数年、あるいは数十年かかるかもしれませんが、ハッカーは必ずしも人間とは限りません。サイバーセキュリティに革命をもたらす可能性を秘めた技術である人工知能が、いつかハッキングの主力ツールになる可能性もあるのです。
米国防高等研究計画局(DARPA)が主催するコンテスト「サイバー・グランド・チャレンジ」の主催者は、8月に開催されたイベントでAIの威力を垣間見せた。7台のスーパーコンピューターが競い合い、機械がソフトウェアの脆弱性を発見し、修正できることを実証した。
理論上、この技術はあらゆるコーディングを完璧にし、悪用可能な欠陥を排除することができます。しかし、もしその力が悪意ある目的に利用されたらどうなるでしょうか?サイバー防御の未来は、ハッキングの新たな時代への道を開く可能性もあるのです。
起こりうる危険
例えば、サイバー犯罪者はこれらの能力を利用してソフトウェアをスキャンし、これまで知られていなかった脆弱性を発見し、悪用する可能性があります。しかし、人間とは異なり、AIは機械並みの効率でこれを実行できます。この悪夢のようなシナリオでは、開発に時間を要したハッキングが、安価な商品になってしまう可能性があります。
テクノロジー業界が既に自動運転車、より高度なロボット、その他の自動化技術を開発している今、サイバーセキュリティの専門家たちはこのリスクを十分認識している。「テクノロジーは常に恐ろしいものです」と、GrammaTechのリサーチ担当副社長、デビッド・メルスキ氏は述べた。
メルスキ氏の会社は、8月のサイバーグランドチャレンジに参加するためにスーパーコンピュータを構築した企業の一つです。現在、同社はその技術を活用して、ベンダーがIoTデバイスの欠陥を防いだり、インターネットブラウザのセキュリティを強化したりすることを検討しています。
「しかし、脆弱性の発見は諸刃の剣です」と彼は述べた。「私たちはあらゆるものの自動化を進めています。」
そのため、セキュリティ専門家にとって、AIが強力なサイバー兵器を開発・制御できるという潜在的なダークサイドを想像するのは難しくありません。メルスキ氏は、イランの核開発計画を妨害するために設計された悪意のあるコンピューターワーム、スタックスネットの事例を挙げました。
「スタックスネットのようなものが自動化されることを考えれば、それは憂慮すべきことだ」と彼は語った。
潜在能力を引き出す
「誰にもアイデアを与えたくはありません」と、セキュリティ企業SentinelOneのCEO、トマー・ウェインガルテン氏は述べた。しかし、インターネットを巡回して脆弱性を探すAI駆動型技術は、将来的に現実のものとなる可能性があると、同氏は述べた。
サイバー犯罪の合理化は既に始まっています。例えば、闇市場の買い手は、洗練されたウェブインターフェースと分かりやすいコマンドを備えた「レンタルハッカー」サービスを利用し、ランサムウェアによるコンピューター感染といったサイバー犯罪を実行できます。
マイケル・カン セキュリティ専門家は、AIが悪意のあるハッキングに利用されるのではないかと懸念している。
ワインガーテン氏は、こうしたハッカーレンタルサービスには、最終的には攻撃戦略全体の設計、実行、そして関連する料金の計算などができるAI技術が組み込まれる可能性があると述べた。「そうなれば、人間の攻撃者はその労働の成果を享受できるのです」と彼は述べた。
しかし、「AI」という言葉には含みがあります。テクノロジー企業はこぞってAIについて語っているものの、真の人工知能を生み出した企業はまだありません。業界は、人間よりも上手にゲームをプレイしたり、デジタルアシスタントとして機能したり、さらには希少疾患を診断したりする技術を生み出してきました。
サイランスなどのサイバーセキュリティ企業も、マルウェアの阻止に機械学習と呼ばれるAIのサブセットを活用しています。これは、マルウェアサンプルに基づいて数学モデルを構築し、コンピュータ上の特定のアクティビティが正常かどうかを判断できるようにするものです。
「最終的には、このファイルが安全か有害かという統計的な確率が得られます」と、セキュリティ企業の最高研究責任者であるジョン・ミラー氏は述べています。機械学習は99%以上の確率でマルウェアを検出できるとミラー氏は言います。
「私たちは継続的に新しいデータ(マルウェアサンプル)をモデルに追加しています」とミラー氏は述べた。「データが増えれば増えるほど、精度は高まります。」
エスカレーション
欠点は、機械学習の利用には費用がかかる可能性があることです。「コンピューターモデルに毎月50万ドルを費やしています」と彼は言います。その費用は、モデルを稼働させるためにAmazonからクラウドコンピューティングサービスをリースするのに使われています。
AI技術を悪意ある目的で利用しようとする者は、同様の参入障壁に直面する可能性があります。さらに、プログラミング開発のために優秀な人材を確保する必要もあります。しかし、時間の経過とともに、コンピューティングパワーのコストは必然的に低下するとミラー氏は述べています。
それでも、ハッカーがAIを使うようになる日は遠いかもしれない。「なぜこれまで行われなかったのか? そもそも必要ないからだ」と彼は言った。「誰かをハッキングしたいなら、あらゆるものに既に十分な脆弱性が知られている」
今日でも、マルウェアを含んだフィッシングメールが標的に送信された後に、多くのハッキングが発生しています。また、被害者が脆弱なパスワードでログイン情報を保護し、最新のパッチを適用し忘れていた場合など、ハッキングされやすくなっているケースもあります。
セキュリティ企業ダークトレースのサイバーインテリジェンス担当ディレクター、ジャスティン・フィアー氏は、機械学習などのAI技術はこうした問題の一部を解決する可能性を示していると述べた。しかし、ハッカーが最終的にその武器を強化するのは時間の問題かもしれない。
そうなれば、AIを最前線に据えたサイバーセキュリティ企業とハッカーの対立が生まれることになる。「我々は機械同士のサイバー戦争の世界へと突入しつつあるようだ」とフィアー氏は述べた。
