2018年11月28日
フォーティネットジャパン株式会社

サイバー犯罪者に先んじるために、組織はさらなる自動化を採用して脅威と戦うとフォーティネットが予測

AIファジングと機械学習ポイズニングによってネットワークとソフトウェアの新たな脆弱性が明らかに

統合型かつ自動型の広範にわたるサイバーセキュリティソリューションの世界的リーダーである、フォーティネット(Fortinet®、NASDAQ:FTNT)は本日、2019年以降の脅威環境に関するFortiGuard Labs(フォーティガード ラボ)の予測を発表しました。これらの予測では、フォーティネットの調査者がサイバー犯罪者が近い将来使用すると予想した手法および技法と、組織が外からの攻撃を防御するのに役立つ重要な戦略上の変更点が明らかにされています。予測の概要は以下の通りです。

サイバー攻撃がより巧妙かつ高度に

多くの犯罪組織では、攻撃技法はその有効性だけでなく、その開発、修正、実装にかかる経費についても評価されます。その結果、サイバー犯罪者の攻撃戦略の多くは、彼らが採用している経済モデルに従って中断される可能性があります。人員、プロセス、および技術に戦略的な変更を加えることにより、特定の組織を標的にすることの経済的価値をサイバー犯罪組織に考え直させることができます。それを実現するための方法の1つは、機械学習や自動化などの新しい技術および戦略を採用して、通常は人間による高度な監督や介入が必要な煩雑で時間のかかる活動をそれらに任せることです。このような新しい防御戦略は、サイバー犯罪者の戦略に影響を与えて、彼らが攻撃手法を変更したり独自の開発作業を加速させる原因になると考えられます。サイバー犯罪者コミュニティは、機械学習や自動化の普及に適応するために、以下のような戦略を採用するものと予想されます。サイバーセキュリティ業界全体がこれらを注視していく必要があります。

  • 人工知能ファジング (AIF: Artificial Intelligence Fuzzing): ファジングは、脅威調査の専門家がハードウェアやソフトウェアインターフェイスおよびアプリケーションの脆弱性を見つけるためにラボ環境で使用してきた高度な技法です。そのために、無効なデータ、予期されていないデータ、またはほぼランダムなデータをインターフェイスやプログラムに注入してその影響を監視し、クラッシュ、明記されていないデバッグルーチンへのジャンプ、コードアサーションの失敗、潜在的なメモリリークなどが起きないか観察します。従来、この技法を使用する人は、高度なスキルを持ちラボ環境で働く一握りのエンジニアだけでした。しかし、このプロセスに機械学習モデルが適用されるようになるにつれて、この技法がより効率化されカスタマイズされるようになるだけでなく、専門技術がない人々にも広く利用されるようになると予測されます。サイバー犯罪者が機械学習を活用して自動化されたファジングプログラムを開発するようになれば、ゼロデイ脆弱性を発見するプロセスを加速できるようになり、その結果としてさまざまなプログラムやプラットフォームを標的とするゼロデイ攻撃が増えることになるでしょう。
    • AIFを使ったゼロデイマイニング:AIFを採用すると、制御対象環境内にあるコードをAIFに対して指定して、ゼロデイエクスプロイトのマイニングをさせることができます。そうすれば、ゼロデイエクスプロイトの開発が飛躍的に加速します。このプロセスが効率化されれば、サービスとしてのゼロデイマイニングが実現可能になり、個々の標的に合わせて攻撃をカスタマイズできるようになります。これにより、ゼロデイがどこに現れるかを予測したりゼロデイを適切に防御することができなくなるため、組織のセキュリティに対するアプローチ方法を変更しなくてはならなくなります。多くの組織がネットワークに現在配備しているような孤立したレガシーセキュリティツールを使用している場合は特に、これが大きな課題になります。
    • ゼロデイの「価格」:従来、ゼロデイエクスプロイトは非常に高価でした。ゼロデイを発見するには、多くの時間、労力、および技術が必要だったからです。しかし、AI技術が適用されるにつれて、ゼロデイエクスプロイトはそれほど珍しいものではなくなり、一般的な商品になっていくと予想されます。すでに、ランサムウェアやボットネットのような従来からあるエクスプロイトが商品化されており、その結果、従来のセキュリティソリューションの多くが性能の限界まで追い込まれています。利用可能な脆弱性およびエクスプロイトの数と種類の急増は、ゼロデイエクスプロイトを迅速に作り出してサービスとして提供する能力も含めて、ダークウェブで入手できるサービスの種類とコストにも影響を与えると予想されます。

