シートベルトを締めろ:2024年セキュリティ予測の時が来た
Alex Woodie オリジナル記事「Buckle Up: It’s Time for 2024 Security Predictions」
2024年にコンピューター・セキュリティがニュースになることは予言者でなくても知っている。しかし、2024年にサイバー犯罪者がどのように防御を突破し、貴重なデータを盗み出そうとしているのか、その詳細は分かっていない。そこで我々の専門家チームの出番となる。
AIの民主化はサイバーセキュリティにとって諸刃の剣になるだろう、とIntuitのSVP兼CISOであるアティカス・タイセン氏は予測する。
「AIの民主化は大きな可能性を示す一方で、その普及はサイバーセキュリティにとってかつてない挑戦をもたらします」とタイセン氏は言う。「AIは企業に対する特定の攻撃を進化させ、企業、個人、そしてそれらが依存するインフラに対する継続的でユビキタスな脅威となるでしょう。それでもなお、回復力のあるシステムと防御を設計することは、脅威の主体との競争になります。もし失敗すれば、近い将来、ハッキングの成功が常態化し、大混乱を引き起こす危険性があります。」
ベリタステクノロジーズのデータプロテクション担当SVP兼GMであるマット・ワックスマン氏は、「AIとランサムウェアを同時に使えば、ベリタステクノロジーズが思い描く状況の半分が実現する」と予測する。
ワックスマン氏は、「エンド・ツー・エンドでAIを活用したロボ・ランサムウェアによる最初の攻撃は、組織にとって新たなサイバー犯罪の時代の到来となるでしょう」と予測している。「すでにWormGPTのようなツールによって、攻撃者はAI生成のフィッシングメールを使ってソーシャルエンジニアリングを容易に改善できるようになっています。2024年、サイバー犯罪者は、初のエンド・ツー・エンドのAIによる自律型ランサムウェア攻撃によって、AIを本格的に活用するようになるでしょう。ロボコールのような自動化から始まり、最終的にはAIがターゲットを特定し、侵入を実行し、被害者を恐喝し、そして身代金を攻撃者の口座に入金するところまで、すべて驚くべき効率で、ほとんど人間の手を煩わせることなく行うようになるでしょう。」
(KT-Stock-photos/Shutterstock) | |
生成AIツールは、博士号を持たない人々でも簡単に扱えるようになってきている。Skybox Securityの製品管理担当副社長であるアディ・デュビン氏によれば、これはサイバー犯罪者にとっては朗報だが、それ以外の人々にとってはあまり良いニュースではないという。
「2024年には、AIが生成するオーダーメイドのマルウェアや、サイバー攻撃の本格的な自動化への移行が進むでしょう」とデュビン氏は言う。「サイバーセキュリティチームは、生成AIやその他の高度なツールを使ったマルウェアの作成と実行の迅速な自動化による大きな脅威に直面しています。2023年には、高度にカスタマイズされたマルウェアを生成できるAIシステムが登場し、脅威行為者に新たな強力な武器を与えることになります。来年には、単にカスタマイズされたマルウェアを生成することから、攻撃プロセス全体を自動化することに焦点が移るでしょう。これにより、熟練していない脅威行為者でも攻撃を成功させることがはるかに容易になります。」
オナプシス社CTOのジェーピー・ペレス=エチェゴエン氏は次のように述べている。
「AIモデル、特に大規模言語モデルや生成系AIが、多様な業界のソフトウェア・チェーンのあらゆる面に統合される中、プロンプト・インジェクションやその他の悪意のある攻撃のような進化する脅威からこれらのテクノロジーを保護する需要は、かつてないレベルに達するでしょう」と、ペレス=エチェゴエン氏は述べている。「これらの進歩は比較的新しいにもかかわらず、厳格なセキュリティ対策の必要性は、AI技術の旅路における分水嶺を示すものとして、支持を集めるでしょう。膨大なデータと新たな課題という未知の領域と格闘し続ける中で、私たちは、境界を強固にし、この変革的技術の責任ある成長を確保するための協調的な努力を目の当たりにすることになるでしょう。」
ここ数年のセキュリティ対策によって、ハッカーはデータ窃取のテクニックを創造的にする必要に迫られている、とGetAppのリサーチラボ・マネージャー兼シニア・セキュリティ・アナリストのザック・ケイパース氏は言う。
(JLStock/Shutterstock) | |
「企業は、パンデミックに起因する脆弱性の流入から立ち直り、かつてないほどシステムをロックダウンし始めたようです。これは、サイバー犯罪者が、機械ではなく従業員を悪用するソーシャルエンジニアリングへの依存を高めることを意味します。GetAppの調査によると、2024年に向けてITセキュリティ管理者が最も懸念しているのは、高度なフィッシング攻撃です。フィッシングはメールによるものだけではありません。SEOポイズニング攻撃は、検索エンジンのアルゴリズムを悪用して、悪意のあるそっくりなWebサイトに被害者を誘い込むように設計されたフィッシングの脅威です。つまり、オンライン・クラウド・サービスを探している従業員が偽のサイトを見つけ、自分の認証情報をサイバー犯罪者に直接渡してしまったり、自分のマシンがマルウェアに感染してしまったり、あるいはその両方が起こる可能性があるということです。2024年には、従業員を騙して機密情報を引き渡させ、有害なサイバー攻撃につながる可能性のある、洗練され、ますますダイナミックになっている手法について、従業員を教育することが、これまで以上に重要になるでしょう。」
