サイバー攻撃にもAI、クラウド狙う 2019年セキュリティ予測3つのポイント

ICTのおかげで生活が便利になった一方で、サイバー攻撃の危険にさらされるリスクも身近に迫っている。マカフィーは、2019年にはAIを使った攻撃ツールが登場するなど、セキュリティ環境が変貌するとしている。我々は何に用心し、どう対策したらよいのだろうか。2019年とくに注意すべき3つのセキィリティ対策ポイントを整理する。

サイバー攻撃にもAI、クラウド狙う 2019年セキュリティ予測3つのポイント

身近に迫るサイバー攻撃の脅威

現代人にとって、テクノロジー、特にICTは日々の暮らしに欠かせない。周囲にスマートフォンやPCのほか、インターネット対応テレビなどスマートデバイスがあふれ、絶えずネットワークとつながったままでいられる。

友人への連絡、スケジュール管理、レストランの予約、ちょっとした調べものなど、思いついたその場で処理できる。あらゆる場面でICTを無意識に活用しており、以前とは行動様式が一変した。インターネットが消費者に普及し始めた20年前や、スマートフォンが登場した10年前を思い返すと、その違いに改めて驚く。

ICTのおかげで生活や仕事は便利になり、効率が向上した。その一方、サイバー攻撃で個人情報が盗まれたり、重要なサービスが停止させられたり、といったトラブルが発生する危険性も増えた。

さまざまなサービスやデバイスがインターネットを介して相互接続しているため、トラブル発生時に悪影響の及ぶ範囲も広がっている。たとえば、ユーザー8,700万人分の個人情報がフェイスブック(Facebook)から流出した件だと、問題はFacebookにとどまらない。ある人がFacebookのユーザー情報を外部サイトでログイン手段として使っていたら、その外部サイトも危険にさらされてしまう。

2019年3つのセキュリティ対策ポイント

誰もがサイバー攻撃の被害者になりうる現代で、我々は何に用心し、どう対策したらよいのだろうか。セキュリティ企業のマカフィーが発表した2019年に向けてのセキュリティ予測を参考に、とくに注意すべき3つのポイントを整理する。

1.AIを悪用するサイバー攻撃ツールの脅威

近年急速に発達した技術の代表は、人工知能(AI)だろう。

写真に何が写っているかを言い当てるというレベルを超え、絵画まで描くようになってしまった。調査会社のガートナーも注目すべき技術トレンドの1つに挙げており、AIが企業にもたらす2022年時点の事業価値を世界全体で3兆9,000億ドル(約430兆9110億円)と見込むほどだ。

AIに注目しているのは、合法的な企業だけでない。サイバー攻撃を仕掛ける犯罪者も、AIの能力を利用できる。マカフィーによると、サイバー犯罪者たちは攻撃防止用セキュリティ・ソフトウェアへの対抗手段としてAIを使い始めているという。

最近のサイバー犯罪者は互いに協力するようになっており、最新の攻撃ツールがブラックマーケットで流通していたりする。そうしたツールにAI機能が搭載されたら、高度な攻撃を実行するマルウェアが大量に発生してしまう。

マカフィーは、攻撃ツールにAIが組み込まれると、セキュリティ環境は一変するとしている。そして、そのような攻撃が実際に行われるのは、時間の問題だとした。

2.クラウドからのデータ流出に要注意

ガートナーは、2025年時点で企業の80%がオンプレミス(自前の)データセンターからクラウド・サービスへ移行すると予測している。マカフィーも、「この2年間で、企業のあいだでは(マイクロソフトの)『Office 365』のようなソフトウェア・アズ・ア・サービス(SaaS)モデルのサービス、アマゾンの『AWS』やマイクロソフトの『Azure』といったインフラやプラットフォームの機能をオンライン・サービスとしてクラウド経由で利用するIaaSやPaaSモデルが、広く使われるようになった」と指摘。

こうして、企業は従来よりはるかに多くのデータをクラウド環境に保存するようになる。その結果、こうしたクラウド・サービスが攻撃の標的にされ、そこからデータ流出などの被害が発生する、とマカフィーは予想した。

