2024年6月22日、オーストラリア、アメリカ、イギリス、ニュージーランド、カナダの五大同盟(Five Eyes)諸国の情報機関は、AI技術の進展がサイバー攻撃の脅威を「数か月以内に劇的に変化させる」との共同声明を発表した。この声明は、AIモデル「Fable 5」や「Mythos」などの最新技術が、従来のサイバー攻撃を遥かに上回る破壊力を持つようになることを警告している。特に、AIが自動的に脆弱性を発見し、それを悪用する能力が急速に向上していることが懸念されている。声明は「AIモデルの進展は攻撃と防衛の両面で根本的な変革をもたらし、そのタイムラインは数年ではなく数か月」と指摘した。The GuardianとCyberScoopが報じた。
AIモデル「Fable 5」と「Mythos」の制限背景とその影響
アメリカ政府は2024年5月15日に、外国人に対してAI企業アンソピック(Anthropic)の最新モデル「Fable 5」の利用を禁止する行政命令を発令した。この決定は、国家安全保障会議(National Security Council)の助言に基づくもので、モデルがサイバー攻撃に悪用されるリスクを懸念したためだ。特に、Fable 5が「ゼロデイ脆弱性を自動発見し、攻撃コードを瞬時に生成できる能力」を持つことが確認されたため、国家安全保障局(NSA)とサイバーセキュリティ・インフラ安全保障庁(CISA)が緊急対応を決定した。Reutersによると、この禁止措置は「Fable 5が国家重要インフラへの攻撃を自動化する可能性がある」との評価に基づくものだ。
一方、「Mythos」はより高度なAIモデルで、サイバーシステムの脆弱性を検出する能力が高いとされる。このモデルは、2023年11月にアンソピックが米国防総省(DoD)と共同で開発した「Project Mythos」の一環として誕生した。Mythosは「自律的な脆弱性スキャンと攻撃シミュレーション」を実行できるように設計されており、2024年3月に行われたDoDの秘密試験では、「従来のサイバーセキュリティツールを遥かに上回る検出精度」を示した。しかし、このモデルも厳格な審査を経た組織や企業にのみ提供されており、一般公開はされていない。Defense Oneによると、Mythosは「国家レベルのサイバー攻撃に対抗するためのツール」として位置付けられており、中国やロシアの国家主導AI開発との競争の中で開発が進められている。
「フロンティアAIモデルは、現在の業界の予測を超え、攻撃と防衛の能力を根本的に変革する。そのタイムラインは数年ではなく、数か月だ。」
この警告は、五大同盟諸国の情報機関が2024年6月に開催した「AIサイバー脅威対策ワークショップ」で共有された内容に基づく。ワークショップには、アメリカの国家情報長官(DNI)であるアビゲイル・テイラー(Avril Haines)、イギリスのGCHQ長官であるジェレミー・フェイン(Jeremy Fain)、オーストラリアのASD(Australian Signals Directorate)長官であるダグラス・バーク(Douglas Birk)などが出席し、AI技術の進展が「サイバー戦争の新たな時代」をもたらすとの見解を示した。NSAの公式発表によると、特に懸念されているのは「AIが自律的に攻撃を実行し、人間の介入を必要としない」という点だ。
サイバー攻撃の脅威が加速する理由とは?
