全1928文字

 DX(デジタルトランスフォーメーション)支援などを手掛けるチェンジは2021年7月中に、サイバー攻撃の対象となる脆弱性の悪用リスクをAI(人工知能)で予測するサービスを始める。サイバー攻撃者側の情報を収集・分析し、対策の優先順位を示す点が特徴だ。

 新サービス「セキュリティ健康診断」は将来のサイバー攻撃につながる恐れのある情報を提供する「脅威インテリジェンスサービス」の一種である。米スタートアップのCYR3CON(サイラコン)が開発したサイバー攻撃リスクを数値化する技術「CyRating(サイレーティング)」を使う。CyRathigを基に、悪用されるリスクの高い脆弱性を同定。その概要や解決策を提示する日本語の診断リポートを顧客に月次で提供する。

 CyRatingの特徴は「ディープウェブ」や「ダークウェブ」といった通常の検索エンジンではたどり着けないWebサイトにある情報まで収集・分析する点にある。ディープウェブとはログインを必要とするなど技術的にアクセスを制限するWebサイトで、ダークウェブとは専用の暗号化ソフトなどを使わないとアクセスできないようなWebサイトだ。

CyRatingはダークウェブ上の情報を基に脆弱性の危険度を数値化する
CyRatingはダークウェブ上の情報を基に脆弱性の危険度を数値化する
(出所:チェンジ)
[画像のクリックで拡大表示]

 特にダークウェブはアクセスする際の匿名性が保たれ訪問者の追跡を難しく、サイト自体も匿名性が高い。それゆえサイバー攻撃者が情報交換したり犯罪情報をやり取りしたりする場に使うケースも多い。CYR3CON はCyRatingが備える独自のAIアルゴリズムで、ダークウェブやディープウェブのサイトからサイバー攻撃者がどんな脆弱性に注目し、どう悪用しようとしているのかなどの情報を自動収集し、脆弱性ごとに悪用されるリスクをスコア化する。いわば「闇のトレンド」を自動解析しているとも言える。

過去のサイバー攻撃事件も事前に警告

 スコアは1.00から38.46までの範囲で提示する。ある脆弱性のスコアが38の場合、1の脆弱性の38倍の悪用リスクがあるという意味だ。チェンジの高橋祐一NEW-ITユニットマネジャーは「スコアの精度は高い」と話す。

 これまでスコア20以上の脆弱性は86%が、3以上の脆弱性は63%が実際に悪用されたとするのがその根拠だ。2019年にはスコア20を超えた脆弱性が約3800個あったいう。

 実例を見てみよう。フリマアプリのメルカリが2021年4月に公表した顧客情報流出においては、米Codecov(コードコブ)のテストカバレッジ計測ツール「Codecov」が不正アクセスを受けたことが原因だった。Codecovの脆弱性について、CyRatingは2020年8月から最大値のスコアを示していたという。