Google Cloudと傘下の米Mandiantが8日、「Cybersecurity Forecast 2024」（2024年のサイバーセキュリティ予測）を発表、引き続きサイバー脅威の高度化が進むとした。生成AIと大規模言語モデル（LLM）よって高度化したフィッシング攻撃や規模を拡大した情報操作型サイバー攻撃、ゼロデイ脆弱性の悪用が急増し、ハイブリッド環境やマルチクラウド環境への攻撃の成熟が進むという。

生成AIとLLMは、フィッシングやSMS等を利用したソーシャルエンジニアリングを激変させると予想されている。サイバー犯罪者が活用すれば、音声や動画等のコンテンツや素材をより本物らしく見せることが可能だ。LLMで翻訳文を整えることもできる。ユーザーが詐欺やフィッシングと気づくのは以前よりも難しくなる。

さらに、生成AIの助けがあれば、攻撃キャンペーンの規模を拡大、高度にパーソナライズされた説得力のあるコンテンツを使い、多数の個人を標的とすることが可能になるという。

「この種の情報操作型サイバー攻撃が拡大可能になることで、ニュースや（オンライン）情報に対する社会的信用が低下し、だれもが疑いを持つまでに至る危険性があります」とレポートにはある。「そうなれば、近い将来、企業や政府が読み手と関わっていくことがますます難しくなっていくかもしれません」

攻撃者が生成AIやLLMの実験を続けていけば、こうしたツールがさらに開発され、ランサムウェアのような非合法のアズ・ア・サービスのように、サービスとして提供されていくと専門家は予測している。

「2023年は、前線に立つ当社の専門家がAIを利用した攻撃者を目撃した件数は非常に限られていましたが、2024年には、攻撃者たちが生成AIとLLMを利用して、攻撃キャンペーンをパーソナライズし、徐々に規模を拡大していくと予想しています」。Google CloudのCISO（最高情報セキュリティ責任者）、Phil Venables（フィル・ヴェナブルズ）氏が述べている。「攻撃者は、悪意のないAIアプリケーションと悪意のあるAIアプリケーションの境界を曖昧にするために、使えるものなら何でも使うでしょう。防御側はさらに迅速かつ効率的に対応しなくてはなりません」

生成AIとLLMのサイバー防御への活用

一方、サイバー防衛側にとっても、生成AI・LLMとその関連技術は、（検知と対応、大規模なアトリビューション、分析、リバースエンジニアリング等の）時間のかかるタスクの支援に使用できる、と両社は指摘する。

こうした技術を利用すれば、人が大規模なデータセットを分析し、それに基づいて行動する能力が大幅に強化されるという予想だ。また、来年には、サイバーセキュリティ分野での生成AIの重要なユースケース――脅威インテリジェンスでの大量データの統合・コンテキスト化と実用的な分析の提供――が実現すると予測されている。

「機密性の高い方法で顧客固有のデータを重ね合わせる新しい方法が登場し、企業等は迅速かつ大規模に重要なアクションを実行できるようになるでしょう」とレポートにはある。

「AIはすでにサイバー防衛に多大なメリットをもたらしています。能力を向上させ、労力を軽減し、脅威からの保護を強化しています」とVenables氏も話す。「防衛側がAI技術を所有し、具体的なユースケースを念頭に置いて開発の指針を決めていくことで、2024年はできることやメリットが急速に拡大していくと考えています」

ハイブリッド環境、マルチクラウド環境への脅威の進化

2024年、ハイブリッド環境やマルチクラウド環境を標的とした攻撃は、さらに高度化し、及ぼす影響も大きくなっていくと予想される。

Mandiantは今年、VMwareと協力して、攻撃者がゲスト仮想マシン上でコードを実行できるゼロデイ脆弱性に対処した。同社によると、このインシデント1件で、より広範な傾向が浮き彫りになったという――脅威アクターはクラウド環境を標的とし、侵入・潜伏・横展開しようとしているということだ。

レポートでは、攻撃者がクラウド間の境界を越えた横展開のために誤設定や脆弱性の悪用を狙うと予測している。

また、2024年には、サイバー犯罪グループ、国家支援型の組織の両方がゼロデイ脆弱性の攻撃を増やして可能な限り長期間環境へのアクセスを維持、被害件数を増やすとともに、スケーラビリティや柔軟性、自動化を目的としたクラウドのサーバレス技術の活用も増やすと予測している。

クラウドと企業のセキュリティ運用（SecOps）の融合について、Google Cloudのバイスプレジデント兼ゼネラルマネージャー、Sunil Potti（スニル・ポッティ）氏は次のように述べている。「現在、私たちは、企業がマルチクラウド、オンプレミス、ハイブリッド環境等を組み合わせてデータを実行しているのを目の当たりにしています。今後こうした企業が自社の資産を1か所だけでホストすると考えるのは現実的ではなく、統合された包括的なセキュリティ運用、全体としてのリスク管理が著しく困難になっています」

「2024年には、顧客からクラウドとオンプレミスのサイロをすべてカバーする――いずれも最新のAIを搭載したプラットフォームで実行されています――統合的なリスク管理、脅威管理がますます求められるようになり、クラウドと企業のセキュリティ運用の融合はますます進むと考えています」と語った。

Google Cloud/Mandiant’s 2024 outlook: GenAI’s double-edged sword effect on cybersecurity