AIを悪用する不正アクセス~パスワード強化と多要素認証の重要性を考える~
今回は、AIを悪用した不正アクセスやその対策について、CEC SOC(セキュリティ・オペレーション・センター)のセキュリティアナリストがご紹介します。
AIを悪用した不正アクセス例
AIによるパスワードクラック
不正な手段を用いたパスワードの解読を「パスワードクラック」といいます。パスワードクラックには、以下のような攻撃があります。
これらの攻撃を行うために、本来はシステムの脆弱性確認に使われる「クラッキングツール」が悪用されることもあります。さらに近年では、クラッキングツールにAIを組み込むことで攻撃精度を大幅に上げています。
米国のセキュリティ企業Home Security Heroesが、AIを用いたパスワードクラックにかかる時間についての調査結果を公開しました。PassGANと呼ばれるクラッキングツールを使用して、1,560 万件の一般的なパスワードを評価した結果、51%を1分以内、65%を1時間以内、71%を1日以内、81%を1カ月以内に解読できたと公表しています。
出典:
ディープフェイクによる顔認証の突破
ディープフェイクとは、AIを利用して既存の映像や音声を改変し、リアルな偽造映像や偽造音声を作成する技術です。最近では、政治家や芸能人などに実際には口にしていないことを語らせる、偽動画が配信された例もあります。
このようなディープフェイク技術の進化により、顔認証などの生体認証が突破されるリスクがあると考えられています。英国企業iProovのレポートによると、近年、既製のAIツールで作成した画像や動画を悪用する「フェイススワップ攻撃」が増加している、とされています。
出典:
不正アクセスへの対策案
パスワード設定を強化
セキュリティアナリストとして、認証突破によるセキュリティインシデントを数多く解析してきましたが、結局のところ最たる防御は「強力でユニークなパスワードを設定すること」であると考えます。そこで今回、強固なパスワードを設定するための要件を、以下のように提案します。
【推奨するパスワード要件】
アルファベットの大文字・小文字、数字、記号を組み合わせる
12文字以上
辞書に掲載されている単語など、一般的で予測しやすい単語やパターンを使用しない
同じパスワードや、一部のみ変更したパスワードを使い回さない
ただ、上述のパスワード要件すべてを行うとなるとハードルが高く、結局なおざりになってしまうかもしれません。それこそがヒトの最大のウィークポイントでもあり、攻撃者に狙われてしまう原因ともいえます。
パスワード要件すべてを満たすのが難しくても、諦めずに一つでも取り入れることが大切です。
多要素認証を活用
すべてのパスワード要件を取り入れるのが難しい場合、異なる認証方式を組み合わせる「多要素認証」を導入するという手段もあります。多要素認証とは、複数の要素でユーザーの身元を確認するセキュリティ機能です。
一般的な多要素認証の「要素」には以下のようなものがあり、2つ以上の要素を用いて認証を行います。通常は、パスワードに他の要素を加えた方法がよく使われます。
前述のディープフェイク技術の進化に伴う顔認証のように、現在のAIは「特化型AI」といわれており、特定の認証に対しては脅威となるものの、複数要素になると単一のAI機能だけでは対応できないといわれています。そのため、多要素認証は非常に有効な対策になります。
セキュリティ監視サービスを利用
パスワード強化や多要素認証を取り入れても、完全に不正アクセスが防げるわけではありません。万が一認証を突破されてしまった場合のために、不正侵入を検知・通報する仕組みを導入し、被害を最小限に留めるよう備えることも重要です。
まとめ
ご紹介したとおり、クラッキングツールを悪用した不正アクセス攻撃は、刻々とその精度を上げています。そのためインターネット上のIDとパスワードのみで利用されるサービスは、将来的に容易に突破されてしまう恐れがあります。また、生体認証は、従来のパスワードやPINコードなどの認証手法と比べ高いセキュリティを提供すると考えられていましたが、確実に担保できるものではなくなってきていることも知っておく必要があるでしょう。
個人的に対策を検討されている方は、パスワード要件に沿った設定や多要素認証サービスの導入をお勧めします。また、会社や団体など組織として対策を検討されている場合は、多要素認証サービスはもちろん、セキュリティ監視サービスの利用もおススメです。個人利用・組織利用のいずれにしても、インターネットを安全に使うために、十分な対策を講じることが重要です。