Mythos: Time to Rewrite the Entire Cybersecurity Model

‍

Anthropic社の『Claude Mythos』プレビューは、既に破綻しているサイバーセキュリティモデルにとどめを刺す決定的な一撃だ。主要なオペレーティングシステムすべてにおいて数千もの重大なゼロデイ脆弱性を発見したため、公開するには危険すぎるという最初の発表だけでも衝撃的だったが、今度はそのモデルがすでに許可されていないユーザーに漏洩していたことが明らかになった。サイバーセキュリティに携わる我々にとって、残念ながらこれは時間の問題だと分かっていた。そして、行動を起こす必要性はかつてないほど切迫している。

私たちは皆、一つのことを理解しておくべきだ。これは漸進的な変化ではない。これは我々のサイバーセキュリティモデルの終焉であり、我々はこれまで想像もしていなかったような形で試練に直面することになるだろう。  

サイバー数学はこれまで機能しなかった

この進歩がいかにすべてを破壊したかを理解するために、4週間前に「神話」という言葉が私たちの語彙に加わる以前の世界を振り返ってみましょう。あらゆるオペレーティングシステム、あらゆるソフトウェア、あらゆるネットワーク機器は、数十年前から脆弱性に満ちている。まず最初に問うべきは、「なぜ情報漏洩がもっと多くないのか？」ということだ。

サイバーセキュリティ業界では誰もが同じことを言う。防御側は常に100％正しくなければならないが、攻撃側は一度でも正しければ良いのだ、と。これは防御側にとって非常に不利な状況であり、サイバーセキュリティにおける「数学的な問題」は常にこれだった。しかし、守備側が試合に踏みとどまることができたのは、攻撃側のスピードが限られていたからだ。攻撃側は数学的に優位に立っているものの、侵害行為の作成と実行は人間の手によって行われ、人間のスピードで行われている。計算上はひどい結果だったかもしれないが、攻撃側と防御側は比較的公平な戦いを繰り広げていた。それは『クトゥルフ神話TRPG』で終わった。

Mythos（および今後登場するモデル）は、現在のサイバーセキュリティモデルを終わらせる。

脆弱性を発見し、機械の速度でエクスプロイトを作成すれば、すべてが破壊される。これは全く新しい攻撃運用モデルであり、防御のための機械速度モデルは存在しない。攻撃側が機械並みのスピードで動き、防御側が人間のスピードで動くとき、我々は試合に負けるのではなく、試合終了となる。以下に3つの簡単な例を示します。

• パッチ適用 。ノートパソコンやサーバーのパッチ適用には、数日、数週間、あるいは数ヶ月かかることも少なくない。時には、それは決して起こらないこともある。運が良ければ、人間のスピードでパッチを適用する。脆弱性を発見し、エクスプロイトを作成するモデルがパッチも作成するとしても、どうすればすべてをマシンの速度でパッチ適用できるのでしょうか？
• プロセス。企業は製品のテストや調達に関して、何を購入するかを決定するだけでも数ヶ月かかるような、複雑なプロセスを設けている。攻撃者は、企業が新しいツールを導入するまで何ヶ月も何年も待つことはないだろう。
• サプライチェーン。私たちはサプライチェーンについて絶えず議論していますが、AIの夢を実現するための原動力となるのは、電力、データセンター、そしてGPUなのです。それらすべてを接続するネットワーク機器やファイアウォールについてはどうでしょうか？全世界がインフラのあらゆる欠陥を解消するために、史上最大規模のハードウェア刷新を実施する必要が生じた場合、一体何が起こるだろうか？現在の制約に基づいて、数年（あるいは数十年）単位で考えてください。

AI時代の攻撃者は、これまで私たちが想定したり目にしたりしたことのないような、非対称的な優位性を持っている。時折パッチを適用し、脅威を境界外に留めておくことに依存するセキュリティ戦略は、大惨事を招くものであり、それを変更する時間はほとんど残されていない。

Mythosは、AIが世界が欠陥を修正・修復するよりも速く、欠陥を発見し、それを兵器化できることを示す最初の事例に過ぎない。Mythos、そして今後登場するモデルによって、明白な事実を無視することはもはや不可能になった。つまり、多くの組織が頼りにしている欠陥のあるセキュリティモデルでは、AIの世界において私たちを安全に保つことはできないということだ。

サイバーには新たな使命がある

サイバーセキュリティ業界は何十年にもわたり、予防策の推進、販売、最適化に取り組んできた。予防策は、ある程度効果があり、今後も効果を発揮し続けるだろう。しかし、もしそれが常にうまく機能するなら、情報漏洩は決して起こらないだろう。

『ミトス』は、どんなに古くても、どんなに知られていなくても、どんなに深く埋もれていても、永遠に隠されたままではいられない脆弱性など存在しないことを証明している。何も隠せない世界では、あらゆるものが搾取される可能性があり、そして最終的には必ず搾取されるだろう。あらゆる組織は、侵害が発生することを想定しなければならない。脆弱性が発見された直後に悪用される攻撃が現れると、システムへのリスクは劇的に増大する。ここでサイバーセキュリティはついに新たな使命を得る。それは、レジリエンス（回復力）である。

AIは、攻撃者が何を発見できるか、そしてそれをどれだけ迅速に兵器化できるかを加速させる。しかし、それは全ての攻撃成功の根本的なパターンを変えるものではない。攻撃者は内部に侵入し、最初の足がかりから、より重要なものへと移動していく。その際、我々自身のインフラとネットワークを利用する。私たちが通信や業務を行うことを可能にするネットワークは、攻撃者が身を隠し、移動し、最終的には私たちの最重要資産を侵害することを可能にするネットワークでもある。

Y2K問題が世界的な動きと、すべてのシステムを更新する義務を生み出したのと同様に、今こそサイバーレジリエンスを高めるための「マンハッタン計画」が必要なのです。ネットワークの可観測性とセグメンテーションにより、侵害の発生源を特定し、制御し、その影響範囲を限定することが可能になります。AI時代において、回復力は生き残るための鍵となる。

Mythosが登場する以前は、新たな脅威について知るのは、実際に攻撃を受けてからだった。しかし今、私たちは未来への窓を開いた。この機会を無駄にしてはならない。世界を修復し、あらゆる活動にサイバーレジリエンスを組み込むための計画を策定するには、テクノロジー、サイバーセキュリティ、そして政府における最高の頭脳を結集させる必要がある。

私たちが知る世界の安定はそれに懸かっており、どれだけ速く進んでも足りない。全てを止めることはできないかもしれないが、今から始めればどんな困難にも立ち向かえる。

私たちを読む 神話に関するファクトシート 攻撃者がどのような脆弱性を悪用しようとも、Illumio Segmentationが横方向の移動をどのように抑制するかを学ぶ。