FBI副長官のシンシア・カイザー氏によると、米国の重要インフラに対する最大の脅威は「中国」という一言に集約されるという。
RSAカンファレンス開催中のThe Register誌とのインタビューで、カイザー氏は中国政府支援の攻撃チームが攻撃チェーンのあらゆる段階でAIをテストしていると述べた。これは成功しているというわけではないが、「より効率的、あるいは少し速くなっている」可能性があるとカイザー氏は付け加えた。
昨年のRSACから今年の情報セキュリティイベントまでの間に明らかになった「タイフーン」と呼ばれる攻撃を少なくとも2つ挙げることができる人にとっては、北京が支援するデジタル侵入者による米国の重要施設への継続的な脅威は、それほど衝撃的ではないだろう。
今では、北京の諜報員が、政府、通信、エネルギー、水道といった重要なネットワークを巧妙かつ巧妙に監視し、時には何年もかけてようやく発見されることがあることを、ほとんどの人が認識している。
例えば、Volt Typhoonは、数百台の旧式のルーターを感染してボットネットを構築し、米国の重要インフラ施設に侵入すると同時に、それらの標的に対して破壊的なサイバー攻撃を準備しました。
また、別の中国の諜報部隊であるSalt Typhoonは、昨年、少なくとも米国の通信会社9社と政府ネットワークに侵入し、つい最近の1月には、インターネットに接続された1000台以上のシスコ製デバイスへの侵入を試みています。
カイザー氏はThe Registerに対し、中国政府のために活動するこれらの工作員やその他の工作員は、「単純な手段、特に耐用年数を経たデバイス」を通じて米国のネットワークに侵入していると語りました。
「多くの場合、彼らはパッチ未適用の脆弱性やデバイスから侵入し、システムにアクセスしても非常に静かに行動します」と彼女は述べた。
中国のVolt Typhoon侵入に対応�し、エネルギー施設などの侵害を受けた施設を視察したFBI捜査官は、「中国がいかに巧妙に内部システムを操作し、ビジネスネットワークを経由して運用部門に侵入したかを語ります」とカイザー氏は指摘する。「Salt Typhoonでも、横方向の移動と操作が可能で、時間をかけて必要なアクセスを獲得していたことが確認されました。」
元FBI長官クリストファー・レイ氏がよく警告していたことの一つは、FBIのサイバー専門捜査官1人につき中国には専属ハッカーが50人いるというものでした。これは、トランプ政権がホワイトハウスに戻り、連邦予算と職員を削減するずっと前のことでした。
つまり、アメリカは中国工作員の任務遂行を容易にしているだけのように思われます。
「いつも通りの業務」
しかし、最近の政府改革がFBIのサイバー脅威への対応能力にどのような影響を与えたかと問われると、カイザー氏は「我々にとっては、まさにいつも通りの業務です」と答えました。
その業務には、国家主導の攻撃者だけでなく、ランサムウェア集団やその他の金銭目的のサイバー犯罪者への対応も含まれます。これらの犯罪者は、攻撃をより効率的、迅速、そしてスケーラブルにするために、AIをますます活用しています。
「FBIでは、AIを非常に綿密かつ精密に追跡し、時間の経過とともに、どの国がAIを活用しているか、あるいは攻撃ライフサイクル全体を通して、どの活動にAIをより頻繁に統合��しているかを把握しています」とカイザー氏は付け加えました。「私たちが目にした中で最も広く採用されているのは、中国とサイバー犯罪者です。」
これには、AIを用いて大規模な架空の企業プロフィールを作成し、大規模言語モデルを活用して、ソーシャルエンジニアリングキャンペーンで使用する、より信憑性の高いスピアフィッシングメッセージを作成することが含まれます。
それでも、侵入者のAI利用は防御側と似ており、エンドツーエンドの攻撃を仕掛けるためではなく、初期のスキャンと準備段階をより効率的にするために利用しています。「多くの攻撃者がAIを試しているのを目にします。『ここでAIをどう使えるのか?』『あそこでAIはどんな意味を持つのか?』と。それは単に標的の攻撃を強化しただけかもしれないが、システム上で変化できるポリモーフィック型マルウェアを作成したわけではない」とカイザー氏は指摘しました。
つまり、以前のRSAカンファレンスで耳にしたような終末的なシナリオはまだ現実にはなっていませんが、攻撃者はより実用的な目的でAIを利用しているのです。
「企業がAIについて懸念すべきもう一つの点は、AIが攻撃者がネットワークをより正確に把握するのに役立つことです」とカイザー氏は述べました。「つまり、一度ネットワークに侵入すれば、AIは攻撃者が狙う可能性のある場所へのアクセスを可能にするのです。」
これは重要な意味を持ちます。なぜなら、「第一の防衛線は攻撃者を締め出すこと」だからです。 「しかし、2つ目の目的は、ユーザーがネットワーク内を移動できないようにすることです。」
MFA ― またはセーフワード
AIのこれら2つの用途に加えて、この技術は、偽の北朝鮮IT労働者から一般的な詐欺師まで、あらゆる人がディープフェイク動画を作成し、企業や個人から金銭を詐取し、機密IPを盗むことを容易にします。
「CEOから電話がかかってきたと想像してみてください」とカイザー氏は言います。 「以前使ったことのあるメッセージアプリで、何度も会ったことのある家に座っているCEOから、『ここに電信送金をしてほしい』とか、『このリンクから緊急のオンライン会議に参加してほしい』と言われる。私を含め、多くの人は、もしかしたら偽物かもしれないと思わずに、CEOの指示に従うだろう」
犯罪者は実際にこのようなことを行っており、ディープフェイク動画を使って「結果として企業から何百万ドルも詐取している」と彼女は付け加えた。「ですから、あらゆるものに多要素認証(MFA)を追加することが不可欠になるだろう」
デジタルシステムの場合、これには認証コードや指紋などの生体認証データが含まれるかもしれない。しかし、社内の誰かが多額の送金を依頼しているように見えるような状況では、多要素認証はよりローテクな方法で本人確認を行うことになるかもしれない。
カイザー氏によると、「昔ながらのMFAとは、秘密の言葉を使うことだ」という。