主なポイント
セキュリティ研究者たちは、AIを活用したプロセスを用いてAppleのmacOSオペレーティングシステムに2つの異なるバグを発見し、同社の高度なセキュリティ対策を回避する新しい手法を見つけ出しました。セキュリティ企業CalifがAnthropicのMythos AIの初期バージョンを借りて行ったこの発見は、サイバーセキュリティにおけるAI主導の攻防という新たな軍備拡張競争における重要な進展を意味します。
「AppleがmacOSのロックダウンに多大な労力を費やしてきたことを考えると、この手法は注目に値します」と、Califの研究をレビューした元Googleのセキュリティ研究者Michał Zalewski氏は述べています。独自のAIモデルを使用して脆弱性をテストしているAppleは、この55ページに及ぶ報告書を精査中です。同社の広報担当者は、「セキュリティは当社の最優先事項であり、潜在的な脆弱性に関する報告は非常に真剣に受け止めています」と述べています。
パロアルトに拠点を置く同社の研究者によると、彼らのソフトウェアは2つのバグを連鎖させてMacのメモリを破壊し、本来アクセスできないはずのデバイスの一部へのアクセスを可能にします。この「権限昇格」エクスプロイトは、他の攻撃と組み合わせることで、ハッカーがコンピュータの制御を奪うことを可能にする可能性があります。チームはわずか5日間で脆弱性を悪用するコードを構築しました。
この発見は、AnthropicやOpenAIといった企業の高度なAIモデルによって、新たに発見されたソフトウェアの脆弱性が大量に発生する「バグマゲドン(Bugmageddon)」に対するサイバーセキュリティ専門家の懸念を裏付けるものとなりました。これは、パッチ適用を担当する企業の技術部門を圧倒し、かつてないレベルのサイバーセキュリティリスクを生み出す可能性があり、ホワイトハウスがAIの開発と監視に対するアプローチを再考する要因になったと報じられています。
この攻撃はAIだけで行われたものではありません。Califの最高経営責任者(CEO)であるThai Duong氏は、このエクスプロイトには人間のハッカーの専門知識が必要だったと説明しました。同氏は、Mythosは過去に文書化された攻撃を再現することには優れているものの、「新しい攻撃手法を自ら考案したケースはまだ見ていません」と指摘しました。今回のエクスプロイトの成功は、人間の創意工夫とAIによる分析が融合した結果です。
これらの脆弱性は、Appleが昨年9月に「5年間にわたる前例のない設計とエンジニアリングの努力の集大成」として導入した技術、メモリ完全性強制(MIE)を回避しました。Califの研究者たちは自らの発見に強い自信を持っており、報告書を直接提出するためにクパチーノにあるApple本社まで自ら車を走らせました。
macOSのような堅牢なターゲットにおいて、AIを使用してこのような高度なエクスプロイトを発見したことは、ソフトウェア業界全体に重大な影響を及ぼします。これは、重大な脆弱性を発見するために必要なコストと時間が劇的に減少する可能性を示唆しており、企業は自動化されたセキュリティテストやAIベースの防御策により多くの投資を強いられることになります。
Appleにとって、このニュースはセキュリティに対する同社の評判への直接的な挑戦です。予想収益の約30倍で取引されている同社の株価は、直後にはほとんど反応を示しませんでしたが、主力OSに対するエクスプロイトの成功は消費者心理に影響を与える可能性があります。Califは、Appleが問題を修正した後に攻撃の全詳細を公開する予定であり、Duong氏はそれが迅速に行われると予想しています。
この記事は情報提供のみを目的としており、投資アドバイスを構成するものではありません。