マカフィーによると、Office 365のメールを狙った攻撃の急増や、グーグルのセキュリティ・アプリを装うロシアのサイバー犯罪グループ「Fancy Bear」によるフィッシング攻撃、という事例がすでに存在するそうだ。

3.家庭のスマートスピーカーやIoTも標的に

このところ注目度が高くなった技術といえば、普及期に入ったスマートスピーカーと、ガートナーがエッジ・コンピューティングの1つとしているIoTも思い浮かぶ。これに対し、マカフィーは家庭に入り込むスマートスピーカーやIoT機能を持つスマート家電がサイバー攻撃の標的にされやすくなる、と警告した。

新しい技術が大好きなアーリーアダプターの家庭には、音声で操作できるデジタル・アシスタントや、それと連携して動くテレビや照明、インターフォンなどがあるだろう。スマートフォンにも音声アシスタントが搭載されており、もちろん各種スマート家電とつながっている。

しかし、現在のIoTデバイスはセキュリティ対策が不十分だ。演算能力やメモリー容量、通信速度の限られるIoTデバイスには、サイバー攻撃に耐えるセキュリティ対策を施すことが難しい。そこが、サイバー犯罪者に狙われる。

マカフィーによると、スマートスピーカーやIoTデバイスを通じたプライバシー侵害は確かに問題だが、サイバー犯罪者たちは攻撃用ボットネットを構築する材料や、ランサムウェアで脅迫するための手段としてIoTなどを悪用する、とした。さらに、IoTデバイスから「信頼」されているスマートフォンやタブレットを介して攻撃する可能性もあるという。

マカフィーは、IoTデバイスが勝手に「裏口のドアを開けて」とスマートスピーカーに命令する日が近い内に来るかもしれない、としている。

パスワード使い回しは何よりNG

サイバー犯罪者たちは、常に攻撃ツールの改良に努めており、セキュリティ企業が対策してもすぐに抜け道を探し出すため、イタチごっこが続いている。我々の使うスマート・デバイスが増え、攻撃で狙われる弱点も多くなった。

ユーザーがとれるセキュリティ対策は多いものの、意外と基本を忘れていることがある。セキュリティ企業のSplashDataが公表した「The Top 100 Worst Passwords of 2018」(最悪のパスワード:2018年版)に掲載されているようなパスワードだと、簡単に破られてしまい意味などない。ワースト1位の「123456」や2位の「password」など論外だ。

ICTシステムは鎖のようなもので、数多くの構成要素がつながっている。システムの耐攻撃性を鎖の強さでたとえると、全体の強度は鎖のなかでもっとも弱い接続部に左右される。つまり、弱いところが攻撃されると、ほかの部分がどんなに強固でもシステムは攻撃を弾き返せない。そして、もっとも弱い部分は、多くの場合ユーザーである人間なのだ。

まずは、安易なパスワードを使っていないか、同じパスワードを複数のサービスで使い回していないか、などを確かめてみよう。

8割以上の労働者が自社の「情報セキュリティ対策」を不安視する | ボクシルマガジン
ネクストテックステージは10月15日、「情報セキュリティの意識調査」の結果と情報セキュリティ対策の実態についての分...
サイバーセキュリティ戦略に自信がない日本企業の苦悩-「グローバル情報セキュリティ調査2018」PwC | ボクシルマガジン
PwCコンサルティング、PwCサイバーサービス、PwCあらた有限責任監査法人は6月15日、「グローバル情報セキュリ...
サイバーセキュリティ専門家への意識調査、7割が「AIがなければデジタル資産を保護できない」 | ボクシルマガジン
ウェブルートは2月26日、日米400名の企業サイバーセキュリティ担当者を対象に、「AIサイバーセキュリティ」につい...
情報セキュリティ責任者が注目すべき10のプロジェクトとは、ガートナー発表 | ボクシルマガジン
ガートナーは6月6日に米国で開催した 「ガートナー セキュリティ&リスク・マネジメント サミット 2018」におい...