メッセージングを中心に、ネットワークセキュリティを脅かす脅威やサイバー犯罪、不正利用(Abuse)への対策に取り組む業界団体、JPAAWG(Japan Anti-Abuse Working Group)は、2024 年 11 月 11 日、12 日の二日間にわたって「JPAAWG 7th General Meeting」を開催した。
JPAAWG General Meeting は年次カンファレンスという位置付けだ。参加者が自由に意見を交わし合う「Open Round Table」も設けられるなど、「単に講演を聴くだけでなく、積極的な、前向きな議論を歓迎して運営しています」(JPAAWG会長の櫻庭秀次氏)。オンラインも含めて 576 名の参加者があり、特に北海道・札幌の現地には 280 名を超える参加者が集まり、モバイルキャリアや ISP のほか、メール送信を行う事業者などさまざまな立場から意見を交わし合った。
近年、メールを介したサイバー攻撃やフィッシング詐欺が増加しているのは言うまでもないが、対策の気運も盛り上がっている。特に、SPF、DKIM といった送信ドメイン認証技術を活用してなりすましメールを見破る DMARC への注目は高まっており、国内でも徐々に対応が進み始めた。
その大きなきっかけとなったのが、米Google と米Yahoo! が 2023 年に表明した「No Auth, No Entry」というポリシーだ。2023 年に金沢で開催された JPAAWG 6th General Meeting では、急遽この新ポリシーに関する BoF が行われ、部屋が参加者でぎゅうぎゅう詰めになるほどの高い関心を集めた。
こうした動きを経て、今、対策はどこまで進展しており、次なる課題は何なのか。General Meeting ではそんな最新動向とこれからに向けた動きが紹介された。
設立 20 周年を迎えたインターネットセキュリティのグローバル業界団体である M3AAWG が、今フォーカスしているのは「AI」と「モバイルマルウェア」である。
AI の不正利用として最も懸念されている「ディープフェイク」によるなりすまし、AI で作った実在しない人間を悪用する「Sock Puppetting」、AI を誤動作させる「プロンプトインジェクション」…。M3AAWG は、“ポジティブな AI活用”に向け、これまで同様、教育やベストプラクティスの策定といった取り組みを通して、セキュアな AIモデルの開発を後押しする取り組みを進めている。
また、偽アプリで数多のスマートフォンが踏み台にされて多くのスミッシングメールを送信していることから、日本のキャリアや ISP などにも協力して対策を進めていく必要性を呼びかけている。
これは、M3AAWG の日本リージョンである JPAAWG(Japan Anti-Abuse Working Group)の年次カンファレンス「JPAAWG 7th General Meeting」の基調講演で紹介された。
アップツーデートなテーマについての最新情報と、参加者が共に語り考える機会を提供するイベントとして、セキュリティ関係者にはもはやお馴染みかと思うが、2024 年は 11 月 11・12 日、札幌とオンラインのハイブリッドで開催されて 600 名近くが参加。札幌のリアル会場には 280 名超の参加者が集結して、モバイルキャリアや ISP、メール送信事業者などがさまざまな立場から活発な意見を交わし合った。
今回の基調講演レポートを皮切りに、全 4 回にわたって注目セッションをご紹介するので是非お楽しみに!
●20周年を迎えてもなお「仕事は終わらない」
初日のキーノートには、M3AAWG(Messaging, Malware and Mobile Anti-Abuse Working Group)で Co-Vice Chair を務める Sharon Kent 氏が登場し、「M3AAWG, AI, and the future of anti-abuse」と題してこれまでの歩みと今後の展望を語った。
M3AAWG は、メッセージングを中心に、幅広い領域でセキュリティ実現に向けて技術中立的な立場から活動してきた業界団体で、2004 年の設立から数えて 20 周年を迎えた。大規模サービスのエンジニアや ISP、あるいは学者など、さまざまな立場の 260 以上の組織が参加し、定期的に General Meeting を開催してきたほか、特定のトピックに絞っての Special Interest Group(SIG)も積極的に活動している。
M3AAWG はこれまでさまざまな技術仕様を推進してきた。最近は特に「Abuse(不正利用)防止」そして「AIセキュリティ」というトピックに関してベストプラクティスをまとめ、公開している。また、各国政府にアドバイスや支援も行い、法制度の整備を間接的に支援することで、より安全で安心して利用できるインターネット空間の実現を後押ししてきた。
「『オンラインAbuseのない世界へ』というビジョンに向け、M3AAWG はさまざまな活動をしてきました」(Kent氏)
もちろん、その時々の環境や技術に応じて、フォーカスすべきスコープは少しずつ変わっている。その一つが「モバイルマルウェア」であり、「AI」だ。
また最近では、周知の通りサイバー犯罪、特に投資詐欺や BEC といったサイバー犯罪が右肩上がりで増加しており、コロナ禍をきっかけに、その傾向はいっそう顕著になっている。Kent氏は、被害者を信頼させて金銭を巻き上げるこうした攻撃ベクターは非常に危険なものだと指摘した。
そして、「20 周年を迎え、成人したようなものだと言われますが、我々の仕事は終わっていません。まだまだ貢献すべきことがあると考えています」とあらためて宣言した。
●万能論でも悲観論でもない、バランスの取れたアプローチで AI活用を
この先を見据えたとき、絶対に避けて通れないのが AI の話題だろう。
