のデバイスを同時に攻撃できるとしています。「善人」がAIを有用だと考えるなら、「悪人」も同様にこの技術を利用することでしょう。
AIの台頭は、技術レベルの低い犯罪者でもAIを使ってディープフェイクを作成したり、ネットワークの脆弱性をスキャンしたり、偵察を行ったりできるようになるため、サイバー犯罪のハードルを下げるという点で驚くべきことではありません。スイス連邦工科大学(ETH Zurich)の研究者たちは最近、Google reCAPTCHA v2を100%解決できるモデルを開発しました。セキュリティ企業Radwareのアナリストは年初に、プライベートGPTモデルが悪用され、ゼロデイ脆弱性やディープフェイク詐欺が増加すると予測していました。
Gartnerはまた、ITベンダーへの集中依存が初めて経営陣の関心の対象になったと指摘しています。Gartnerのリスクと監査業務の上級ディレクターであるZachary Ginsburg氏は、単一のベンダーに集中依存する顧客は、より高いリスクにさらされる可能性があると述べています。7月に発生したdStrikeの事件のように、世界中の850万台のWindowsデバイスが機能停止し、緊急サービス、空港、法執行機関などに大きな影響を与えました。
