フロンティアAIモデルによるソフトウェア セキュリティの破綻

はじめに

Unit 42は最近、フロンティアAIモデルを実際に検証しました。初期調査の結果、AIモデルによるソフトウェア脆弱性を特定するスピード、規模、能力に大きな変化が示されています。現在見られているのは、コーディングのアシスタントとしてだけでなく、幅広い領域を扱うセキュリティ リサーチャーとして機能するために必要な自律的推論を実証する、最初のフロンティア モデルです。これにより、以下の点で懸念される進歩がもたらされます。

• 自律型のゼロデイ検出
• パッチ適用までの猶予期間のN日間短縮
• 複雑なエクスプロイト パスの高度なチェイニング
• 強化された環境のセキュリティ対策を回避するためのリアルタイムの適応

脅威環境へのフロンティアAIモデルの影響は、脆弱性の検出や悪用だけにとどまりません。近い将来、このモデルが普及するようになると、攻撃のライフサイクルの全期間にわたってAIを利用した攻撃のスピードと規模が劇的に増大することになりそうです。

ソフトウェア エコシステムの脆弱性を危険にさらすフロンティア モデル

Anthropicが詳細に説明しているとおり、フロンティアAIモデルはAIモデルの機能において著しい進歩を遂げています。人間の専門家がほとんど介在せずに、システムやソフトウェアの脆弱性を特定できます。また、複雑なエクスプロイト チェーンの特定を含め、攻撃経路を分析することもできます。

初期の脅威評価は、フロンティアAIモデルによって、ソフトウェアのゼロデイおよびNデイ脆弱性のリスクが大幅に増大するというものです。スキルのない攻撃者の参入障壁が下がり、こうした攻撃者が複雑なエクスプロイト チェーンを発見するようになり、それと同時に、脆弱性の発見から悪用までのサイクルが劇的に加速します。

オープン ソース ソフトウェアおよびサプライ チェーンのリスク

特にオープン ソース ソフトウェア(OSS)は、少なくとも短期的には、フロンティアAIモデルによる重大なリスクに直面する可能性があります。従来は「十分な人の目があれば、どんなバグも見つけやすくなる」と考えられていました。しかし、ソース コード公開による透明性によって、フロンティアAIモデルのテストにおいて注目すべき観察結果がもたらされました。

ソース コードに対して実行すると、フロンティアAIモデルは脆弱性と複雑なエクスプロイト チェーンを特定する強力な能力を示します。ただし、コンパイルしたコード(コードの実行可能なバージョン)に対してこのモデルをテストすると、一般公開されたAIモデルと比較して、限定的な進歩にとどまります。その結果、オープンソース ソフトウェアはより差し迫ったリスクに直面します。

ここで認識しておくべきことは、ほとんどすべての商用ソフトウェアがそのコンパイルされたコード内にオープンソースのコンポーネントを組み込んでいる点です。

誤解のないように言うと、Unit 42は、OSSが本質的に市販のソフトウェアよりも脆弱であるとは考えていません。ソフトウェア開発エコシステムの開かれた性質によってOSSの侵害されるリスクが高まっていると評価しています。この性質には、脅威アクターが防御側の監視の及ばないところで脆弱性の徹底的なテストを実施するための公開ソース コードや、多くのOSSプロジェクトを担当する保守者の数(および費やす時間)が限られていることも含まれます。

Unit 42は、最近のTeamPCPサプライ チェーン攻撃やAxios JavaScriptライブラリに対する北朝鮮の攻撃と同様に、OSSプロジェクトに対する大規模なサプライ チェーン侵害が増加すると予測しています。

AIを利用した攻撃経路における新たなフロンティア

過剰な注目を集めている一方で、AIを利用した脅威による脅威環境への影響はまだ始まったばかりです。複数のケースにおいて、セキュリティ リサーチャーによるテストを通じて、AIを利用した攻撃のスピードと規模が驚くほど増大していることが分かっています。現在まで、これらの事例は、Unit 42が追跡している脅威活動全体のほんの一部にすぎません。