ベリフ社の詐欺防止・エクスペリエンス担当シニア・ディレクターであるデイビッド・ディヴィット氏によると、2023年には詐欺が増加したが、技術的な進歩も同様であった。サイバーセキュリティを表現する猫とネズミのゲームは続くだろう。
「この1年で不正行為全体が20%増加し、それは2024年まで続くでしょう」とディヴィット氏は言う。「認証のためのバイオメトリクスの利用が増えるにつれて、ディープフェイクを使ったアカウント乗っ取りが増えるでしょう。AIのようなツールへのアクセスや利用がますます簡単かつ安価になるにつれて、なりすましやID詐欺のような攻撃が増えるでしょう。ディープフェイク・ライブラリや取得したIDを使用する大規模な集団攻撃だけでなく、大衆に押し付けられる偽造攻撃も増えるだろう。テンプレート化されたドキュメントの偽造、バイオメトリクスのディープフェイク、そして大量に盗まれた認証情報の三重奏は、今後も迫り来る脅威であり続けるでしょう。」
(StudioFI/Shutterstock) | |
Rubrik Zero Labsの責任者スティーブ・ストーン氏にとって、データの増加はセキュリティ上の頭痛の種に等しい。
「加速するデータの爆発は、セキュリティ戦略の見直しを迫るでしょう。2024年、組織は、急速に拡大し変化する表面領域のデータを保護するという、より厳しい課題に直面するでしょう。この課題に対処する1つの方法は、SaaSやクラウドのデータをオンプレミス環境と同じように可視化することです。そして、このことは来年、多くの組織にとってサイバーセキュリティの主要な焦点となるでしょう。セキュリティの構造全体が変化し、もはや個々の城を守るのではなく、相互接続されたキャラバンを守る必要があることを、より多くの企業が認識するようになるでしょう。」
Intuitのチーフ・プライバシー・オフィサーであるエリス・ホーリック氏は、「プライバシーの専門家は、AI時代に向けて迅速にスキルアップする必要がある」と言う。
「個人データの価値が高まり、AIが世界中のほぼすべてのセクターに浸透するにつれ、今日のプライバシー専門家の定義と必要なスキルセットは急速に進化する必要があります。プライバシー・チームはこれまで以上に、システム・アーキテクト、AIサイエンティストやエンジニア、サイバーセキュリティ・チーム、製品開発者、プライバシー・エンジニア、その他のテクノロジー分野と密接に協力し、プラットフォームが個人データを正しく処理し、そのデータを可能な限り責任ある方法で使用していることを確認する必要があります。問題を複雑にしているのは、断片的で困難なグローバルなAI規制の状況であり、グローバルな枠組みがより鮮明になるにつれて、データ・プライバシーの観点から継続的なスキルアップの必要性が緊急性を増しています」とホーリック氏は言う。
Egress社の製品管理担当副社長であるスティーブ・マローン氏は、AIコパイロットの普及にはマイナス面もあると予測している。
(MeshCube/Shutterstock) | |
「コパイロットAIアシスタントを提供するテクノロジー製品がますます増える中、AIツールのポイズニングや乗っ取りは、ユーザーの侵害、妥協、操作につながると予想しています」とマローン氏は言う。「実際、AIはすでにCISOの頭脳に入り込んでいます。当社の2023年Eメール・リスク・レポートでは、サイバーセキュリティ・リーダーの72%が、フィッシング攻撃を改善するためのチャットボットの利用を懸念していることが示されています。2024年、AIは突出した力を持つに違いありません。」
AIは、ステートレスAIエージェントなど、サイバー凶悪犯と戦うための新たなツールを与えてくれるだろう、とCohesity社のフィールドCISOであるデール “ドクターZ “ザブリスキー氏は予測している。
「テクノロジーの世界は非常に速いペースで進化しており、それに伴い、新興テクノロジーのスキル格差はかつてないほど広がっています。母国語や自然言語と工学用語や技術専門用語の間の翻訳エンジンとして機能する新しいツールを開発する必要があります」とドクターZは言う。「これを解決するために、従来のRAGアーキテクチャーよりも複雑な状況を解決するために、あらかじめ定義された一連のツールを使って行動し、推論するシステムであるAIエージェントの新たなトレンドがすでに見え始めています。エージェントとツールの組み合わせは、より複雑なシステム管理や運用の自動化において、人間を支援するために活用さ れるでしょう。」
セキュリティ業界では、多機能認証(MFA)が標準になるにつれ、パスワードは過去のものとなっている。Code42社のCEOであるジョー・ペイン氏は、このセキュリティ状況の変化は重要な意味を持つと語る。
「パスワードの代わりにバイオメトリクスを認証に使用するOkta Fastpassのようなテクノロジーを組織が迅速に採用するにつれ、悪質業者の活動方法は変化するでしょう」とペイン氏は言う。「ソーシャルエンジニアリングによる侵害(すでに増加傾向)と、インサイダーによる侵害(すでに侵害全体の40%以上)です。ソースコード、販売予測、連絡先、人事データなどに合法的にアクセスできるインサイダーは、競合他社に転職したり、自分の会社を立ち上げたりする際に、組織からデータを持ち出すことが後を絶ちません。 ハッカーが脆弱なパスワードを使用してデータにアクセスする能力を低下させるにつれて、インサイダー問題の解決に焦点を当てることがより顕著になるでしょう。」
関連項目