  • サービスとしてのスウォーム:スウォームベースのインテリジェンス技術によって高度な攻撃が大幅に進化するので、ハイブネットとして知られるスウォームベースのボットネットが現実となる可能性が高まります。この新世代の脅威を使用して、共同で自律的に動作するインテリジェントボットの大規模なスウォーム(群れ)が構築されることになるでしょう。このようなスウォームネットワークは、組織を防御するために必要な技術のレベルが上がる原因になるだけでなく、ゼロデイマイニングと同様に、サイバー犯罪のビジネスモデルにも影響を及ぼします。最終的に、エクスプロイト技術と攻撃手法の進化により最も大きな影響を受けるのは、サイバー犯罪者コミュニティで採用されるビジネスモデルになるでしょう。
    現在、犯罪エコシステムは人間主体です。一部のプロの雇われハッカーは、有料でカスタムエクスプロイトを作成しています。また、サービスとしてのランサムウェアなどの進化した新たなサービスでさえ、エクスプロイトの作成とテストやバックエンドC2サーバーの管理など、さまざまなリソースを支えるためにブラックハットエンジニアが必要とされます。しかし、自律的な自己学習型のサービスとしてのスウォームを提供するようになれば、顧客であるハッカーとブラックハット業者との間の直接的なやり取りは大幅に減るでしょう。
    • 要望に合わせて選べるスウォーム:望みの結果を得るためにスウォームを細分化する能力は、世界が仮想化へ移行した方法によく似ています。仮想ネットワークでは、帯域幅など特定の問題に対処する必要に基づいてリソースがVMをスピンアップ/スピンダウンすることができます。同様に、スウォームネットワーク内のリソースも、攻撃チェーン内で遭遇した特定の課題に対処するために、割り当てたり再割り当てすることができます。犯罪業者によってあらかじめプログラムされ多数の分析ツールやエクスプロイトを備えたスウォームを、それらのツールとエクスプロイトが1つのグループとして協調して攻撃プロトコルを改善できるようにする自己学習プログラムと組み合わせれば、サイバー犯罪者がメニューから好きな料理を選ぶように簡単に攻撃を購入できるようになります。

  • 機械学習のポイズニング:機械学習は、防御用のセキュリティツールキットの中でも最も有望なツールの1つです。セキュリティデバイスおよびシステムを、特定のタスク(動作の基準設定、高度な脅威を特定するための動作分析適用、デバイスの追跡とパッチ適用など)を自律的に実行するようにトレーニングすることができます。残念ながら、このプロセスをサイバー犯罪者が侵害することも可能です。サイバー犯罪者は機械学習プロセスを標的にすることで、デバイスやシステムをトレーニングして、特定のデバイスにパッチまたは更新を適用しないようにさせたり、特定の種類のアプリケーションまたは動作を無視するようにさせたり、検出を避けるために特定のトラフィックをログに記録しないようにさせることができます。このことは、機械学習とAI技術の将来に重要な進化上の影響を与えます。

防御がさらに高度化

これらの進歩に対抗するためには、サイバー犯罪者に対する防壁を強化し続ける必要があります。以下の防御戦略は、サイバー犯罪組織に影響を与え、彼らが戦術の変更、攻撃の修正、新しい機会評価方法の開発を行わざるを得ないようにします。攻撃を開始するためのコストが跳ね上がり、犯罪者側の開発者が同じ結果を得るためにより多くのリソースをつぎ込んだり、侵害のためによりアクセスしやすいネットワークを見つけることが必要になります。

  • 高度な偽装戦術:セキュリティ戦略に偽装技法を組み込み、ネットワーク内で偽の情報の周囲に変異を構築すれば、攻撃者は彼らの脅威インテリジェンスを絶えず確認しなければならなくなり、誤判定を検出するために時間とリソースを消費することになり、彼らに見えているネットワーク化されたリソースが本当に正規のものなのかを確認しなければならなくなります。さらに、偽のネットワークリソースに対する攻撃はすべて即座に検出可能で自動的に対策を実行できるので、攻撃者はネットワークの探査といった基本的な戦術さえきわめて慎重に実行しなければならなくなります。
  • 統合されたオープンなコラボレーション:サイバー犯罪者が既存の攻撃で投資効果を最大化して、できれば検出を逃れるための最も簡単な方法は、IPアドレスの変更のような小さな変更を行うことです。このような変更に遅れずについていくのに効果的な方法は、脅威インテリジェンスを積極的に共有することです。セキュリティベンダーとその顧客は、脅威インテリジェンスを絶えず更新することで、最新の脅威に遅れをとらずにいられます。脅威を調査する組織、産業連合、セキュリティベンダー、および法執行機関がオープンにコラボレーションすれば、攻撃者が使用している戦術を突き止めて共有することで、新たな脅威の検出にかかる時間を大幅に短縮できます。ただ対応するのではなく、オープンなコラボレーションを通じて生のデータフィードに動作分析を適用することで、防御側がマルウェアの動作を予測できるようになり、その結果、サイバー犯罪者が小さな変更を加えるだけで既存のマルウェアを繰り返し利用できるようにするために使用している現在のモデルを回避できます。

