/

サイバー攻撃が新段階 「AI対AI」時代の戦い方

VentureBeat

VentureBeat

人工知能(AI)の実社会への利用が急増し、活用される範囲も広がっているため、車の運転や友人にメッセージを送るといった日常生活でAIの影響を実感せずにはいられない。これはサイバーセキュリティーの世界にも当てはまる。攻撃側も防御側も優位を得ようとAIに注目しているからだ。さらにデータの利用も広がり、AIを使って新たなデータ社会を理解するケースが増えている。このため、AIがセキュリティーに及ぼす影響も理解しておかなくてはならない。

(C)Shutterstock/Jochen Schoenfeld

防御側は何十年もの間、悪意ある行為であることを示す特定のパターン「シグネチャ」を検知して、攻撃を撃退してきた。このボトムアップ型のアプローチは後手にすぎなかった。新たな攻撃では展開されるシグネチャも新しいため、攻撃側はデジタル世界の攻防で常に優位に立ってきた。だが、AIを活用した次世代の解決策では、トップダウン型のアプローチをとり、大量の活動データを統計モデルに入れることで攻撃に対処。このシグネチャから統計への移行により、防御は新しい攻撃に先手を打ち、パターンを以前よりも簡単に見つけられるようになった。

AIを活用した防御策は盛んになり、今では迷惑メールのフィルタリング、悪意あるファイルやURLの検出など基本的な問題で広く使われている。こうしたモデルは通常、教師あり機械学習のアルゴリズムを使い、入力(例えば"https://google.com"といったドメイン名)から出力(例えば「安全」や「悪意ある」といったラベル)を導き出す。教師あり学習を使えば防御側のニーズに応じて「安全」と「悪意」を識別できるかもしれないが、既存のラベルを使うため費用がかさみ、時間もかかる。データのラベル付けには事前の作業が必要で、分野に対する専門知識が求められ、別の目的に使えるとは限らないので、AIを使った効果的な防御策を築く上での大きなネックになっている。

攻撃側は常に優位に立ってきたが…

AIを活用した防御には他にも弱点がある。モデルの精度はラベルの忠実度で決まるため、攻撃側はわざと誤ったラベルを混ぜたデータセットでモデルを訓練して、モデルを人工的に汚染させることができる。これにより、攻撃側は検知を回避できるサンプルを作れる。わずかにかく乱されたインプットにシステム的に脆弱性があるため、困惑するほどの確度でエラーを犯すモデルもある。いわゆる「敵対的サンプル」とは、自動運転の物体認識機能を欺くために一時停止の標識にシールを貼ったり、スマートスピーカーで使われる音声認識機能を欺くために、警察に電話がかかる秘密の音声コマンドを仕掛けたりするといった実際の攻撃で説明できる。

こうした例は一般市民にとっては急所を突かれるかもしれないが、サイバーセキュリティーの専門家にとっては(テクノロジーの)突破口と推進のきっかけになり得る。攻撃側は自動化に着目しつつあり、すぐにAI自体に目を向けてこうした弱点につけこむようになるだろう。つまり、「赤組」の攻撃者も「青組」の防御者と同じほどデータから恩恵を受けられるのだ。

特定の標的に的を絞って攻撃を仕掛けるスピアフィッシング攻撃、パスワード破り、キャプチャ認証(インターネットの画像認証)破り、フォーマットに情報を隠すステガノグラフィー、匿名通信ツール「Tor(トール)」の非匿名化、アンチウイルス回避など、AIを使った攻撃理論は増えつつある。それぞれのシミュレーションでは、攻撃者は誰でもアクセスできるデータを使っており、データのラベル付けという問題点のせいでAIを使った攻撃の方が防衛よりも成功しやすいことが明らかになっている。

一見すると、これは以前の状況と同じように思える。最大の問題点のせいだけで、攻撃者は常に優位に立ってきたからだ。防御側は検知率が100%に近づかなければ勝ちとならないが、攻撃側は100回に1回だけ成功しても勝ちとなる。

だが残念ながら、今回の状況がこれまでと違うのは、業界全体のトレンドが攻撃側に有利に傾いている点だ。画像認識などの問題が大幅に進展したのは、研究者が協力することで見返りを得られたのが一因だ。これに対し、サイバーセキュリティーの研究者には制約が多い。彼らのデータはあまりにデリケートか違法なので共有できなかったり、競争の激しいサイバーセキュリティー市場でベンダーに手を貸す知的財産と見なされたりするからだ。攻撃側はこの分断された状況やデータ共有の欠如を悪用すれば、防御側をしのげる。

防御側ができることは

ただでさえ偏っている事態をさらに悪化させるのが、特化型AIへの参入障壁が博士論文から高校の教室に後退するのが時間の問題である点だ。無料の教育リソースや入手可能なデータセット、訓練済みのモデル、画像処理半導体(GPU)などクラウドを活用した強力な演算リソース、オープンソースのソフトウエアライブラリはいずれもAIへの新規参入者、つまり攻撃者候補の障壁を引き下げる。ディープラーニング(深層学習)も昔に比べて使いやすくなり、熟練した工学の技量がなくても最高水準の精度を生み出せるようになっている。

こうした現実を踏まえると、悪意あるAIの利用については「1ドルの攻撃は1ドルの防御に勝る」という表現が当てはまるといえる。今のところは昔ながらのマニュアル攻撃がまだ大部分を占め、AIを使った攻撃が出回っているという確かな証拠はない。だが、今この瞬間にもデータのラベル付けの問題点を改善し、将来への影響を軽減する方法を考えるべきだ。

防御側は不利かもしれないが、ラベル付けのコストと時間を削減できる手は確かにある。クラウドソーシングによるサービスは、安価で融通が利き、総合的には専門家の精度に近づく人手を提供してくれる。AIを使った防御策を素早く展開するその他の主なコツは以下の通りだ。

・アクティブラーニング:比較的速度の遅い人間の専門家が、最も有益なデータだけをラベル付けする

・半教師あり学習:ラベル付けされたデータである程度訓練したモデルが、ラベル付けされていないデータから問題の構造を学ぶ

・転移学習:ラベル付けされたデータが大量にある問題で訓練したモデルを、ラベル付けされたデータが限られる新たな問題に適応させる

最後に、攻撃は最大の防御である。注意して実施すれば、企業は「敵対的サンプル」を作り、AIを使った防御体制を固められる。つまり、防御側は穴をふさぐために、自社のモデルに先制攻撃を仕掛けてもよい。

データのラベル付けの問題点のせいでAIを使った攻撃は優位に立つが、攻撃側がこうした脅威を解き放つ前に、防御側は今すぐに備えておくことができるし、そうすべきだ。

By Phillip Tully=米情報セキュリティー、ゼロフォックスの主任データサイエンティスト

(最新テクノロジーを扱う米国のオンラインメディア「ベンチャービート」から転載)

すべての記事が読み放題
有料会員が初回1カ月無料

セレクション

トレンドウオッチ

新着

ビジネス

暮らし

ゆとり

新着

ビジネス

暮らし

ゆとり

新着

ビジネス

暮らし

ゆとり

フォローする
有料会員の方のみご利用になれます。気になる連載・コラム・キーワードをフォローすると、「Myニュース」でまとめよみができます。
新規会員登録ログイン
記事を保存する
有料会員の方のみご利用になれます。保存した記事はスマホやタブレットでもご覧いただけます。
新規会員登録ログイン
Think! の投稿を読む
記事と併せて、エキスパート(専門家)のひとこと解説や分析を読むことができます。会員の方のみご利用になれます。
新規会員登録 (無料)ログイン