とは言え、脅威アクターはAIの調査とテストの機能への投資を続けています。いくつかのAI関連のマルウェア サンプルに対する脅威の調査で述べたとおり、脅威アクターは以下の目的でAIをテストしています。

• マルウェアの作成
• リモートの意思決定(C2オペレーターの支援または代替など)
• ローカルの意思決定(ローカルで実行されるエージェンティック攻撃フローなど)

特に、GTG-1002 (約30の組織に対するAIを利用した攻撃)に関するAnthropicの報告や、エッジ デバイスを大規模に標的とする脅威アクターに関するAmazonの報告などの少数の例外を除き、大規模なキャンペーンへのAIの大量導入はまだ起こっていません。

フロンティアAIモデルの進展と一般公開に伴い、Unit 42は、脅威環境において、これまで警告してきたサイバー攻撃のスピード、規模、高度化が急激に増大すると考えています。最も重要なのは、フロンティアAIモデルにはハッキングの方法を教える必要がなく、フロンティアAIモデルはすでにその方法を理解し、自律的に実行できるという点です。

一般的な攻撃経路を用いた高度なAIの利用が予測される領域をいくつか示します。この事例では、恐喝のためのデータ流出につながるスピア フィッシング攻撃に対して思考実験を適用します。

• 偵察:攻撃者はフロンティア モデルを活用して、標的化に使用する情報を得るためにインターネットからすばやくデータを収集します。以下はその例です。
  • プレスリリース、LinkedIn、企業ウェブサイトを介して主要なリーダーとその連絡先情報を特定
  • 求人情報、パートナーシップ契約のためのプレス リリースを利用して、環境で使用されているソフトウェアを特定
  • ソーシャル エンジニアリング攻撃のために巧妙なスピアフィッシング メール、テキスト、音声スクリプトを作成できるよう、大規模言語モデル(LLM)に通知するために利用可能なその他の情報を発見
• 初期アクセス:人間が偵察データとフィッシング メールの下書きを確認し、マルウェアを添付して標的に送信します。コマンドアンドコントロール(C2)サーバ上のAIエージェントが、初期配信後のマルウェアのチェックインを待機します。
• 横方向の移動と検出:インストールされたマルウェアに対して、Model Context Protocol (MCP)サーバが自律的に以下を実行するよう指示します。
  • ネットワーク内部のスキャン
  • 表示可能範囲のマッピング
  • 実行中のソフトウェア バージョンの特定
  • エンドポイントおよびデータベースで露出した認証情報の収集
  • デバイス全体にわたる横方向移動による機密データの収集

エージェントは検出された認証情報のセットをそれぞれ自動的にテストし、その権限を列挙し、成功/失敗の統計を自動的に追跡します。

• エクスプロイト:横方向の移動と発見の間中ずっと、AIエージェントはデータを収集し、MCP C2サーバに送信します。AIエージェントは実行中のサービスおよびアプリケーションを分析し、脆弱性を特定し、カスタムのエクスプロイト コードを作成し、エクスプロイトをオンサイトのマルウェアに渡します。マルウェアは自律的に実行され、権限昇格、防御回避、ネットワーク セグメント間の横方向移動を用いて活動を継続します。
• データ窃取とドキュメント:収集されたデータはMCPサーバに返され、データストアに保存されます。その後、LLMによってデータが分析され、主な調査結果の要約が人間のオペレーターに自動的に提供されます。この調査結果には、オペレーターのデータの用途に基づく、窃取されたデータセットの価値の評価が含まれます。

図1に攻撃経路の全体像を示します。

言うまでもなく、AIによって作成されたまったく新しい攻撃手法が出現することは、現時点では想定していません。正確に言えば、AIによって攻撃がすばやく、自律的に、複数の標的に対して同時に進められるようになると認識しています。

防御側として備える必要があるのは、まったくの未知の攻撃手法ではなく、AIを利用した攻撃のスピードと規模です。

私たちは、サイバー攻撃がどのように実行され、どのような痕跡を残すのかを把握しており、防御と迅速な応答を目的とする強化された環境に移行する必要があります。

セキュリティ チームが今すぐ行うべきこと

Unit 42は、積極的な防御と応答の思考様式を採用するために現在のセキュリティ ポリシーの徹底的な見直しを推奨します。封じ込めの前の積極的なモニタリングと応答に依存する緩和策は、AIを利用した攻撃者に後れを取るようになります。

