AIが世界最高のハッカーになるかも…「ミトスショック」が情報保護体制を揺るがす
米国のAI企業アンソロピック(Anthropic)が最近発表した次世代モデルの「クロード・ミトス(Claude Mythos)」が、「AIハッカー」として利用される可能性があるとの懸念が高まる中、サイバーセキュリティ対策全体を再点検すべきという声が上がっている。韓国政府は国家レベルのサイバーシールドシステム「AIサイバーシールドドーム」の構築を推進しているが、専門家はAI時代に圧倒的に素早くなった攻撃速度を考慮し、情報保護対応プロセスまで再設計すべきだと指摘している。
現在、アンソロピックがアップルやマイクロソフト(MS)など一部のビッグテック(大手技術企業)にプレビュー形式で公開したミトスは、セキュリティの高いオープンソースOS「OpenBSD」において27年間見つからなかったソフトウェアの欠陥を、約2万ドル(約320万円)の計算コストとわずか2日の短期間で発見し、業界に衝撃を与えた。このような特性から、ミトスが脆弱性攻撃のコード作成に利用されうるとの懸念が提起され、米ホワイトハウスや連邦準備制度理事会(FRB)などが対策を協議するなど、緊張感が高まっている。韓国の科学技術情報通信部もこれに関して、14日に通信3社とネイバー、カカオなどの主要プラットフォーム企業を招集し、緊急課題点検会議を実施したうえで、15日には40社の企業情報保護最高責任者(CISO)との懇談会を開いた。
業界では、ミトスの登場は単に「脆弱性をより多く発見するレベル」を超えて、サイバーセキュリティ環境そのものを変えると見ている。熟練度の低いハッカーでも、AIを活用して高度な攻撃を試みられるようになり、「脆弱性の発見→武器化→攻撃」というプロセスに要する時間が数年単位から今では数時間単位へと大幅に短縮されたためだ。その結果、従来の脆弱性管理やリスク報告体制では、AIハッカーに対応しきれない構造になっているとの分析が出ている。
こうした変化に対応するため、科学技術情報通信部はAIを活用して外部からの攻撃の脅威に対処し、ハッキング被害を自ら復旧する自己防御技術「AIサイバーシールドドーム」の研究プロジェクトを推進している。情報通信企画評価院(IITP)が実施する本事業には、今後5年間(2027~2032年)で約9千億ウォン(約970億円)の予算が投入される見込みだ。
しかし専門家は、AIを活用したハッキング攻撃は短時間で実行できる反面、防御については脆弱性の発見から補完措置までに時間がかかるため、技術開発の観点だけで問題にアプローチするには限界があると指摘する。最近、米国の非営利サイバーセキュリティ団体のクラウド・セキュリティ・アライアンス(CSA)は、ミトス対策に関する報告書で「従来のハッキング検知・対応システムは人間の対応速度を前提に設計されており、AIベースの攻撃者には非対称的なスピードの優位を許している」と指摘し、これまでハッキング対策に用いられてきた数値や仮定はもはや現実を反映していないと強調した。
韓国でもこのような変化が既存の制度と衝突する可能性が指摘されている。昨年、主要企業でハッキング事故が相次いだことを受け、韓国政府は情報保護の責任強化のため、企業が情報保護最高責任者を役員クラスに指定し、取締役会に情報保護の現状を報告させる制度を強化した。しかし、AIを用いたハッキング攻撃が展開された場合、段階的な報告手続きなどがむしろ対応速度を遅らせる恐れがあるとの懸念が出ている。
高麗大学情報保護大学院のキム・スンジュ教授は、「情報保護強化のために導入した制度が、サイバーセキュリティのパラダイム変化によってむしろ迅速な対応を困難にするという皮肉な状況を生んでいる」と指摘し、「技術的対策だけでなく、既存の対応プロセスの再設計も併せて検討すべきだ」と述べた。
訳J.S
