AI Meets CTEM: 脆弱性スキャニングの 効率を向上

サイバーセキュリティからヘルスケア、エンターテイメントまで、あらゆる業界にインパクトを与える可能性があるAIは現在最も革新的な技術の1つです。膨大な量のデータを処理し、パターンを明らかにできるため、まったく新しい方法で仕事、問題解決、革新が可能になりました。

このブログではAIによってULTRA REDのようなCTEM（Continuous Threat ExposureManagement）ソリューションを強化する方法を説明します。弊社チームはすでにAIを使って、より迅速に、正確に、アクションに結び付く方法でスキャニングを行っているので、それについてもご紹介します。

AIとCTEMの相性は？

コンテキストベースの結果検証：
誤検出のコントロール

ULTRA REDは1%未満の誤検出率を誇っています。しかし熟練したリンボーダンサーのように、常にさらに低い数値を狙っています。

AIを使ってCTEMプラットフォーム全体でのスキャニング効率と精度の限界を追及している様子をお伝えします。

ユースケース#1：シークレット検出機能の改善 

結果の種類によっては有効性の確定が難しいことがあり、コンテキストや技術情報の確認が必要になります。 

たとえば以下のようなシナリオを想像してください。 

正規表現ベースのシークレット/トークン検出によって、“dbactions.js”ファイル内で“DB_KEY=aVeryRandomLookingValue”という文字列と一致しました。

ここで“aVeryRandomLookingValue”は有効なデータベースキーでしょうか？変数名でしょうか？それはわかりません。  

ULTRA REDにとってはキーとトークンの有効性判断は初めてのことではありません。これまでもこの種の文字列のインパクトを予測するためにいくつもの方法を実装してきました。正規表現や長さのチェック向上、さらにはエントロピーチェックまで行いました。検出した文字列内で予想される「カオス」レベルが典型的なキーやトークンとがっちすることを確認するためのものです。それでも結果はパーフェクトなものではありませんでした。 

しかしAIを活用することで問題が解決でしました。微調整とプロンプト設定を適切に行うことで、フォーマット、意図しているサービス、プロバイダに関係なく、変数名を示す文字列と実際のトークン/キーを確実かつ継続的に区別できたのです。   

ユースケース#2：Boolean-based SQL
インジェクションの検証

AIによる結果検証のシナリオとしてもう1つ考えられるのはboolean-based SQLインジェクションのユースケースです。 

Boolean based SQLインジェクションは、"is the DBMS engine used PostgreSQL?"のようなSQLクエリーの答がtrue/falseのいずれかによって、サーバーレスポンスが違ってくる場合に発生します。この方法で"is the first letter ofthe username 'k'?"のようなクエリーにより、ユーザー名の抽出も試みます。

このような変化はレスポンスコード、レスポンスコンテンツ、コンテンツの長さなどでも予想されます。true/false両方の値がある異なるSQLクエリー（たとえば1+1=2? is 1<0?）では誤検出が発生します。しかし違いはSQLクエリーではなくまったく関連性のない別な理由で発生します。

その場合、スキャナーは"is the first letter ofthe username 'k'?"のようなクエリーに対してtrueを受信したと「思い込む」ため、おそらくランダムな、間違ったユーザー名になってしまいます。

誤検出を回避するためにULTRA REDは各種ツールを備えており、自動的な検証やテストによって偶発的な結果ではないことを確認しています。前述のケースと同様にこれは大きく役立ちましたが、誤検出がゼロになったわけではありませんでした。 

そこで活用したのがAIです。他の方法では不十分な場合にスキャナーの安全策として使用しました。実際のデータベースのユーザー名を正確に特定し、ランダムな文字列と区別して実際のハッカーと同じ方法でインジェクションを検出することができます。

ユースケース#3：WebSocketの脆弱性を
自動的に検出

AIを搭載していないツールにとってWebSocketの脆弱性は課題でした。この種のスキャナーは通常、WebSocketプロトコルのようなリアルタイムで双方向のデータフローを効果的に監視、分析することができなかったからです。一方、AI搭載システムは大量のアプリケーションデータを瞬時に分析し、詳細なパターンの識別、エクスプロイトパスの予測を行うことができます。ご参考までにWebSocketセキュリティに関するトピックを掘り下げたブログも公開しています。 

ユースケース#4：IDORの脆弱性検出を強化

AIを統合するまで従来のスキャナーは正規表現ベースのマッチングなど、静的技法への依存度が非常に高かったため、IDOR（Insecure Direct Object References）など、複雑な脆弱性検出の効率が低く、実用性に欠けていました。この種のスキャナーは微妙なユーザーインタラクションやコンテキスト依存の認証チェックを正しくシミュレーションできなかったため、IDOR脆弱性を動的に識別できないという大きな課題に直面していました。 

AIはIDOR脆弱性の不正アクセスシナリオを自動的に検出し、防御を担当するセキュリティチームがプロアクティブな脅威エクスポージャ管理で優位性を確保できるようにします。

AIベースの強化機能を近日
追加予定

AIで脅威インテリジェンスからPoCを作成 

リアルタイムの脅威インテリジェンスと高度なAIモデルを組み合わせることで、ULTRA REDはゼロディ脆弱性の検出を一歩前進させます。ハッカーによるディスカッション、エクスプロイトのPoC（proofs-of-concept）、その他インテリジェンスソースを分析する弊社のAIドリブンアプローチで、新たな脅威を早期に検出することができます。このようなプロアクティブな検出により迅速に対応し、脆弱性のエクスプロイトが拡大する前にリスクを回避することができます。   

複雑なシステム用にファジーリストを作成 

ULTRA REDは現在、IIS Shortname InformationDisclosureに対応しており、 短縮ファイル名に含まれている欠落文字を推測するプロセスの自動化と最適化を行っています。従来の列挙型攻撃はショート名の推測にブルートフォース技法を使用しています。

AIを使えばこれを一歩前進させることができます。事前に設定された限定的な推測リストを使用する代わりに、AIモデルはサーバーからの微妙なレスポンスパターン（たとえばタイミングバリエーションやHTTPの挙動）を分析し、過去のデータから学んだパターンを基に可能性の高いファイル名を予測します。

さらに魅力的なのはワードリストを動的かつリアルタイムに定義しなおすことができる点です。継続的なスキャン結果に基づき変更することで、AIは可能性の高いインプットを優先し、検出の速度や精度を大幅に向上することができます。これにより手作業が減り、脆弱なIISサーバー上にある機密ファイルを検出できる可能性が高くなるため、エクスプロイトプロセスがスピーディでスマートになり、効果が高まります。

AIが担うCTEMの未来 

AIはULTRA REDのCTEM機能を再定義するために不可欠なツールになり、脆弱性スキャニングの精度と効率をさらに向上できるようになりました。シークレット検出における誤検出率低下から複雑なWeb Socket攻撃シナリオの検証まで、AIドリブンの機能強化によってアクションに結び付く信頼性の高いセキュリティインサイトを提供することができます。

引き続きAIと弊社スキャナーの統合を進めることで、ファジーリストの動的な調整、複雑な攻撃シナリオと結果検証といった従来のスキャニング方法では対応できなかった分野にAIを活用するなど、新たな領域の開拓を模索しています。インテリジェントな自動化とコンテキストベースの分析によって攻撃者より先回りすることで、企業や組織が最新かつ貴重な脆弱性ステータス情報を確実に入手できるようにします。

サイバーセキュリティの未来を担うAI。ULTRA REDはこの進化をリードする所存です。今後も高度なAI機能でCTEMプラットフォームを強化し、随時お伝えいたします。