8月初め、米ラスベガスで開催された世界最大のセキュリティハッキング大会「DEF CON CTF 2016」は、これまでとは異なる様相を呈していた。カーネギーメロン大学の研究チーム・フォーオールセキュア(ForAllSecure)が開発した人工知能(AI)システム「メイヘム(Mayhem)」が大会初出場を果たし、世界最高のハッカーチームとハッキングに対するセキュリティーの能力を競ったのだ。
まだ、同大会の結果は決していない。それでも、メイヘムの成績は大会に出場した15個のハッキングチームの中、14位を記録すると予想されている。
メイヘムは、米国防総省傘下の国防高等研究計画局(DARPA)が開催したAIシステム同士のハッキング大会「サイバーグランドチャレンジ(CGC)」で、他の6つのシステムを破り優勝。その優勝者としての威信をかけ、今年のDEF CON CTF 2016に参加し、人間のハッカーと鎬を削った。
メイヘムなどAIシステムは、ハッキング攻撃を自動的に実行する。「CGC」のような大会が生まれ、またコンピュータの自動ハッキング技術が研究される理由は何か。
過去にメイヘムの研究に直接関わった、韓国・KAISTのチャ・サンギル教授は指摘する。
「ハッキングの自動化を研究していると聞くと、ハッカー(攻撃者)を支援する悪質な研究と捉えられがち。しかし、自動化されたハッキングは、(サイバー)攻撃を防御する側面でも意味がある(中略)自動化されたハッキングは“自分”と“敵”をより深く知り、優れた対応策を模索するための試みだ」
チャ教授は、自動化されたハッキング技術の必要性についてまず、現在のシステムなどの脆弱性を探す過程が、個人の能力に依存している現実を挙げる。つまり、大規模な脆弱性を分析する必要がある場合、個人の能力によって成果が左右されることになるのだが、これには限界があるということだ。自動化された分析システムを研究することは、サイバー攻撃が広く普及したこの時代において、国家レベルの要請でもある。
チャ教授は「バグが多すぎる」という点も問題として挙げた。現在、ソフトウェアのバグを修正するスピードよりも、新しいバグが生まれるスピードがはるかに速くなっている。数多くのバグをすべて修正することができない場合、本当に重要なバグ、セキュリティの脆弱性に対応するバグを選んで直す必要がある。自動化されたハッキング技術は、多数のバグを選別して重要な要素をデバッグするという観点からも、重要な意味を持つという。
また自動化されたハッキング技術は、セキュリティの脆弱性に迅速に対応することを可能にするとも。ソフトウェアの配布前、配布後に、いち早く措置を行うことができ、サイバー攻撃に対する防御と、セキュリティ強化を支援することができるという。
「ハッキングの自動化、またAIハッキングおよびセキュリティ技術の研究は、今まさにはじまったと言える。DEF CONでメイヘムが14位の成績を獲得した事実は、世界最高のハッキングチームが参加した大会で出題された問題を、人間の手助けなしに解決したということであり、研究が進んでいることを意味する(中略)今後、人間の直感力など、コンピュータよりも優れた面、また人間よりも優れたコンピュータの力が互いに調和するならば、より良い結果を得ることができるだろう」(チャ教授)