中国が開発したAIサイバー攻撃ツールが発見される、IoT機器の詳細な位置やIPアドレスを収集して脆弱なデバイスを探し当てる

セキュリティ研究者のNetAskari氏が「中国のサイバー攻撃用ツールのプロトタイプを発見した」と報告しています。発見されたツールは国外のIoT機器、特に台湾の通信インフラを標的にすることを想定しており、機器の位置や脆弱(ぜいじゃく)なプロトコルを特定する機能まで備えていたとのことです。

The Prototype: A.I. driven cyber offense - NetAskari
https://netaskari.substack.com/p/the-prototype-ai-driven-cyber-offense

NetAskari氏は、アメリカのAmazon CloudFrontから抽出された2.3TBのデータダンプをセキュリティ検索エンジンのCensys経由で発見しました。NetAskari氏がデータダンプの出どころをたどった結果、NGINXサーバーで動作するVue.jsベースのダッシュボードが発見されたとのこと。

ダッシュボードは中国語表記で、インターネットサービスプロバイダやIPアドレス、緯度経度などを含むIoT機器の詳細な情報がリアルタイムに近い形で表示されていました。NetAskari氏によれば、表示されているデバイスは中国国外、特に台湾に集中するIoTデバイスが非常に多かったそうです。

また、ModbusやDNP3といった産業用途でよく使われる通信プロトコルを使用している機器を特定し、それらに脆弱性があるかどうかを示すインジケーターも組み込まれていました。

しかし、NetAskari氏が調査した結果、このダッシュボードは起動時に一度だけAPIを通じて静的なデータを一度取得した後は、それを繰り返し表示しているだけであることが判明しました。つまり、あたかもリアルタイム表示をしているように見せているものの、このダッシュボードは事前に用意されたデータセットの内容を表示しているだけだったというわけです。それでも、表示されていたIPアドレスの一部は実際に稼働中のIoTデバイスのものであり、データが完全なフェイクではないこともわかりました。

さらに分析を進めたNetAskari氏は、ダッシュボードのユーザーインターフェースの挙動から、ダッシュボードの隠しメニューや詳細な設計情報にアクセスすることに成功。

隠しメニューでは、IoT デバイスからデータを取得して処理するワークフローを説明するスライドが閲覧できたことが報告されています。このワークフロー内では機械学習に言及されており、AIによってターゲットを特定して情報収集する方法が示されていました。

また、別のスライドでは「デバイスへの侵入に成功した後、システムがターゲットリストを更新する方法」や「ランドマークデバイスを使ってIoTデバイスの物理的な位置を正確に特定する方法」が説明されていました。このことから、このツールが外部からのスキャンだけを目的としているのではなく、ターゲットのネットインフラに侵入してさらに深く掘り下げ、より脆弱なデバイスを移動しながら特定する計画があることも明らかになりました。

一見単なるデモに見えたダッシュボードに、実は本格的な設計と情報処理の構造が備わっていたことが判明し、NetAskari氏はダッシュボードが単なる見せかけではなく、実際に運用可能なツールのプロトタイプであるとの結論に至っています。

また、NetAskari氏は、このダッシュボードは単なる趣味や個人の実験によるものではなく、高度な大学研究プロジェクトか国家主導のサイバー作戦の一環として開発された本格的な攻撃用ツールの試作機である可能性が高いと結論づけています。そして、中国の攻撃的サイバー能力が急速に進化していることに触れ、今後のサイバー戦争や情報収集活動においてAIや機械学習が重要な役割を果たすだろうと警鐘を鳴らしました。