サイバーセキュリティにはスピード、統合、自動化が必須

統合された方法で脅威情報を収集・処理し、それに基づいて行動してインテリジェントな対応を確立するための手段がなければ、自動化または機械学習を含めた将来の防御戦略は成立しません。ますます高度化する脅威と戦うためには、すべてのセキュリティ要素をセキュリティファブリックに統合して、迅速かつ大規模に脅威を検出して対応する必要があります。検出に必要な時間を短縮してすばやい修復を提供するためには、すべてのセキュリティ要素間での高度な脅威インテリジェンスの相関と共有を自動化する必要があります。分散ネットワーク全体に展開されたポイント製品の統合と、戦略的なセグメント化を組み合わせれば、ますます巧妙になり自動化されていく攻撃と戦うための大きな力になります。

フォーティネットのセキュリティインサイト&グローバル脅威アライアンス責任者であるDerek Manky(デレク・マンキー)は次のように述べています。「私たちは、自動化と先駆的なAIを活用したサイバー犯罪ツールおよびサービスの大きな進歩を目にしています。脅威をより的確に予測して経済的動機と戦って、サイバー犯罪者を振り出しに戻らせるためには、防御側の組織が戦略を練り直す必要があります。終わりのない軍拡競争に没頭する代わりに、自動化とAIを導入して、侵入から検出まで、および検出から封じ込めまでの時間枠を縮める必要があります。それには、セキュリティ要素を1つのまとまったセキュリティファブリックに統合する必要があります。セキュリティファブリックでは、幅広い保護と可視化のために、IoTからマルチクラウドまですべてのネットワークセグメント間で脅威情報が動的に共有されます」

フォーティネットについて (www.fortinet.com)

フォーティネット(NASDAQ: FTNT)は、世界中の大手企業、サービスプロバイダ、そして政府機関を守っています。フォーティネットは、拡大するアタックサーフェス(攻撃対象領域)に対するシームレスな保護とインテリジェンスを提供し、ボーダレスなネットワークでの、増え続けるパフォーマンスの条件に応じるパワーで、現在もまた将来も、お客様に貢献します。ネットワーク上でも、アプリケーションやクラウド、またはモバイル環境であっても、妥協することなく、極めて重大なセキュリティ上の問題に対応するセキュリティを提供できるのはフォーティネットのセキュリティ ファブリックのアーキテクチャだけです。フォーティネットは世界で最も多くのセキュリティアプライアンスを出荷し、375,000以上のお客様がビジネスを守るためにフォーティネット に信頼を寄せています。
フォーティネットジャパンについては、www.fortinet.co.jpをご覧ください。

Copyright© 2018 Fortinet, Inc. All rights reserved. 「®」および「™」マークはいずれも、Fortinet, Inc.とその子会社および関連会社の米国における登録商標および未登録商標であることを示します。フォーティネットの商標には、Fortinet、FortiGate、FortiGuard、FortiManager、FortiMail、FortiClient、FortiCloud、FortiCare、FortiAnalyzer、FortiReporter、FortiOS、FortiASIC、FortiWiFi、FortiSwitch、FortiVoIP、FortiBIOS、FortiLog、FortiResponse、FortiCarrier、FortiScan、FortiDB、FortiVoice、FortiWebなどが含まれますが、これらに限定されるものではありません。その他の製品名およびサービス名等は、各社の商標である場合があります。フォーティネットは、本プレスリリース内の第三者に帰する声明、認可またはテストについては、検証を行っておらず、また、このような第三者に帰する声明を承認するものではありません。本プレスリリースは、保証または債務保証、または契約として一切拘束を受けるものではなく、記載された製品仕様または製品性能は、ある特定の環境や条件のもとで計測されていることがあります。また、本プレスリリースには、将来の見通しに関して不確実性および仮説を伴う記述が含まれている場合がありますが、本不確実性が現実になったり、あるいは本仮説が正しくないことが判明したりする場合、明文的あるいは暗黙的に記述された内容と異なる結果が生じることがあります。これには、サイバー犯罪活動の動向予測に関する記述などが含まれますが、これに限定されるものではありません。このような動向は予測することが困難であり、また、このような動向に関する公開予測や期待事項は結果として正しくないことがあります。フォーティネットは、このような将来見通しを改正する義務を一切負うものではなく、また改正を発行することもありません。