ランサムウェア対策における AIとMLの役割

今やランサムウェアは世界共通の脅威であり、あらゆる国のあらゆる産業のあらゆる規模の企業がリスクにさらされています。これは大変困った状況ですが、さらに悪いことに、この脅威は複雑化、高度化、大規模化しています。サイバー犯罪者は、新たな戦術を絶え間なく開発し、新技術を悪用して攻撃の効果を高めています。

アクロニス サイバー脅威レポートによると、2022年に受信されたすべてのEメールの30.6%がスパムで、1.6%にマルウェアまたはフィッシングリンクが含まれていました。フィッシングは、成功した攻撃の76%で使用された攻撃ベクトルであり、悪意のあるURLにアクセスしようとしたエンドポイントの約8%を占めました。また攻撃のスピードが加速しており、IBM Security X-Force Threat Intelligence Index 2023によると、ランサムウェア攻撃の展開にかかる平均時間が94%も短縮されました。2019年には2か月以上要していたものが、2021年には4日足らずにまで短縮されています。

攻撃者も狡猾になり、テクニックや戦略を磨き、AIやMLテクノロジーを活用することで、侵入の効果と影響の度合いを高めています。ランサムウェア攻撃は、暗号化するだけでなく、それに続いてデータ復号（復旧）の対価を要求したり、顧客やパートナーにデータ漏洩の事実を暴露すると脅したりといった二重、三重の恐喝に発展しており、企業に身代金を支払わせるために、より一層の圧力がかけられます。

ChatGPTをはじめとする生成AIツールを悪用し、慎重な従業員さえだまされるフィッシングメールの作成、MI（マシンインテリジェンス）を利用した攻撃の効果の向上にいたるまで、これらの新しい戦略がランサムウェアの防止と対策を複雑化させています。賢明な企業であるならば、拡大するランサムウェアの脅威に対抗するために、AIとMLに注目すべきです。

残念ながら、従来のランサムウェア対策やマルウェア対策ソリューションでは、最新のサイバー脅威に効果的に対抗することはできません。従来のソリューションではゼロデイ脅威をシグネチャ照合ができないため、未知の脅威の侵入時にそれを検出することは困難です。従来のマルウェア対策ソリューションでは、窃取と暗号化により重要な情報を取得しようとする脅威を十分に認識することができません。

従来のランサムウェア対策やマルウェア対策ソリューションだけに依存し続けている企業は、顧客やパートナー、そして自らを危険にさらしているのです。最新のランサムウェアの脅威には、より包括的で多層的なアプローチが必要になります。AIとML、振舞い検知を活用した高度なテクノロジーを採用することで、今日の高度で進化し続ける脅威環境に対して、より優れた防御を実現することができます。

マルウェアインスタンスのシグネチャが単に既知の脅威データベースと照合するだけの手法であるのに対し、AIとML（機械学習）は悪意のある行動パターンと振舞いを検知できることから、最新のランサムウェア対策にとって必要不可欠なコンポーネントになっています。このように振舞い検知ができなければ、マルウェア対策により、攻撃者が日々作成している何千ものゼロデイマルウェアインスタンスを正確に特定することはできません。

MLにより、過去および現在のシステムのインタラクションデータに基づき、安全なシステム動作のベースラインが提示されることで、過去に記録されていないエクスプロイト情報を検出する能力が向上します。このアプローチでは、組織がより多くのデータを収集すればするほど、ゼロデイ脅威をより確実に検出できるようになります。

IBM Security X-Forceレポートによると、ML）アルゴリズムは、 ネットワークトラフィックパターンを分析することで、ランサムウェア攻撃を85%の精度で検出し、データ損失やダウンタイムのリスクを大幅に軽減することができます。

AIとMLを組み込んだランサムウェア対策ソリューションを導入することで、企業は実際に「学習」して適応するテクノロジーの力を活かすことができます。システムにおいて、予想される行動のベースラインが徐々に作成され、それを新たな変化する行動やデータと比較できるようになります。AIとMLを活用したランサムウェア対策により、豊富なコンテキストに基づき、予期しない行動が安全であるか判断できるようになります。

攻撃者はChatGPTをはじめとする生成AIツールを悪用して、攻撃の成功率を高めています。これには、フィッシングメールを信頼できるように見せかけたり、アプリケーションを自動的にスキャンして脆弱性を探したり、多段階攻撃のオーケストレーションを微調整する手法が用いられます。

私たちはChatGPTがどれほどの損害を与えることができるのか疑問でしたので、ChatGPTに質問してみることにしました。その内容は以下の通りです。

ChatGPTをはじめとする生成AIは、ランサムウェア攻撃などのさまざまな攻撃の効果を高めるために、サイバー犯罪者によって悪用される可能性があります。違法行為や悪意のある活動をいかなるものでも支持したり支援したりすることはできませんが、生成AIがそのようなシナリオでどのように活用される可能性があるかを理解し、その情報を提供することはできます。

1.ソーシャルエンジニアリング：サイバー犯罪者は、生成AIを使ってチャットボットのようにリアルなエージェントの会話をシミュレートして、人をだましたり操ったりすることができます。これらのAIエージェントは、人間の応答や行動を模倣することで、ユーザーをだまして機密情報を漏洩させたり、悪意のあるリンクをクリックさせることができ、その結果ランサムウェアを送り込むことができます。

