生成AIが加速させる？「普通の人」でも容易にハイレベルな攻撃が可能に

画像提供：マイナビニュース

●
近年サイバー攻撃の世界では、エコシステムの形成とハッキングツールの商用化が進んでいます。かつては高度なスキルを持ったハッカーにしかできなかったようなハイレベルな攻撃がツールによって自動化され、さらにそれが「as a Service」、つまりサービスとして提供されることで、スキルを持たない多くの人が容易に攻撃を展開できるようになっています。

例えば、DDoS攻撃に関しては、古くからボットネットなどを展開してDDoS攻撃に貸し出すサービスが提供されてきました。また最近は感染先のデータを暗号化や、盗み取って公表すると脅して身代金を要求する「ランサムウェア」の被害が非常に広がっていますが、これも、一人の優れたハッカーが開発して攻撃を行うケースはまれです。たいていは「Ransomware as a Service」（RaaS）と呼ばれるサービスが用いられています。

そして、このランサムウェアをはじめ、さまざまな脅威が企業に侵害する最初の一歩として利用するIDとパスワードといったアカウント情報なども、イニシャルアクセスブローカー（IAB）と呼ばれる攻撃者によって、月額数ドルといった低価格のサブスクリプション形式でアンダーグラウンドで販売されています。

このようにさまざまな攻撃ツールがサービスとして提供され、それらを利用するサイバー犯罪のエコシステムが形成されており、近年のサイバー犯罪の激増を招く一因となっています。

この傾向をさらに悪化させかねないのが、生成AIの存在です。生成AI自体は良くも悪くもありません。しかし、サイバー犯罪者がウイルスやマルウェアの作成、フィッシングメールや詐欺メールの作成、攻撃の自動化などに生成AIを活用することで、攻撃のスピードがさらに上がり、また攻撃範囲も拡大する恐れがあります。
マルウェアや攻撃コードの作成、脆弱性の検出まで、生成AIで可能に

私たちが個人的に、あるいは仕事で生成AIを利用する際には、不正確な情報を返してくる「ハルシネーション」などのリスクに注意を払うことが必要です。また、精度や正確性を担保するために適切なデータをもとに学習されているかといった事柄も大事なポイントとなります。

しかし、もともと失うものなどない攻撃者やサイバー犯罪者にとって、生成AIの精度や正確性はそれほど問題ではありません。間違いも気にせず積極的に生成AIを悪用し、攻撃の「生産性」を高めようとしています。