• 想定される侵害状況下での運用:エンドポイント保護機能をすべての環境全体に拡張し、デフォルトで攻撃を阻止し、モニタリングは最小限に抑えます。
• コードの可視性とガバナンスの確立:OSSの出所を厳格に管理・追跡し、パッケージのレジストリがもはや安全ではないと想定します。すべてのソフトウェアのソフトウェア部品表(SBOM)を作成して、統合されたコード ライブラリの迅速な特定とパッチ適用を可能にします。バージョン固定、ハッシュ チェック、更新適用前の様子見期間を導入します。
• 開発およびビルドのエコシステム強化:ビルド システムのインターネットへの到達を制限します。開発者シークレット用のセキュアな格納領域を導入します。シークレットの露出がないか、ビルド環境と生産ネットワークを積極的にスキャンします。
• パッチ適用期間の短縮:日常保守から、緊急の「パッチ適用期限」の強制に移行します。自動更新と臨時リリースを利用して、AIで加速するNデイ脅威に対抗します。
• インシデント レスポンス パイプラインの自動化:AIモデルをデプロイして、アラートをトリアージし、技術イベントを要約し、プロアクティブ脅威ハンティングを実施します。手作業のトリアージでは、フロンティアAIモデルが発見するバグの量に対応できません。
• 脆弱性開示ポリシー(VDP)の更新:前例のないバグ レポートの量に備えます。組織には、脆弱性の取り込み、検証、優先順位付けに対応する自動化ワークフローが必要です。
• アーキテクチャ上の強固な障壁の優先順位付け:メモリ安全言語およびハードウェアレベルの分離に向けて移行します。

結論

サイバーセキュリティ環境は大きな変動期に入りつつあります。短期的には、フロンティアAIモデルの機能が拡大することで、攻撃者がゼロデイおよびNデイの脆弱性をかつてない規模で悪用するリスクが高まります。問題になっているのは、NデイではなくN時間です。また、攻撃者はかつてないほど大規模に、巧妙に、迅速に攻撃を展開できるようになりそうです。ただし、AIを利用した脅威の新たなスピードと規模に防御側が適応していく中で、これは単なる移行期間にすぎません。

この移行期間の最終的な目標は、防御側の機能が優位に立ち、AIモデルの利用によって脅威アクターよりも迅速かつ早期にバグを特定し、修正できる未来です。Unit 42は、確実に防御側が脅威アクターに対して有利な立場を維持できるよう、取り組んでいます。今後も引き続き、脅威インテリジェンスの積極的な探索、分析、報告により、防御側を支援します。

4月16日(木)から開催されているライブ脅威ブリーフィングをご視聴ください。Sam Rubin (SVP、コンサルティング&脅威インテリジェンス担当、Unit 42)とMarc Benoit (CISO、パロアルトネットワークス)が、これまで検出されなかった脆弱性をフロンティアAIモデルが機械レベルの規模とスピードでどのように検出・悪用するのかについて論じます。また、防御策を調整してビジネスの混乱を避けるためにセキュリティ リーダーが今すぐ実施すべき実践的な手段をご紹介します。視聴はこちら。

関連リソース

• 武器化されたインテリジェンス– Nikesh Arora, Palo Alto Networks 
• サイバーセキュリティにおけるフロンティアAIの影響に関する防御者向けガイド– Lee Klarich, Palo Alto Networks  
• Unit 42 フロンティアAI防御の紹介 – Sam Rubin, Palo Alto Networks  
• AIの優位性を取り戻す – Unit 42（Palo Alto Networks）
• Unit 42 最新インサイト：フロンティアAIモデルによるリスクへの対処 – オンデマンド脅威ブリーフィング、Unit 42
• Claude Mythos Previewのサイバーセキュリティ機能の評価 – フロンティア・チーム・レッド、Anthropic
• プロジェクト・グラスウィング：AI時代における重要ソフトウェアのセキュリティ確保 – Anthropic