ホーム > mixiニュース > IT・インターネット > IT総合 > 大量のbotが作った「架空の交通渋滞」 イスラエルで起きたハッキングと人間の「反脆弱性」

大量のbotが作った「架空の交通渋滞」 イスラエルで起きたハッキングと人間の「反脆弱性」

0

2019年08月05日 07:12  ITmedia NEWS

  • チェックする
  • つぶやく
  • 日記を書く

ITmedia NEWS

写真写真

 今回は、2014年にイスラエルのカーナビアプリ「Waze」(ウェイズ)がハッキングされた例を基に、AIとサイバーセキュリティの関係について考えてみたいと思います。



【その他の画像】



●大量のbotが作った「架空の交通渋滞」



 Wazeは、イスラエルのベンチャー企業Waze Mobileが開発したカーナビアプリで、13年に米Googleが買収したことでも話題になりました。位置情報(GPS)を活用しており、クラウドを介して利用者同士でリアルタイムに渋滞状況を共有できるのが特徴です。



 Wazeは、利用者のスマートフォンから位置情報を取得してクルマごとの経路や走行速度を把握し、道路・交通状況を推測しています。また、利用者は交通事故や障害物、スピード違反の取り締まり、ガソリン価格などの情報もシェアできるので、交通量の多い都市では非常に便利なサービスといえるでしょう。



 このようなサービスは、サイバーセキュリティの視点でどのような問題をはらんでいるのでしょうか。2014年に、テクニオン・イスラエル工科大学の研究グループが興味深い実験をしました。



 研究グループの学生たちは、プログラムを書いて一種の靴下人形(ソック・パペット)を量産しました。靴下人形とは、文字通り靴下で作った人形のことで、手を入れて口を動かすことであたかも人形がしゃべっているかのように見せられます。インターネットでは靴下人形は自作自演、つまり不正な多重アカウントなどを指すことが多いです。SNS上でも大量の靴下人形が散見されることでしょう。



 Wazeアプリ上で大量のbotが出回った結果、偽の交通情報がネットワーク上を駆け巡り、架空の交通渋滞が作られてしまいました。利用者は架空の交通渋滞を避けるために進路を変更するので、また別のルートでも渋滞が引き起こされたそうです。



 このハッキングはあくまで研究グループが実験として行ったものですが、もし悪意のあるサイバー犯罪者が同様の攻撃を仕掛けてくれば、街の交通網をマヒさせることだってできるはずです。



 この事件は「画面の中にある情報を信じてしまう」という人間の傾向とセットで語られることがあります。筆者はSNSを使っているときに、「この投稿は本当に人間が行っているのだろうか」(もしかしたらbotかもしれない)と思うことがしばしばあります。画面の向こうに人間がいるのか、人間だとすればその相手は悪意を持っているのか、画面に表示された情報だけでは分かりません。



 カーナビアプリにも同じように疑いの目を向けることはできますが、現実問題としていちいち疑っていてはキリがありません。大量の情報が世の中にあふれる中で効率的に行動しようと思うと、画面に表示されたデータを信じるのは仕方がないことともいえます。



●機械にはない人間の「反脆弱性」



 人間にはコンピュータが示す情報をうのみにしてしまう脆弱性(ぜいじゃくせい)がある一方で、論理で全てを説明できない人間だからこそ持ちうる「反脆弱性」もあります。



 反脆弱性は、金融トレーダーや研究者などの顔を持つナシム・ニコラス・タレブが著書「反脆弱性 不確実な世界を生き延びる唯一の考え方」で提唱した概念です。不確実性やリスクに弱いという意味を持つ「脆弱」の反対で、不確実性などを利用して得に変えるという意味があります。



 リスクを得に変えるとは、どういう意味でしょうか。Wazeのような交通渋滞を知らせるアプリを例に考えてみたいと思います。



 いま、あなたは目的地に行くために、ルートAを通るかルートBを通るかで迷っており、カーナビアプリで渋滞情報をチェックしました。アプリでは「ルートAが渋滞している」と表示されています。



 それならルートBに向かえばいいと思いますが、同じ情報を見ている多くのアプリ利用者も同じようにルートBに進路を変える可能性があります。仮に全員がルートBに向かうと、今度はそちらが混雑してしまいます。そんな中であえてルートAに行くドライバーがいないと、「ルートAの混雑が解消されている」という情報も上書きされません。



