生成AIは、好むと好まざるとにかかわらず、既にほぼあらゆる業界に浸透しており、サイバーセキュリティも例外ではありません。AIによって加速されるマルウェア開発や自律型攻撃の可能性は、まだ初期段階にあるにもかかわらず、あらゆるシステム管理者にとって警戒すべき事態です。Wraithwatchは、良いAIで悪いAIに対抗する、いわば「火に油を注ぐ」ことを目指す新しいセキュリティチームです。
サイバースペースで正義のAIエージェントが悪のAIエージェントと戦うというイメージは、既にかなりロマンチックに描かれていますが、最初に明確にしておきたいのは、これはマトリックスのような乱闘ではないということです。これは、ソフトウェア自動化が私たち人間を操るのと同じように、悪意のある行為者を操るというものです。
ほんの数か月前までSpaceXとAndurilの従業員だったNik Seetharaman、Grace Clemente、Carlos Másは、貴重な何かを隠しているすべての企業(航空宇宙、防衛、金融など)が常にさらされている脅威の嵐を間近で目撃しました。
「この状況は30年以上も続いていますが、法学修士課程は状況をさらに悪化させるだけです」とシータラマン氏は述べた。「生成型AIが攻撃面にどのような影響を与えるかについて、十分な議論が行われていません。」
脅威モデルの簡易版は、通常のソフトウェア開発プロセスのバリエーションです。一般的なプロジェクトに携わる開発者は、コードの一部を自分で作成し、AIコパイロットにそのコードをガイドとして、他の5つの言語で同様の機能を作成するよう指示します。もしそれがうまく動作しない場合、システムは動作するまで反復処理を実行したり、複数のバリエーションを作成して、どれがよりパフォーマンスが良いか、あるいは監査が容易かを確認したりします。これは便利ですが、奇跡ではありません。誰かがそのコードに責任を負うことになるからです。
しかし、マルウェア開発者のことを考えてみてください。彼らは同じプロセスを使って、数分で悪意のあるソフトウェアの複数のバージョンを作成し、パッケージサイズや共通ライブラリ、その他マルウェアやその作成者の特徴的な兆候を探す表面的な「脆弱な」検出手法から身を守ります。
「外国勢力がLLMにワームを向け、『おい、1000バージョンに変異しろ』と命じ、1000バージョンを一斉に起動するのは簡単です。私たちのテストでは、検閲されていないオープンソースモデルが、マルウェアを好きなように変異させてくれることが分かりました」とシータラマン氏は説明する。「悪者はそこにいて、彼らにはアラインメントなど関係ありません。LLM自身がダークサイドを探索させ、実際に攻撃が行われた際にどのように防御するかをマッピングする必要があります。」
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
反応的な業界
レイスウォッチが開発中で、来年の商用運用開始を目指しているプラットフォームは、従来のサイバーセキュリティ運用よりも、戦争ゲームに近い側面があると彼らは述べている。従来のサイバーセキュリティ運用は、他者が検知した脅威に対して「根本的に事後対応的」である傾向がある。攻撃のスピードと多様性は、多くの企業が採用している、主に手動かつ人間主導のサイバーセキュリティ対応ポリシーを、まもなく圧倒する可能性がある。
同社はブログ記事で次のように書いている。
毎週のように発生する新たな脆弱性や攻撃手法は理解して軽減するのが難しく、根本的な攻撃の仕組みを理解し、その理解を適切な防御戦略に手動で変換するために、詳細な分析が必要になります。
「サイバーチームにとっての課題の一つは、朝起きてゼロデイ(ベンダーが事前に修正の通知を受けないセキュリティ脆弱性の名称)について知ることです。しかし、私たちがそれについて読む頃には、それが変異した新たな亜種に関するブログ記事が既に存在しているのです」とクレメンテ氏は述べた。「SpaceXやアンドゥリル、あるいは米国政府に所属する企業であれば、自社向けに特別に作られた最新のカスタムバージョンを入手することになります。他の誰かが攻撃を受けるまで待つわけにはいきません。」
これらのカスタム攻撃は、それらに対する防御策と同様に、現在では大部分が人為的なものとなっていますが、WormGPTのような生成型サイバー脅威の兆候はすでに見られています。WormGPTはまだ初歩的なものだったかもしれませんが、改良されたモデルが問題解決に活用されるかどうかではなく、いつ活用されるかが問題です。
WormGPTについてパニックになる必要はない
マス氏は、現在のLLMには機能とアライメントに限界があると指摘しました。しかし、セキュリティ研究者は既に、OpenAIのような主流のコード生成APIが悪意のある攻撃者を支援するように仕向けられる可能性があること、そして前述のオープンモデルがアライメント制限なしに実行できること(「申し訳ありませんが、マルウェアは作成できません」といった応答を回避できること)を実証しています。
