「ChatGPT」が大流行？ サイバー犯罪者も使うのか

2023年のサイバー攻撃は量的な変化をもたらすのか、それとも質的な変化があるのだろうか。サイバーセキュリティに詳しい6人の識者に予想を聞いた。

[Naomi Eide, Matt Kapko, David Jones，Cybersecurity Dive]

　「Cybersecurity Dive」は2023年に予想されるサイバー攻撃やトレンドについて、研究者やアナリスト、CISO（最高情報セキュリティ責任者）の6人が予測を語った。

6人の専門家が語る2023年のサイバーセキュリティ

　全く新しいサイバー攻撃が登場することはあるのだろうか。それとも何種類かの基本的な攻撃にバリエーションが加わるだけなのだろうか。どのような対策が有効なのだろうか。

　量的な変化に限られるという点で、6人の意見が一致した。質的な変化はあまり考えられないという予測だ。

　企業が遭遇するサイバー攻撃の多くは、ヒューマンエラーやミスに起因している。フィッシングや特定の相手を狙うスピアフィッシングの危険性を専門家が指摘するのはこのためだ。

　初歩的なミスであっても、より大きな事件への橋渡しとなる可能性がある。これが要点だ。

リック・ホランド氏（Digital ShadowsのCISO兼戦略担当バイスプレジデント）

　2023年のサイバー攻撃について、大きな変化を期待してはいない。攻撃の状況は毎年劇的に変化するわけではなく、2023年に特有の傾向もない。パッチが適用されていないアプリケーションや設定ミスが残るリモートサービスを標的とすることは、攻撃者にとって非常に効果的だ。

　（ランサムウェアのような）サイバー恐喝が続き、攻撃者は脆弱（ぜいじゃく）なサプライチェーンパートナーを標的にするだろう。悪質な暗号アプリケーションを使って数百万ドルを盗み、政治目的を掲げたハクティビストはサイバー攻撃を引き続き用いるだろう。これらは全て過去に起こったことだ。これら全ては2023年にも起こるだろう。

　地政学的な条件は黎明（れいめい）期からサイバー攻撃の状況を左右しており、2023年もそうであり続けるだろう。ロシアとウクライナの戦争や中国と台湾の緊張は新たな火種となり、サイバースペースに影響を与えるだろう。

ニコール・ダーデン・フォード氏（Rockwell AutomationのCISO）

　地政学的な緊張が高まる中、重要インフラを標的としたサイバー攻撃が拡大すると予想できる。

　公的機関や民間企業はサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）などの政府機関が発表したサイバーセキュリティのガイダンスに従ってリスクを軽減する必要がある。

マウリシオ・サンチェス氏（Dell'Oro Groupのリサーチディレクター）

　ランサムウェア攻撃や（その結果起こる）データ流出の被害がこれからも大きな割合を占める。古典的なフィッシング攻撃によるエンドユーザーの侵害やITの設定ミスを介する形だ。これらの攻撃は引き続き主流を占めるだろう。

　国家の支援を受けた攻撃は2023年に増加する。長く続く北朝鮮やイランから支援を受けた攻撃に加え、ロシアや中国からの攻撃も増加する。

　OT（Operational Technology）やIoTに対する攻撃は悪化する。2021年に起こった米国最大規模の石油パイプライン（Colonial Pipeline）へのランサムウェア攻撃と同程度のものが増加するだろう。

マイケル・ダイアモンド氏（Futurum Researchのテクノロジーアナリスト）

　サイバー攻撃の状況を眺めたとき、もちろん攻撃ごとに動機は異なる。フィッシングやスピアフィッシングは攻撃を始めやすく、効果を得やすい。さらに最も妨害を受けにくい攻撃であるため、2023年の攻撃リストを作るとすればこれが首位になるだろう。

　私たちは1日の間に無数のメールやテキストに返信しており、攻撃者はより巧妙になってきている。

　企業の対応も難しくなっている。サイバー脅威レポートを社内へ配布したり、対応プラットフォームを導入したりして分析結果を組織全体に浸透させようとする組織が増えている。（このような対応は正しいのだが）手元に届くデータ量が急速に増えており、サイバーリスク低減に役立っていない。

チェスター・ウィスニウスキー氏（Sophosのプリンシパルリサーチサイエンティスト）

　機械学習技術がどのように悪用されるのか、非常に気になる。犯罪者はこれまで、最新のAI（人工知能）を用いたソリューションを手に入れたり、実際に悪用したりするところまで手が回らなかった。だが、悪用の一歩手前にいるかもしれない。

　実際、自然なデジタル画像を生成する「Dall-E」やユーザーの書き込みに応じて適切な文章を返す「ChatGPT」など一般公開されているAIモデルは、特に努力しなくても悪用可能だ。犯罪者の目的達成に役立つのであれば、すぐに採用されるのではないだろうか。

　公開されているAIを全て武器にできるかどうかは分からない。Dall-EはPowerPointのクリップアートを作成する程度にしか役立たないだろう。しかし、ChatGPTは犯罪者がより説得力のあるフィッシング詐欺やビジネスメール詐欺を働く際に武器になる。

　犯人の母国語と被害者の母国語が一致していないと詐欺の文面は不自然になりやすい（不自然な日本語のメールなど）。だがChatGPT3を使えば、もはや見破ることは難しくなる。

　ランサムウェアや暗号詐欺についてはもう聞き飽きたことだろう。

ジョン・ギーター氏（RKVSTの最高製品技術責任者）

　（サプライチェーンを考えると）ソフトウェアベンダーは自社製品の脆弱性を隠すことができなくなる。ユーザーにも責任が生じる。（SBOMなどを導入していない）不適切な製品を導入してしまった場合だ。

　まだ道半ばだが、デジタルサプライチェーンが物理的なサプライチェーンと同様に重要だと認識され始めたことはまず間違いないだろう。サプライヤーは品質を提供しなければならず、消費者は自らのリスクをコントロールしなければならない。

　サプライチェーン攻撃では、ほとんどの問題がサプライチェーンに起因するミスや過失がきっかけとなっている。2023年、サプライチェーンの可視性が向上することで次のような事実が発見されるだろう。「サイバー攻撃の発端は悪意にあるのではなく、ミスから生じている」という事実だ。

出典：6 security experts on what cyberthreats they expect in 2023（Cybersecurity Dive）