 先ほど、人間には画面の中の情報を信じ込んでしまう脆弱性があるといいました。混雑しているかもしれないルートAをあえて選び、結果的にすいている道にたどりついたドライバーは反脆弱性がある、といえるでしょう。



 このドライバーを私たちはどう解釈すればいいのでしょうか。諸事情によりジョーカーを引かされた運の悪い人ともいえますし、大勢とは違う振る舞いをする黒い羊(裏切りモノ)と解釈する人もいるかもしれません。



 例えば「人類のために最初に毒キノコを食べた人間」は「このキノコは食べられない」と皆に知らしめたことになります。少し大げさですが、最初に毒キノコを食べた人は偉大なリスクテイカーであり「英雄」であるといえるかもしれません。ドライバーについても同じような解釈ができそうです。



 いずれにせよ、このドライバーは希少な経験をネットワークに提供したことになります。アプリの情報を信じてルートBを選んだ大勢の人たちは「毎回少しずつ得をしている」わけですが、彼らは渋滞の中にいます。セキュリティの文脈でいえば、突然何かのインシデントに巻き込まれる可能性がある人たちなのです。この問題はリスク移転や外部性の点でよく話題になります。



●AIは「悪意」を認識できない



 セキュリティの世界では、「infection」(空気感染)と「contagion」(接触感染)といった言葉を使うことがあります。カーナビアプリの例でも分かるように、靴下人形は心と感情を持った人間をcontagionするものと捉えることができます。靴下人形は心のある人間をcontagionすることを目的としていますが、その場合、靴下人形自体は人間の心や意識が、どこにあるのかを知る必要はありません。



 靴下人形を作成することを、靴下人形芝居(ソック・パペットリ)と呼ぶことがあります。クローリングやプログラミングを駆使して、“botの軍団”を自動作成しますが、その規模はさまざまです。



 ジャーナリズムコミュニティサイトの英Contributoriaによると11年、ハッカー集団Anonymousを名乗る活動家のハッキングにより、米軍が「メタルギア」という靴下人形系のソフトウェアを使い、偽のTwitterアカウントを管理していたことが分かったそうです。これは、人間50人が500個のアカウントを管理するものでした。



 規模が大きいものでは、選挙戦で利用される靴下人形があります。同記事によると、ロシア、韓国、オーストラリアの選挙戦で靴下人形が利用されたようです。



 一般に、選挙戦の情報操作などは心理戦(サイオプ)と呼ばれます。サイオプは、人の心理などを突いて重要な情報を引き出すソーシャルエンジニアリングの適用分野ですが、靴下人形を使うことも多いようです。筆者が独自に調べる中で、「50人の米国在住の人形師」の存在がいくつかの事例に出てきているので、今後機会があれば記事で紹介したいと思います。



 米Facebookは19年5月、30億件を超える偽アカウントを2018年10月〜2019年3月にかけて削除したと発表しました。それだけ多くの偽アカウントがあることは、かなり衝撃的ではないでしょうか。



 靴下人形は自動化によるコスト低減という観点からは、攻撃側にとっては投資収益率の高い手法、防御側にとっては指数関数的な戦力投射ができる手法ということになります。



 最近は、ディープラーニングを始めとしたAIが劇的な発展を遂げています。AIとそれを使うわれわれからみれば、人間の振る舞いとそれによって発生するデータこそが重要であり、誤解を恐れずに言うと、実際に人間がどのような意識でそれを行っているのかは重要ではなく、またそれを知ることは非常に難しいのです。



 AIは悪意を認識できない、というのは最近のサイバーセキュリティのホットトピックです。AIは振る舞いとして定義された「攻撃」の検出はできますが、悪意があるかどうかを検知するのは難しい(悪意を知らない)のです。警察官は犯罪者を攻撃しますが、そこにはサイバーセキュリティの視点で語られる「悪意」は存在しないでしょう。



 そこでポイントになるのが、先述した人間の反脆弱性です。ロジックで動くAIの脆弱性をカバーするには、意識や感情を持つ人間の力が必要なのです。


    あなたにおすすめ

    ランキングIT・インターネット

    前日のランキングへ

    ニュース設定