「APIの使い方を工夫すれば、予想もしなかったような反応が得られるかもしれません」とマス氏は述べた。しかし、それは単なるコーディング以上のものだ。「政府機関が攻撃の背後にいる人物を検知したり、疑ったりする方法の一つは、攻撃者がシグネチャを持っていることです。攻撃者が使用する攻撃の種類やバイナリなどです。LLMがそのようなシグネチャを生成できる世界を想像してみてください。ボットをクリックするだけで、全く新しいAPT(高度な持続的脅威、例えば国家支援のハッカー集団)が出現するのです。」
シータラマン氏によると、複数のソフトウェアプラットフォームやAPIをまるで人間のユーザーのように操作するように訓練された新しいエージェント型AIが、半自律的な脅威として機能し、持続的かつ協調的に攻撃を仕掛ける可能性もあるという。サイバーセキュリティチームがこのようなレベルの継続的な攻撃に対抗する準備ができているなら、侵害が発生するのは時間の問題だろう。
戦争ゲーム
では、解決策は何でしょうか?基本的には、AIを活用し、攻撃側のAIが仕掛けてくる可能性のある攻撃に合わせて検出と対策を調整するサイバーセキュリティプラットフォームです。
「私たちは、AIを扱うセキュリティ企業であり、セキュリティを扱うAI企業ではないことを強く意識していました。キーボードの向こう側にいた経験があり、ここ数日まで(それぞれの企業で)彼らが私たちにどんな攻撃を仕掛けてくるかを見てきました。彼らがどこまでやってくるかは分かっています」とクレメンテ氏は述べた。
MetaやSpaceXのような企業にはトップクラスのセキュリティ専門家が常駐しているかもしれませんが、すべての企業がそのようなチームを編成できるわけではありません(航空宇宙産業の主要企業に10人規模の下請け業者を擁しているような状況を考えてみてください)。また、彼らが使用しているツールが、その任務を遂行するのに十分ではない可能性もあります。報告、対応、開示のシステム全体が、LLMによって強化された悪意のある攻撃者によって侵害される可能性があります。
「地球上のあらゆるサイバーセキュリティツールを見てきましたが、どれも何らかの欠陥を抱えています。私たちは、それらのツールの上にコマンド&コントロールレイヤーとして機能し、それらを繋ぎ合わせ、変革が必要な部分を変革したいと考えています」とシータラマン氏は述べた。
サンドボックス環境で攻撃者が用いるのと同じ手法を用いることで、WraithwatchはLLMを組み込んだマルウェアが展開する可能性のある亜種や攻撃の種類を特徴づけ、予測することができる(少なくとも彼らはそう期待している)。AIモデルがノイズの中から信号を見つける能力は、人間の介入なしに脅威を検知し、場合によっては対応さえも可能にする、認識と自律性のレイヤーを構築する上で役立つ可能性がある。すべてが自動化されているわけではないが、例えば、管理者がオリジナルの攻撃へのパッチを配布したいと思ったのと同じくらい迅速に、システムは新たな攻撃の可能性のある100種類の亜種をブロックする準備を整えることができるだろう。
「私たちが思い描いているのは、目覚めたときにすでに侵入されたのではないかと不安になるような世界ですが、レイスウォッチはすでに何千もの攻撃をシミュレートし、必要な変更点を示し、その変更を可能な限り自動化しています」とクレメンテ氏は語った。
小規模なチームが「数千行のコード」をプロジェクトに投入しているとはいえ、まだ初期段階だ。しかし、その主張の一つは、悪意のある人物がこの技術を研究していることは確実であるのと同様に、大企業や国家も同様に研究している可能性が高いということだ。少なくとも、その逆を想定するよりも、そう想定する方が健全だ。深刻な脅威にさらされている企業のベテラン社員で構成され、ベンチャーキャピタルからの巨額の資金を武器とする小規模で機敏なスタートアップは、企業のありがちなしがらみに縛られずに、競争相手を飛び越える可能性は十分に考えられる。
800万ドルのシードラウンドは、Founders Fundが主導し、XYZ CapitalとHuman Capitalが参加しました。目標は、このプロジェクトをできるだけ早く実用化することです。現時点では、これは競争と言えるでしょう。「私たちは積極的なタイムラインを持つ企業出身なので、来年第1四半期までにほとんどの機能をデザインパートナーに展開した、回復力のあるMVP(最優秀製品版)を完成させることが目標です」とシータラマン氏は述べ、2024年末までにはより幅広い商用製品をリリースする予定です。
AIエージェントがサイバー空間での秘密戦争で米国の機密を包囲するなど、少々大げさに聞こえるかもしれない。あの空港スリラーの宣伝文句が現実になるのは、まだ先の話だ。しかし、AIの世界のように予測不可能で変化の激しい世界では、万全の備えは万全の対策に勝る。レイスウォッチなどが警告する問題が少なくとも数年先であることを願うばかりだ。しかし、投資家たちは、守るべき機密を持つ者は予防策を講じるだろうと考えているのは明らかだ。
