GoogleのThreat Intelligence Group(GTIG)は5月12日、ハッカー集団がAIを使って二要素認証(2FA)バイパスのゼロデイ脆弱性を自律的に発見し、大規模悪用を試みた計画を阻止したと発表しました。AIが脆弱性を自律的に発見・武器化した事例が公式に確認されたのは今回が初めてとされており、サイバーセキュリティの世界に新たな段階が訪れたことを示しています。
GTIGによると、今回の試みに関わったグループは中国・北朝鮮と関連があるとみられており、脆弱性発見へのAI活用に強い関心を示していることも確認されています。AIがゼロデイを「見つける」だけでなく「使う準備まで整える」という一連の作業を自動化できるならば、従来の防御サイクルよりはるかに短い時間で攻撃が完結する可能性があります。これまで熟練した研究者が数週間をかけて行ってきた脆弱性ハンティングが、AI活用によってコストをほぼゼロに近づけられるという指摘は以前からありましたが、今回の事例はそれが実証段階に入ったことを意味します。
X(旧Twitter)では「AI-assisted hacking is already here」がトレンドワードとなり、「これは氷山の一角に過ぎない」とセキュリティ専門家から深刻な警告が相次ぎました。Hacker Newsでは「AIが脆弱性ハンティングのコストをゼロに近づけるなら、従来のセキュリティモデルを根本から見直す必要がある」というコメントが多くの支持を集めています。Redditのr/netsecでも「攻撃側が防御側より先を行っているという非対称性がさらに拡大する」と、防御側の課題を指摘する議論が活発に行われました。
AIによるサイバー攻撃の自動化が確認事例として記録された以上、セキュリティ業界は脆弱性発見から修正・展開までの「パッチサイクル」を根本的に見直す必要に迫られています。同時に、防御側も同じAI技術を活用した自動検出・自動修正の仕組み構築が急務となっており、AI vs AIのセキュリティ競争が本格化する転換点となりそうです。