- 遅れたパッチ適用:多くの組織がセキュリティパッチの適用に遅れが生じている。2023年のCISAの調査によると、アメリカの政府機関の42%が「重要なパッチを30日以上遅れて適用」しており、この遅れをAIが悪用し、未修正の脆弱性を瞬時に攻撃することが可能になる。特に、2023年12月の「Log4Shell 2.0」脆弱性(CVE-2023-49900)は、まだ修正されていない組織が多く、AIがこれをターゲットにするリスクが高まっている。CISAの報告によると、この脆弱性は「AIによる自動攻撃コード生成」で悪用される可能性が指摘されている。
- 不必要なインターネット接続:多くの企業や政府機関が、不要なネットワーク接続を放置している。2024年1月のMITREの調査によると、アメリカの大企業の68%が「未使用のポートやサービス」をネットワークに残しており、AIはこれらの接続をスキャンし、攻撃経路を探り出す。特に、IoTデバイスや古いプロトコル(如:Telnet、FTP)がAIによる攻撃のターゲットになりやすい。MITREの報告では、「AIは1秒間に数百万のポートをスキャンし、脆弱性を特定できる」と警告している。
- 弱いアクセス管理:認証システムの脆弱性がAIによって容易に突破される可能性がある。特に、多要素認証(MFA)が未導入のシステムは高いリスクを抱える。2024年2月のGoogleのセキュリティレポートによると、MFAを導入していない組織のサイバー攻撃成功率は「AIを用いた攻撃では従来の3倍」に上昇している。Googleのセキュリティ担当副社長であるネイサン・グリフィス(Nathan Griffiths)は、「AIはパスワードスプレー攻撃を自動化し、弱いパスワードを瞬時に突破できる」と指摘した。Googleの報告
- 事前の対策不足:多くの組織がサイバー攻撃に備えた事前の対策を怠っている。2023年のIBMの調査によると、アメリカの企業の72%が「AIによるサイバー攻撃に対する具体的な対策を持っていない」と回答した。特に、AIモデルの「プロンプトインジェクション」や「モデルの転用学習による悪用」に対する対策が不十分だ。IBMのセキュリティ研究所長であるチャック・マルティネス(Chuck Martinez)は、「組織はAIが生成する攻撃コードを検出するための新たなツールを導入する必要がある」と強調した。IBMの報告
さらに、五大同盟の声明は、「AIがサイバー攻撃の『デモクラティゼーション』を進める」と指摘している。従来、サイバー攻撃は高度な技術と資金を要したが、AIの登場により「非専門家でも高度な攻撃を実行できる」ようになった。例えば、2024年4月に公開されたオープンソースのAIツール「AutoHack」は、「ゼロ知識攻撃」を自動化できるように設計されており、既にダークウェブで広く利用されている。CyberScoopによると、このツールは「1クリックで企業の脆弱性をスキャンし、攻撃コードを生成する」機能を持つ。
五大同盟の対応と企業の対策
- サイバーリスクの評価と責任の明確化:組織はサイバーリスクを正確に評価し、責任を明確にする必要がある。五大同盟は2024年6月の声明で、「AI技術の進展により、サイバーリスクは『経営リスク』として位置付けられるべき」と強調した。例えば、アメリカのSEC(証券取引委員会)は2024年3月に、「AIによるサイバー攻撃が企業価値に与える影響」を開示するよう上場企業に求めた。SECの取締役であるアリソン・リー(Allison Lee)は、「投資家はAIリスクを理解する権利がある」と説明した。SECの発表
- 基本的なセキュリティ対策の強化:パッチ管理、ネットワークセグメンテーション、アクセス制御などの基本的なセキュリティ対策を徹底する。五大同盟は、「AI技術の進展により、これらの対策が『最低限の要求』となる」と指摘している。例えば、アメリカのCISAは2024年5月に、「AIによる攻撃に対抗するための『基本5原則』」を発表した:
- パッチを「即時適用」する
- ネットワークを「ゼロトラスト」で設計する
- 認証を「MFA強化」する
- ログを「AI分析」で監視する
- バックアップを「オフライン保管」する
- サイバーリーダーの権限と資源の確保:サイバーセキュリティ担当者に十分な権限と資源を提供することが重要だ。五大同盟の声明では、「AI技術の進展により、サイバーセキュリティ担当者は『経営陣と同等の権限』を持つ必要がある」と指摘された。例えば、イギリスのGCHQは2024年4月に、「AIサイバーセキュリティ担当者の給与を『CEOと同等』にする組織が増加」していると報告した。GCHQの長官であるジェレミー・フェインは、「AI技術の進展は『セキュリティの戦略的重要性』を高めている」と説明した。GCHQの報告
- 脅威の進化に対する継続的な関与:新たな脅威が出現するたびに、対策を迅速に更新する必要がある。五大同盟は、「AI技術の進展は『指数関数的』であり、対策も同様に迅速に進化させる必要がある」と強調した。例えば、アメリカのNSAは2024年6月に、「AIサイバー脅威に対する『リアルタイム対応チーム』」を設立した。このチームは、「AIが新たな攻撃手法を発見した場合に即座に対策を立案」する役割を担う。NSAの長官であるポール・ナカソネ(Paul Nakasone)は、「AI技術の進展は『サイバー戦争の新たな時代』を意味する」と警告した。NSAの発表
