「悪意あるAIツール」による
サイバー攻撃の増加
サイバー攻撃にAI技術を悪用した事例は最近急増している。特に2024年以降、生成AI(ChatGPTのような大規模言語モデルなど)を用いた攻撃が国内外で顕著化した。AIが攻撃者の能力を底上げし、これまで以上に巧妙かつ大規模な攻撃を可能にしていることが背景にある。
正規の生成AIサービスには不正利用防止の制限があるのだが、犯罪者が集まる“陰のサイト”ともいうべきダークウェブ上では、防止装置を外した独自AIが流通し、マルウェアのコード生成やフィッシング文面の自動作成に悪用されている。
結果として、サイバー攻撃の低コスト化・効率化が進み、従来は高度な技能が必要だったマルウェア開発や標的調査が半自動化し、技術水準の低い人間でも高度な攻撃を実行できる環境が整ってしまっている。ランサムウェアのサービス化(Ransomware as a Service:RaaS)の普及と相まって、実行者の裾野が広がった点も注目に値する。
生成AIの悪用拡大により、サイバー攻撃は質・量ともに一段と高度化した。典型はフィッシングメールの進化である。以前は不自然さで見抜けた日本語メールが、生成AIによって自然な文体・語彙・文脈整合性を備えた“業務連絡風”に仕上がる。公開情報をAIで解析し、個人名や取引情報を織り込んだ精密な文面を自動生成することも可能で、攻撃者の偽装力が飛躍的に高まっている。
マルウェア開発ではコード生成・改変がAIで高度化・高速化し、防御側の検知をかいくぐるケースが増えている。侵入後も大量データから価値の高い情報をAIで選別し、二重恐喝の材料を短時間で整える動きが見られる。攻撃の全工程にAIが組み込まれ始めたといえる。
生成AIは攻撃のハードルを下げ、偽装力・説得力・回避力を底上げする“増幅器”として機能している。人員・予算で制約がある中小企業は、単独の標的としてもサプライチェーンの入り口としても狙われやすい現実を直視すべきである。
潮流が変わったいま、経営層みずからが「AI時代のサイバーリスク」を前提に方針・体制・投資配分を再設計し、サプライチェーン全体のレジリエンスを底上げする戦略が求められる。
サイバー攻撃が愉快犯的なものであった時代には、「ファイアウォール」「アンチウイルスソフト」や社内ネットワークへの不正な侵入を検知し、管理者に通知する機能を持つIDS(侵入検知システム:Intrusion Detection System)などの「境界型防御」といった対策によって、防御側はある程度攻撃を防ぐことができていた。
しかし、サイバー攻撃の内容の巧妙化・複雑化し、特定の情報の窃取や業務の停止を狙った経済犯的な攻撃が増加すると、防御側もより高度な対策が必要になってくる。
セキュリティ対策の中身を充実するために、これから何をすべきか?数ある対策のうち、どの施策を実行に移していくか?経営者は、自社の組織特性や事業特性に応じて、どこに優先的に資源を配分するかを判断する必要がある。
本書では、サイバー攻撃の内容の巧妙化・複雑化する中で、日本企業に求められるセキュリティ対策を真正面から取り上げている。セキュリティ対策は決してITに閉じた課題ではなく、経営そのものである。この本を手に取っていただき、ぜひご自身の会社のセキュリティ対策を改めて考えていただきたい。