2.フィッシング攻撃：AIで強化されたチャットボットは、非常に説得力のある標的に合わせたフィッシングメッセージを生成することで、より効果的にユーザーをだまして機密情報を漏洩させたり、悪意のある添付ファイルをダウンロードさせたりすることができます。ランサムウェア攻撃はフィッシングキャンペーンから始まることが多く、AIによって生成されたコンテンツにより攻撃はますます高度化しています。

3.検出の回避生成AIの使用：ポリモーフィック型や動的に変化するランサムウェアを生成できるため、従来のセキュリティソリューションでは検出やブロックが一層困難になります。AIアルゴリズムを活用して、ランサムウェアの基盤となっているコードを継続的に変更することで、サイバー犯罪者は従来のシグネチャベースの防御を回避する亜種を作ることができます。

4.標的型攻撃：AIを使用して、標的に関する膨大なデータを収集して分析することで、サイバー犯罪者は標的により合わせたランサムウェア攻撃を巧妙に作り上げることができます。ML技術を活用することで、標的の環境に特有の弱点や脆弱性を悪用し、攻撃の成功率を高めることができます。

サイバー犯罪への生成AIの悪用は、常に懸念されており、セキュリティコミュニティは対策の立案に積極的に取り組んでいます。サイバー犯罪者による潜在的な悪用に関連したリスクを軽減するためには、AI技術の責任ある使用と開発が欠かせません。

攻撃プロセスの各段階を最適化するために、機械学習アルゴリズムをさまざまな方法で使用することができます。違法行為や悪意のある活動をいかなるものでも支持したり支援したりすることはできませんが、機械学習がランサムウェア攻撃に悪用される可能性をいくつか紹介しましょう。

1.標的型攻撃：MLアルゴリズムは、大量のデータセットを分析して標的を特定し、その脆弱性、システム、ネットワークに関する情報を収集することができます。サイバー犯罪者は、標的の環境を理解することで、特定の弱点を悪用するようにランサムウェア攻撃を調整し、感染と暗号化の成功率を高めることができます。

2.攻撃の配信：MLを利用して、Eメールでのフィッシングキャンペーンや、悪意のあるWebサイトなど、ランサムウェアの配信メカニズムを最適化することができます。攻撃者は、膨大な量のデータをモデルに学習させることで、標的を特定する精度およびユーザーの悪意のあるコンテンツへのアクセス率を高めることができ、ランサムウェアへの展開が可能になります。

3.回避テクニック：MLアルゴリズムは、サイバー犯罪者がセキュリティ防御を迂回するための回避テクニックを開発するのに役立ちます。攻撃者は、セキュリティソリューションとその検出メカニズムを分析することで、従来のウイルス対策や侵入検知システムでは検出される可能性が低いランサムウェアの亜種を生成できるようモデルに学習させることができます。これにより標的側は防御することが困難になります。

4.暗号化の最適化：MLを使用して、ランサムウェアで採用されている暗号化アルゴリズムを強化し、攻撃をさらに高度で解読が困難なものにすることができます。暗号化のパターンや手法をモデルに学習させることで、サイバー犯罪者は一段と解読しにくい強力な暗号化手法を開発することができ、標的がデータを復元するために身代金を支払わざるを得ない状況に追い込みます。

明らかに、AIやMLのような技術はランサムウェアエコシステムの中で現実の脅威となっています。これらのツールにより、ランサムウェア攻撃が一段と高度化し、効果が高まっているため、対応と防御が複雑化しています。包括的なインシデント対応計画を含め、堅牢なサイバーセキュリティインフラストラクチャを構築することで、ランサムウェア攻撃者に対して攻撃と防御を行うことができます。

企業の規模を問わず、ランサムウェアは現在直面している最大の脅威です。サイバー犯罪者は戦術を常に進化させて、システムやネットワークに侵入する新しい方法を生み出しています。リスクの低減に取り組む企業は、積極的に防御策を実行するだけでなく、実際に攻撃の被害に遭った場合の計画も策定する必要があります。

ランサムウェア攻撃を検出、防止、対応するために、AIおよびMLツールを活用すべきです。今後、ランサムウェアに対抗するためには、トラフィックパターンを分析し、異常を特定し、潜在的な攻撃を検出する能力が求められます。AIとMLによりランサムウェア脅威の一歩先を行くことで、重要な情報とプロセスの防御態勢を構築することができます。

Acronis Cyber Protectは、あらゆる種類のランサムウェアから企業を守る統合型サイバープロテクションソリューションです。AIとMLを組み合わせて、ランサムウェア攻撃を検出してブロックするとともに、攻撃を受けた場合に復元オプションを提供します。

Acronis Cyber Protectは、多層的防御アプローチによりランサムウェア攻撃を検出しブロックします。ヒューリスティック検出およびシグネチャベース検出により既知のランサムウェア脅威を特定できますが、行動分析とML技術により未知の脅威さえも検出することができます。このソリューションは、AIとMLを活用して、差し迫った攻撃の兆候を示す行動の変化を監視します。

攻撃を受けた場合、Acronis Cyber Protectは復元のために複数のオプションを提供します。たとえば、暗号化された個々のファイルやフォルダ、さらにはシステム全体を復元することができます。また、ランサムウェアによる改ざんをロールバックする機能も備えているため、データを攻撃発生前の状態に戻すことができます。