米グーグルは、人工知能(AI)を活用して未公開のセキュリティー脆弱性(ゼロデイ)を発見し、実際の攻撃コードまで開発した事例を初めて確認したと明らかにした。中国と北朝鮮に関連するハッキング組織が、AIを使ったサイバー攻撃の自動化競争に本格的に参入したとの警告が出ている。
グーグル脅威情報グループ(GTIG)が11日に公開したAI脅威追跡報告書によると、最近、有名サイバー犯罪組織がAIを活用してゼロデイ攻撃コードを開発した状況が確認された。
グーグルは、該当組織がオープンソースのウェブ基盤システム管理ツールの2段階認証を迂回する脆弱性をAIで見つけた後、実際の攻撃用パイソンスクリプト、つまり脆弱性を自動で突く実行コードまで作成したと説明した。この攻撃は大規模なハッキングキャンペーンに使われる予定だったが、グーグル側が事前に探知して遮断したという。
グーグルは、コード構造や文書形式、存在しないセキュリティー脆弱性スコア(CVSS)をAIが「ハルシネーション」の形で挿入した痕跡などを根拠に、AIモデルが攻撃開発過程で使われたと判断した。コード内で生成AI特有の、もっともらしい虚偽情報の痕跡が見つかったということだ。
特に今回の報告書は、中国と北朝鮮に関連する組織がAIを単なるフィッシング文句の作成段階を超え、実際の攻撃自動化や脆弱性研究段階にまで活用していると警告した。
グーグルによると、中国系ハッキング組織はAIに「組み込みセキュリティー専門家」の役割を与えた後、ネットワーク機器のファームウエアと産業用システムプロトコルの脆弱性を探す方式まで使った。形式上はセキュリティー点検のように見えるが、実際の目的は攻撃可能なハッキング経路の探索だったという説明だ。
一部の組織は、AI基盤の自動攻撃ツール「オープンクロ」系列のシステムを活用し、日本の技術企業を対象に自律型偵察攻撃を実施した状況も確認された。
報告書は、中国組織が過去に公開された大規模な脆弱性データまでAIに学習させ、脆弱性探知の精度を高めようとしたと説明した。市場では、中国がAI基盤のサイバー戦自動化競争で最も攻撃的に動いているとの評価も出ている。
北朝鮮関連組織の動きも注目される。グーグルは、北朝鮮ハッキング組織APT45がAIモデルに数千件のプロンプトを繰り返し入力し、既知の脆弱性と攻撃コードの検証作業を自動化したと明らかにした。
報告書は、北朝鮮組織がAIを活用して大規模な攻撃資産と脆弱性データベースを構築しようとしたと説明した。事実上、AIを使ってサイバー兵器庫を自動構築しようとしたという意味だ。
北朝鮮はすでに暗号資産の窃取や金融機関攻撃、サプライチェーン侵入に強みを持つ組織と評価されている。ここにAI基盤の自動化が結びつけば、攻撃速度と規模が大きく拡大しかねないとの懸念が出ている。
(c)news1