では、なぜ、ここまで主要な政府や金融機関がMythosを警戒しているのか。リスクと対応について整理する。Mythosの本質的なリスクは3つの軸で整理できる。
現在判明しているMythosの最も驚異的な能力は、脆弱性を発見するだけでなく、脆弱性を発見し、一連の攻撃まで実行し、成功までを「簡単な指示」で行えることである。
これまでにもDDoS攻撃を代行したり、RaaSと呼ばれるような高度な攻撃を代行するサービスは存在していたが、Mythosは攻撃実行の障壁をさらに引き下げ、攻撃の民主化を引き起こす。
すでにプログラムについては高度なプログラミングスキルがなくてもAIがプログラムを書いてくれるというのは誰もが認める事実であるが、サイバー攻撃においても同様に高度なサイバー攻撃の技術がなくとも、攻撃を成功させることができるようになるということである。
これによって、これまでは高度な知識を持つ人間がいなければ運営できなかったRaaSを運営するハードルが低下し、高度な技術力を持つグループそのものが増加したり、攻撃グループが高度な技術力がない人間でも、攻撃グループにリクルートしやすくなるなど、犯罪組織の量と質が拡大するリスクが想定される。
Mythosは、27年間発見されることのなかった「OpenBSD」の致命的バグを発見したが、この発見にかかった費用は約50ドル、約1000回の試行を含めても2万ドル弱で済んだと明かしている。
もう1つ見過ごせないのが、Mythosは複数の脆弱性を組み合わせて「エクスプロイトチェーン」を構築する能力を持つことだ。
あるブラウザのケースでは、4つの脆弱性を連鎖させ、ローカル権限昇格までを一気に貫通させた。これは、わかりやすく言えば「何重ものセキュリティで守られた銀行の金庫が破られた」ような状態だ。
現代のブラウザは、仮に1つのセキュリティが破られても被害が及ばないよう「ブラウザの檻」や「OSの檻」といった何重もの隔離壁(サンドボックス)といった多層防御で厳重に守られている。これらを1つずつ突破し、金庫を開けることは、高度な技術を持った攻撃者でも簡単なことではない。
しかしMythosは、「プログラムの隙を突いて攻撃の足場を固め(JITヒープスプレー)」、「ブラウザの檻を壊し(レンダラ脱出)」、「OSの檻も壊し(OS脱出)」、最終的に「システムの全権限を奪う(ローカル権限昇格)」という4つの複雑な工程を自律的に連鎖させ、文字どおり「一気通貫」でシステムを完全支配したのである。
一つひとつの脆弱性は高レベルでなかったとしても、それらを組み合わせることで攻撃を成功させる。これは従来「国家レベルの攻撃者」とされてきた攻撃能力に相当する。
OpenBSDの脆弱性が27年間発見されなかったという事実は、Mythosの能力の高さもあると考えられるが「人間は1000回も試行しようと考えない」から、誰も発見できなかったという側面もあるだろう。
しかし、疲れを知らないAIなら人間が無駄と考える試行も休むことなく継続することが可能になる。そして、その費用は人間が実施するよりも圧倒的に安い。
After Mythos時代には攻撃者の経済合理性がかつてないほど高まることが予測される。これによって、攻撃試行回数の規模と実施回数が、新たな領域に到達すると考えられる。
“N-Day攻撃”というものがある。これは脆弱性が公開されたが、パッチが適用されていないシステムを狙う攻撃である。N-DayのNは企業側がパッチを適応するまでの日数である。このN-Dayの攻撃が怖いところは、すでに脆弱性があるということが公開されているということである。
Anthropic社は24年から25年にかけてLinuxカーネルに対して登録された100個のCVEをMythosに与えたところ、Mythosはその中から40個を選択し、その脆弱性を悪用して権限昇格を可能にするプログラムを実行させる攻撃(権限昇格エクスプロイト)の作成に成功したと公表している。
人間が攻撃ツールを作成していた時代には、すべての脆弱性用の攻撃ツールを作ることは不可能であり、重要なものだけが作られていた。しかも、1日や2日で作成できるものではない。
こういった背景があり、脆弱性が公開されたからといって即座に対応しなければならないというわけではなかったため、パッチが適用されるまでのN-Day脆弱性が存在していた。
しかし、もはやN-Day は最も危険な存在と捉えるべきである。自社が利用しているOS、ブラウザ、ネットワーク機器、サーバー、アプリケーション、仮想化基盤、Webアプリケーションには無数のN-Day脆弱性が存在しているはずであり、これらすべてが、After Mythos時代にはN-Day脆弱性悪用の対象となるのである。
After Mythos、つまりMythos級が普通になる時代
Mythosはまだ一般公開されておらず、限定的なパートナー企業とオープンソース開発者にのみ提供する「Project Glasswing」を立ち上げている。現在、MythosにアクセスできるのはProject Glasswing参加組織と、一部の交渉によってアクセス権を得た政府や民間企業に限られている。
次ページが続きます:
【今すぐ取り組むべき3つのこと】
