キャサリン・ジョーンズ、モーガン・レーン、マイケル・ナース、クロエ・ローレンス・ハーチャー
世界中の組織が安堵のため息をついています。世界で最も広く使用されているオペレーティング システム (OS) である Linux は、最近、壊滅的なサイバー攻撃から救われました。これは、オープン ソース開発 (Linux を含む) には、特にソフトウェアをシステム環境に導入する場合に特有のリスクがあることをタイムリーに思い出させるものです。
Linux は、あなたの生活のどこかで使用されている OS である可能性が高くなります。あまり知られていないこの OS は、パソコン ユーザーの約 6% にしか使用されていませんが、Web サーバーの 40% 以上、モバイル デバイスの 65%、ほとんどの (最も強力なスーパーコンピューターのすべてではないにしても) など、他の膨大な数のアプリケーションで (さまざまな形式やディストリビューションで) 使用されています。Google、NASA、Pixar、Tesla、Amazon などの有名企業はすべて Linux を使用しています。ただし、アプリケーションはハイテク企業に限定されません。保険、医療、政府、金融サービスなどの分野でも Linux が使用されています。
マイクロソフトの開発者が、Linux ユーティリティにバックドアが実装されていることを発見しました。このバックドアは広く普及しており、感染した Linux ディストリビューションで広範囲に任意のコード実行の脆弱性をもたらす可能性があります。バックドアは、攻撃者が Linux ディストリビューション開発コミュニティ内で信頼される地位を得るためにソーシャル エンジニアリングを行い、長期間にわたって実装されたとされています。マイクロソフトの開発者である Andres Freund 氏は、技術リーダーやサイバー セキュリティ研究者の間で英雄として称賛されています。
リスクを評価および管理する場合、議論は外部の脅威アクター、つまりシステムへの「総当たり攻撃」を試みている人物に焦点が当てられることがよくあります。脅威アクターが組織内で活動したり、さらに悪いことに重要なソフトウェアの開発サイクル自体に統合されたりするリスクは、これらの攻撃モードが潜在的に壊滅的な結果をもたらすにもかかわらず、あまり議論されていません。多くの Linux ツールとユーティリティは、Linux 開発コミュニティによって開発されています。信頼関係は時間の経過とともに構築されますが、開発グループの性質上、意欲的な脅威アクターがそれらのグループに侵入すると、必然的に脆弱になります。この脅威に関して最も興味深いのは、信頼できるメンバーとして開発グループに侵入するために必要な忍耐、ソーシャル エンジニアリング、および事前の計画です。コミュニティ内で脅威を検出することは非常に困難であり、この場合は効果的ではありませんでした。ただし、開発サイクルがオープン ソースであるため、隠れた脅威を検出できました (困難ではありますが)。ソースへのアクセスがまったくないか非常に制限されており、外部監査が利用できないクローズド開発環境では、脅威が埋もれる可能性がさらに高くなります。エンジニアは、プロプライエタリな作業を開発する際に、オープン コードのネットワークに頼ることがよくあります。最近 Linux に攻撃の脅威がもたらされたことで、コードがプロプライエタリな作業に統合される前に多くのソースから提供されているというサプライ チェーンの脅威を慎重に考慮する必要があることが浮き彫りになりました。重要な IT インフラストラクチャがオープン ソース プラットフォームで実行されていることを考えると、意図的に埋め込まれた脆弱性によってこれらのシステムが侵害される可能性は、常に念頭に置くべきリスクです。
我々は以前、AI モデルのトレーニングにおけるバックドアの脆弱性について書き、そのような方法は、著作権侵害の通知を提供するために、ニヒラルティケル (作品内の意図的な虚偽) に似た方法で潜在的に使用される可能性があることを示唆しました (これについては、こちらの以前の記事で詳しく読んでください)。もちろん、同じトレーニング手法を使用して、AI モデルに脆弱性を生み出すこともできます。このような AI バックドアの脅威における最大の課題の 1 つは、ある時点でモデルが侵入不可能なブラック ボックスになる状況で、脅威の存在を検出する能力 (または、より可能性が高いのは、検出できないこと) です。Linux 開発コミュニティで発生したのと同様の方法で AI のコンテキストでバックドアを検出することは、(特に) トレーニング プロセスに関する広範な監査情報がなければ非現実的かもしれません。
このような脅威を検出するのは簡単なことではありません。最終的には、このケースでは開発コミュニティの透明性と、おそらくは異常なリソース使用を検出できた幸運が脆弱性の発見につながりました。したがって、開発プロセスに関する透明性とソフトウェア開発を監査する能力は、あらゆる緩和戦略の重要な要素です。したがって、開発環境、特に情報へのアクセスに関する法的枠組みに重点を置く必要があります。考慮すべき事項には次のようなものがあります。
開発コードおよび潜在的な脅威アクターの活動にアクセスして監査する機能。
情報に対する契約上の権利(信頼できるサードパーティのサプライヤーなど)、特にシステム環境に特注のソフトウェアを導入する場合。
開発プロセス全体にわたって明確で堅牢かつ文書化されたプロセス(ソフトウェアのコミットの承認など)と、開発環境内での信頼関係の検証。
たとえ関連情報にアクセスできたとしても、こうした種類の脅威の存在を検出するには開発コストが法外に高くなる可能性があり、あるいは複雑で巧妙に隠された脅威を明らかにするのに効果が薄いかもしれない。少なくとも AI の文脈では、AI モデルのトレーニングを監査する能力は、高リスク環境における新興 AI 技術に対する政府の対応の重要な要素となっており、オーストラリアと米国の両国は AI 技術の透明性と説明責任を強調するプロトコルを開発している。
これは、コリン・ビガーズ&ペイズリーが一般情報提供のみを目的として発行した解説です。特定のアドバイスとして依拠すべきではありません。質問、特定の状況や提案については、最終決定を下す前に、ご自身の法律およびその他のアドバイスを求める必要があります。内容は変更されることもあります。記載されている人物は、すべての州および地域で弁護士として認められているわけではありません。© コリン・ビガーズ&ペイズリー、オーストラリア 2024。
デジタルガバナンス、サイバー、プライバシー
この号では、オーストラリアおよび世界各地の最新のデジタルガバナンスに関するニュース*と動向を定期的にまとめています。
– 人工知能技術の安全で責任ある使用を促進するために学校が考慮すべきことは何でしょうか? この記事では、学校で生成 AI を使用するためのフレームワークを準備するためのガイダンスを提供します。
元記事: https://www.cbp.com.au/insights/insights/2024/april/the-insider-threat-cyber-security