Kent氏は「AI については、『何でも解決してくれるだろう』という期待が寄せられていたり、逆に破滅をもたらすという悲観的な意見があります。しかし必要なのはその中間にあるバランスの取れたアプローチでしょう」と述べた。
では今、AI を巡ってどのような懸念が浮上しているのだろうか。Kent氏によると、AI の Abuse として最も懸念されているのが「なりすまし」、いわゆる「ディープフェイク」だ。ジョーク半分に生成された画像ならばともかく、ディープフェイクは今や、一国の政治動向や選挙の行方さえ左右しかねない存在となっている。
また、マルウェアの生成を自動化したり、より巧妙なフィッシングの作成を容易にするといった形でサイバー攻撃を増幅させる恐れもある。「以前は、スピアフィッシングを作成するには多くの時間がかかりましたが、それが素早くできるようになっています」(Kent氏)
3つ目は、falsification(改ざん、ねつ造)だ。ディープフェイクに似ているが、事実ではない情報、「ディスインフォメーション」を広げたり、紛争当事国の一方だけを有利にするといった影響が懸念されている。
そして、新しい言葉である「Sock Puppetting」も脅威だとした。これは、AI によって全く実在しない人間を仮想的に作り上げ、特定の政治家などを応援させる動きで、ソーシャルメディアのアカウントを乱用してムーブメントを作ることにも使われかねない。
また、「プロンプトインジェクション」によって、AI に備わっているガードレールが損なわれる可能性も指摘されている。
こうした懸念が存在する一方で、Kent氏は、AI はポジティブな面でも活用できるとも説明した。たとえば、AI や LLM をうまく活用すればフィッシングメールの検知はもちろん、サイバー犯罪に用いられる悪意あるドメインの検知がより効率的に、正確に行える可能性がある。また、振る舞いを分析して悪意あるモバイルアプリを検出したり、コンテンツ解析によるヘイトスピーチの監視にも活用できる可能性がある。
M3AAWG ではこうしたポジティブな AI活用に向け、これまで同様、教育やベストプラクティスの策定といった取り組みを通して、セキュアな AIモデルの開発を後押しする取り組みを進めている。同時に、NIST などの機関と連携しながら、AI に関する 4 つの標準ドキュメントを作成してきた。
そして最後に Kent氏は「AI がセキュアに活用され、Abuse されることのないよう、この先も常に動向を監視していかなければなりません」と呼びかけ、これまでの 20 年間がそうだったように、これからの 20 年も業界とのパートナーシップを通して、AI といった新たな技術を適切にどう活用していくか、継続的に取り組んでいきたいとした。
●悪用続くモバイルプロキシ、アジア地域でも包括的な取り組みで対策を
続けて、M3AAWG の前ボードチェアを務め、今は Growth and Development Chair として活動する Severin Walker氏が登場し、「M3AAWG Topic of Internet」と題して、Android や iPhone などのスマートフォン向けアプリを装った悪性の「モバイルプロキシ」の状況について説明し、日本のキャリアや ISP などとも協力して対策を進めていく必要性を呼びかけた。
すでに知られていることだが、インターネットに流通する多くの悪意あるメッセージは、攻撃者が保有するサーバからだけでなく、何も知らないユーザーのシステムを乗っ取って送られてしまうことも多い。日本国内でも、検知回避を目的に「レジデンシャルプロキシ」が悪用されるケースが指摘されているほか、スマートフォンも踏み台にされている。
Walker氏は「複数のキャリアにまたがって数千のデバイスがモバイルプロキシ化され、多くのスミッシングメールが送られているという報告を受けています。特に、ヨーロッパやアジアで被害が目立っています」と述べた。
Walker氏は実際に観測を行い、多数のモバイル端末を操る複数のグループ(クルー)の活動を確認した。このうち一つでは 1530 台の端末が操られており、iPhone端末は少なく、Android端末からの送信が多い。しかも「今も一連の活動はアクティブなままです。キャリア側が対策を講じるといったんは減少するものの、また再開されてしまうケースもあります」(Walker氏)という。
では、そうしたデバイスはどのようにモバイルプロキシ化され、フィッシングメールを送信するようになってしまうのだろう。Walker氏によると、「小遣い稼ぎになる」 「帯域を共有する」などと謳ってアプリストアで公開されているアプリをインストールしてしまうのが典型的なパターンだ。残念ながら他にも、ゲームやストリーミングといった名目を謳い、裏側では VPN接続を用いて 10 種類を超える複数の疑わしいアプリが、Google Play などのアプリストアで確認されているという。
Walker氏は、こうした悪用が続いている状況に対し、あらためて業界全体で対策を講じていく必要があると訴えた。
具体的にはエンドポイント側での対策に加え、アプリストア側での対応、そして法的措置も含めた包括的な取り組みが必要だとした。すでに米国やヨーロッパでは、ISP、そしてアカデミックな領域と連携しながら対策を進めており、日本も含めたアジア地域においても同様の対策を進めていきたいと呼びかけた。
M3AAWG の歴史が示してきたとおり、何か一つ問題解決に向けた動きがあると、それをかいくぐるようにしてまた新たな課題が浮上するのが常だ。Walker氏は、「今回の JPAAWG 7th General Meeting もそうですが、さまざまなグループやメンバーと最新情報を交換し、今後どのように活動していくべきかについて議論し、コラボレーションを進めることで、目標を達成することができると考えています」と述べ、引き続きグローバルな連携が重要であると呼び掛けた。
