By Ling Cheng (Senior Product Marketing Manager)
GoogleのProject Zeroは最近、大規模言語モデル(LLM)を基盤とするフレームワーク「Big Sleep」を使用して、現実のソースコードにおけるゼロデイ脆弱性を発見したと発表しました。このプロジェクトでは、AI駆動のエージェントが、広く使用されているオープンソース データベースエンジンであるSQLiteの悪用可能なスタックバッファオーバーフロー脆弱性を特定する手法を実演しました。
Big Sleepの研究はまだ初期段階ですが、特に既存の方法では検出が難しいゼロデイ脆弱性を発見するためのテスト手法を強化するAIの有望な潜在能力を証明しています。
ゼロデイ脆弱性はなぜ問題なのか
ゼロデイ脆弱性とは、広く知られる前に攻撃者が悪用できる、隠れた高リスクの脅威です。ゼロデイ攻撃が予期せず発生し、対策が利用できない場合、企業は高額なリコールや深刻な評判の低下に直面する可能性があります。
ゼロデイ脆弱性への対応は極めて困難であり、脅威は以下の3つのパターンで発生します。
- 攻撃者だけが脆弱性を把握しているが、他の誰も気づいていない。
- 攻撃者は脆弱性を把握しており、社内の一部の関係者やダークウェブユーザーのみがその存在を知っている。
- 攻撃者は脆弱性を把握しているが、影響を受ける企業はまったく気づいていない。
企業がゼロデイ脆弱性を認識していない場合、攻撃を防御したり問題に対処したりすることができません。そのため、ゼロデイ攻撃は成功する可能性が高く、急速かつ重大な被害をもたらすことになります。
さらに懸念されるのは、多くの企業が製品のセキュリティ対策として、一般に公開されたサイバーセキュリティの脆弱性に関する標準化された識別子である共通脆弱性タイプ一覧(CVE)のみに依存していることです。しかし、CVEは既知のデータベースにリストされていないゼロデイ攻撃には対応していません。つまり、自動車業界を含む多くの企業は、先を見越した積極的な防御策を講じない限り、予測不可能なリスクにさらされ続けることになります。
ゼロデイ脆弱性を発見するための包括的なアプローチ
Project ZeroのBig SleepなどのAIエージェントを使用して既知の脆弱性から学習し、ソースコードを分析する以外にも、潜在的な脆弱性を発見するためのアプローチはあります。
- 侵入テスト(ペネトレーションテスト):システム内の脆弱性を特定するための徹底的な評価を実施します。
- ダークウェブのモニタリング:ダークウェブにおけるゼロデイ脆弱性や攻撃手法を追跡し、高度な技術的専門知識を活用して信憑性の高い脅威を検証します。
- 脆弱性情報の入手と情報共有:トレンドマイクロのZero Day Initiative (ZDI)などの信頼できる脆弱性専門機関と協力し、高品質なゼロデイ情報を入手する。
- 自動車ハッキングコンテスト:Pwn2Own Automotiveなどのコンテストに参加し、ソースコードにアクセスすることなく脆弱性を発見する倫理的なハッカーに挑戦してもらうことで、独創的で斬新な脅威検出方法の促進を図ります。
VicOneでは、自動車業界に重大な影響を及ぼす可能性があるゼロデイ脆弱性を十分に認識しています。そのため、前述の積極的な戦略を採用し、これらの脅威を明らかにして対処しているのです。
図1. VicOneによる自動車のゼロデイ脆弱性発見のための包括的なアプローチ
VicOneは、ゼロデイ脅威情報の積極的な監視と収集に加え、AIを導入したソリューションを駆使して、自動車用ソフトウェアにおけるゼロデイ脆弱性や共通脆弱性タイプ一覧(CWE)を明らかにする研究において、大きな進歩を遂げました。
また、コネクテッドカー技術の脆弱性に関する世界唯一のイベントである「Pwn2Own Automotive」への取り組みも強化しています。2024年のPwn2Own Automotiveでは、リサーチャーがわずか3日間で49件のユニークなゼロデイ脆弱性を発見しました。その中には、Tesla(テスラ)車両を遠隔操作できる脆弱性や、電力網に過負荷をかける可能性のある電気自動車(EV)充電ステーションの操作を可能にする脆弱性も含まれています。
AIを活用した自動車サイバーセキュリティソリューションやその他の先進的な戦略といった包括的な取り組みは、自動車におけるゼロデイ脆弱性情報におけるVicOneのリーダーシップを示すだけでなく、急速に進化する脅威の状況下でコネクテッドカーを保護するというVicOneの揺るぎないコミットメントも示しています。