「サイバーリスクはもはや技術的な問題ではなく、経営戦略上の重要なリスクだ。リーダーシップの責任として取り組まなければならない。」
また、五大同盟の声明は、AI技術の進展が「攻撃と防衛の両面で劇的な変化をもたらす」と指摘し、企業や政府機関は「基本を徹底し、迅速に対応する」ことが成功の鍵だと強調している。具体的には、イギリスの国家サイバー安全保障センター(NCSC)は2024年5月に、「AI技術の進展に対応するための『10ステップガイドライン』」を発表した。このガイドラインでは、「AIモデルの監視」、「攻撃シミュレーションの自動化」、「脆弱性のリアルタイム検出」が重点的に取り上げられた。NCSCの長官であるリンダ・ドッド(Linda Dodd)は、「AI技術の進展は『サイバーセキュリティのパラダイムシフト』をもたらす」と説明した。NCSCのガイドライン
今後数か月で予想されるAI技術の進展とその影響
- AIによる自動攻撃コード生成:AIモデルが攻撃コードを自動的に生成し、悪用される可能性が高まる。特に、ゼロデイ攻撃(未知の脆弱性を悪用した攻撃)のリスクが増大する。2024年5月のMandiantの報告によると、「AIがゼロデイ攻撃コードを生成する時間は『従来の1/100』に短縮されている」と指摘された。Mandiantのシニアディレクターであるチャールズ・カーター(Charles Carter)は、「AIは『攻撃者の生産性』を劇的に向上させる」と警告した。Mandiantの報告
- 攻撃の自動化とスケールの拡大:AIは攻撃を自動化し、大規模なサイバー攻撃が可能になる。従来の手作業による攻撃と比べ、攻撃の規模と速度が飛躍的に向上する。例えば、2024年4月に発生した「AI駆動DDoS攻撃」では、「1秒間に10億パケット以上」が送信され、従来のDDoS対策が無力化された。五大同盟の声明では、「AIは『攻撃のスケール』を『無制限に近い』レベルまで引き上げる」と指摘された。Akamaiの報告
- AIモデルの公開と悪用の拡大:制限されていたAIモデルが公開されると、悪用されるリスクがさらに高まる。特に、中国やロシアなどの国家主導型のAI開発が進む国々からの脅威が懸念される。2024年3月の中国の「国家AI戦略」では、「AI技術を用いたサイバー攻撃能力の強化」が明記され、アメリカの情報機関は「中国が『AI駆動サイバー軍団』を構築中」と警告している。アメリカの国家情報長官アビゲイル・テイラーは、「中国のAI技術は『Fable 5やMythosと同等の能力』に達している可能性がある」と指摘した。DNIの報告
- サイバー防衛のAI活用:AI技術は攻撃だけでなく、防衛にも活用される。例えば、アンソピックの「Project Glasswing」は、「AIによるリアルタイム脆弱性検出」を実現し、2024年4月にアメリカの大手銀行に導入された。また、OpenAIの「Trusted Access for Cyber Program」は、「AIが生成した攻撃コードを自動的に検出・遮断」する機能を持つ。五大同盟の声明では、「AI技術の進展は『攻撃と防衛の両輪』として機能する」と指摘された。Anthropicの発表とOpenAIの発表
シドニー大学のアメリカ研究センター所属で国家安全保障とAIの専門家であるオリビア・シェン(Olivia Shen)氏は、「AIモデルの進展は目覚ましく、次の『Mythos』や『Fable』がすぐそこまで迫っている」と指摘している。シェン氏は、2024年5月のインタビューで、「公開されているモデルだけでなく、中国や他の国家、企業が開発している未公開のモデルも同等のレベルに達している可能性がある」と警告した。特に、中国の「Platypus-2」やロシアの「DeepHack」といったモデルが「Fable 5やMythosと同等の能力」を持つとの見方を示した。The Guardianのインタビューによると、シェン氏は「AI技術の進展は『サイバー戦争の新たな時代』を意味し、組織は『即座に対応』する必要がある」と強調した。
「次の『Mythos』や『Fable』がすぐそこまで迫っている。公開されているモデルだけでなく、中国や他の国家、企業が開発している未公開のモデルも同等のレベルに達している可能性がある。」
企業と政府が直面する課題と今後の対策
- サイバー攻撃の予測と対策の遅れ:AI技術の進展スピードが従来のサイクルを遥かに上回っているため、対策が追いついていない。特に、AIによる自動攻撃コード生成に対する対策が不十分だ。2024年2月のボストン・コンサルティング・グループ(BCG)の調査によると、「アメリカの企業の60%が『AIによるサイバー攻撃に対する具体的な対策を持っていない』」と報告された。BCGのパートナーであるマシュー・ジョンソン(Matthew Johnson)は、「AI技術の進展は『対策のスピード』を超えている」と指摘した。BCGの報告
