AIが加速するサイバー攻撃の脅威
近年、サイバーセキュリティはかつてないほど厳しく監視されており、特に「Scattered Spider」のようなAIを活用した攻撃は、巧妙な手口でネットワーク内に潜伏し、その影響を急速に拡大させています。このような状況下で、今日のネットワーク防御には、より迅速で高度な、多層的な対応が求められています。
Googleの脅威インテリジェンスグループは、AIが安全対策を迂回し、悪意のあるスクリプトを生成し、自動的に検知を回避するといった、新たなAI主導の攻撃手法を追跡しています。Anthropicは、AIによるオーケストレーションが初めて確認された事例として、異なるマルウェアを組み合わせてネットワーク偵察、脆弱性発見、水平移動、データ窃取を行う攻撃を指摘しています。これらのAIオーケストレーションは、手動での検知および修復を圧倒する速度と規模で発生する可能性があります。
これらの攻撃は、まさに新時代の脅威であり、機械学習アルゴリズムの自動化とインテリジェンスを悪用して、従来のデジタル防御を無効化します。過去の認証情報侵害は数十年前から存在しますが、AIを活用することで、わずかなプロンプトで大規模な攻撃が可能になり、大量のデータを窃取できる点が新たな脅威となっています。2025年6月のCloud Security Allianceのレポートでは、自律型AIエージェントが企業システムを攻撃する70以上の異なる方法が挙げられており、従来の信頼境界やセキュリティプラクティスを超えて攻撃対象領域が大幅に拡大していることを示しています。まさに、ゼロトラストの時代が到来しており、SOCアナリストはあらゆる事態を想定し、攻撃の発生源に関わらず、より効果的に攻撃を発見し阻止する必要があります。
NDR(ネットワーク検知&対応)がAI攻撃に対抗する理由
組織が新たなAI脅威に対するより良い防御方法を模索する中で、ネットワークの可視性が防御メカニズムとして注目されています。既知のトラフィック署名をブロックしたり、手動調査に依存したりするレガシーソリューションとは異なり、NDRシステムはネットワークデータを継続的に監視・分析し、高速で欺瞞的なAIベースの脅威をリアルタイムで検知し、異常なデータ転送やネットワークトラフィックパターンを自動的に特定します。これらのシステムは、単なるネットワークの可視性にリアルタイム分析を加えて強化します。
今日のレガシー防御システムは、AIが何千ものカスタマイズされたマルウェア亜種を作成できる時代以前の既知の脅威に焦点を当てて設計されていました。これが、「ネットワーク検知&対応ソリューション」の検索が増加している理由の一つかもしれません。
Corelight NDRによるAI駆動型攻撃への対抗策
世界で最も機密性の高いネットワークを防御するために信頼されているCorelightのNDRプラットフォームは、深い可視性と高度な振る舞いおよび異常検知を組み合わせることで、SOCが新しいAI駆動型脅威を発見するのに役立ちます。今日のNDRシステムがAI駆動型攻撃に対抗できる具体的な方法は以下の通りです。
- AIを悪用した偵察活動や多形性攻撃の特定と阻止
これらの攻撃に共通しているのは、自動化された技術を使用して、保護されていない侵入ポイントや未パッチの脆弱性をテストする能力です。NDRソリューションは、これらの自動システムによって生成される大量のトラフィックに対応し、膨大なデータをタイムリーに処理することができます。これは、通常の活動の中に隠された侵入者を発見するために不可欠です。
NDRシステムはリアルタイム監視を用いてすべてのネットワークトラフィックを検査し、脅威を検知し、様々な種類の攻撃のタイムラインと構成要素を再構築します。これにより、例えば、水平方向のネットワーク脅威移動や、不正行為者の回避的なアプローチを示すその他の異常な振る舞いを、自動化されたAI/ML手法で明らかにすることができます。また、NDRソリューションは、誤検知を真の陽性アラートから分離し、真の脅威を調査するための周辺コンテキストとネットワークベースの情報をAI活用で提供する必要があります。
- 企業ネットワークおよびクラウド環境全体の状況把握と分析
例えば、暗号化されたトラフィックと暗号化されていないトラフィックの比率を計算し、過去のベースラインと比較したり、ネットワークルーターが以前にSSHを使用してインターネットに接続したことがないにもかかわらず、現在このプロトコルを使用していることを検出したりできます。あるいは、新しいサービスやIPアドレスへの接続を特定することも可能です。これらの洞察は、セキュリティチームが調査中にコンテキストをよりよく理解し、ネットワークトラフィックが時間とともにどのように変化するかを把握するのに役立ちます。
- 将来の検査と分析のためにパターンを保存
システムは個々のファイルを認識・抽出し、さらなるアクションのために分析することができます。例えば、特定のポリシーを設定してこの行動を防止したり、防御を迂回するために過去に何が起こったかを把握したりすることができます。一例として、画像拡張子(.jpgや.pngなど)を使用しているが、実際には攻撃の基盤となる実行可能ファイルである不適切なファイルアップロードを記録することが挙げられます。
- イベントが良性、疑わしい、または悪意のあるものかを自動的に判断
これは、単純なマルウェア署名や振る舞いを認識するだけでなく、自動化された方法で行われます。これにより、SOCアナリストへの負担を軽減し、誤検知を排除できます。上記のSSHトラフィック悪用例では、NDRは暗号化されたトラフィックの内部を覗くことはできませんが、これが新しい状況であることを容易に識別し、ネットワーク可視性の力によって潜在的な悪用としてフラグを立てることができます。
まとめ
攻撃者がAIを活用してレガシー防御を回避する戦術を強化するにつれて、SOCは彼らの動きをいち早く察知することがますます重要になります。侵入ポイントを調査している場合でも、水平移動を行っている場合でも、あるいは巧妙に隠れている場合でも、SOCは実際の損害が発生する前に彼らを阻止しています。NDRの独自の強みは、従来ツールが見過ごすかログの奥深くに埋もれている問題をトラブルシューティングするために、アナリストに実用的な洞察を提供する点にあります。
インシデントレスポンダーは、異常なネットワークトラフィックや疑わしいアプリケーションの使用を迅速に調査し、隠れたマルウェアや侵入者を特定し、インシデントをより迅速に解決できます。これにより、マルウェア感染の被害範囲を縮小したり、不正行為者が機密データを窃取するのを防ぐ可能性が生まれます。広範囲な環境可視性と迅速な対応により、NDRは組織に機敏性をもたらし、攻撃者が絶えず進化するAI駆動型戦術を活用する未来に備えることができます。
Corelight NDRの詳細については、corelight.com/elitedefenseをご覧ください。