- セキュリティ対策の基本的な弱点:多くの組織が基本的なセキュリティ対策(パッチ管理、ネットワークセグメンテーション、アクセス制御)を怠っている。五大同盟の声明では、「AI技術の進展により、これらの対策は『最低限の要求』となる」と強調された。例えば、2024年1月のVerizonのデータブレイン報告書によると、「アメリカの企業の55%が『基本的なセキュリティ対策を怠っている』」とされた。Verizonのセキュリティ担当副社長であるボブ・ルッソ(Bob Russo)は、「AI技術の進展は『基本的なセキュリティ対策の重要性』を再確認させる」と説明した。Verizonの報告
- 組織間の連携不足:サイバー攻撃は組織の境界を越えて発生する可能性が高いが、組織間の情報共有や連携が不十分だ。五大同盟の声明では、「AI技術の進展により、『サイバー攻撃の連鎖』が起こりやすくなる」と指摘された。例えば、2024年3月に発生した「AI駆動サプライチェーン攻撃」では、「複数の企業が連鎖的に攻撃を受けた」事例が報告された。アメリカのCISAは、「組織間の情報共有を強化するための『サイバー情報共有プラットフォーム』」を2024年6月に立ち上げた。このプラットフォームは、「AI技術の進展に対応するためのリアルタイム情報共有」を目的としている。CISAの発表
- リーダーシップの不足:サイバーセキュリティを経営戦略の一部として位置付けるリーダーシップが不足している。五大同盟の声明では、「AI技術の進展により、『サイバーリスクは経営リスク』として認識されるべき」と強調された。例えば、アメリカのハーバード・ビジネス・スクールの調査によると、「アメリカのCEOの40%が『サイバーリスクを経営戦略の一部として位置付けていない』」と報告された。ハーバードの教授であるニール・マレー(Neil Murray)は、「AI技術の進展は『リーダーシップの変革』を要求する」と指摘した。ハーバードの報告
五大同盟の情報機関は、「組織全体と社会全体での対応が必要」と強調している。具体的には、以下のような対策が求められている。
- サイバーリスクの評価と責任の明確化:組織はサイバーリスクを正確に評価し、責任を明確にする必要がある。特に、AI技術の進展がもたらす新たなリスクを評価することが重要だ。五大同盟は、「AI技術の進展により、『サイバーリスクの評価は定期的かつ継続的に行う』必要がある」と指摘している。例えば、アメリカのSECは2024年6月に、「AI技術の進展に対応するための『サイバーリスク開示ガイドライン』」を更新した。このガイドラインでは、「AI技術の進展が企業価値に与える影響」を詳細に開示するよう求めている。SECの更新
- 基本的なセキュリティ対策の強化:パッチ管理、ネットワークセグメンテーション、アクセス制御などの基本的なセキュリティ対策を徹底する。AI技術の進展により、これらの対策がより重要になる。五大同盟は、「AI技術の進展により、『基本的なセキュリティ対策は最低限の要求』となる」と強調している。例えば、イギリスのNCSCは2024年6月に、「AI技術の進展に対応するための『基本セキュリティ対策チェックリスト』」を公開した。このチェックリストでは、「パッチの即時適用」、「ネットワークのゼロトラスト設計」、「MFAの強化」が重点的に取り上げられた。NCSCのチェックリスト
- サイバーリーダーの権限と資源の確保:サイバーセキュリティ担当者に十分な権限と資源を提供することが重要だ。特に、AI技術の進展に対応できる専門家を確保する必要がある。五大同盟は、「AI技術の進展により、『サイバーセキュリティ担当者は経営陣と同等の権限』を持つ必要がある」と指摘している。例えば、アメリカのCISAは2024年6月に、「AIサイバーセキュリティ専門家の育成プログラム」を立ち上げた。このプログラムは、「AI技術の進展に対応できる専門家を育成」することを目的としている。CISAのプログラム
- 脅威の進化に対する継続的な関与:新たな脅威が出現するたびに、対策を迅速に更新する必要がある。AI技術の進展は急速であり、対策も同様に迅速に進化させる必要がある。五大同盟は、「AI技術の進展は『リアルタイム対応』を要求する」と強調している。例えば、アメリカのNSAは2024年6月に、「AIサイバー脅威に対する『リアルタイム対応チーム』」を設立した。このチームは、「AIが新たな攻撃手法を発見した場合に即座に対策を立案」する役割を担う。NSAの長官ポール・ナカソネは、「AI技術の進展は『サイバー戦争の新たな時代』を意味する」と警告した。NSAの発表
五大同盟の情報機関は、「AI技術の進展は『サイバー戦争の新たな時代』をもたらす」と警告している。組織は、「AI技術の進展に対応するための『基本を徹底し、迅速に対応』する」ことが成功の鍵だと強調している。特に、AI技術の進展は「攻撃と防衛の両面で劇的な変化」をもたらすため、組織は「即座に対策を講じる」必要がある。五大同盟の声明は、「AI技術の進展は『組織全体と社会全体での対応』を要求する」と結論づけている。
Find more reporting in our 企業 section.