Security Online Day 2025 秋の陣レポート（AD）

AI活用でアタックサーフェスが急拡大……新脅威に打ち勝つ「プロアクティブセキュリティ」実現の3要素

ディープフェイク詐欺で約38億円の被害報告も　最新の脅威動向と、先を見据えた対策の重要性を解説

2025/10/03 10:00

通知

　生成AIの急速な普及により、サイバー攻撃の手法が劇的に進化している。攻撃者は生成AIを悪用して高精度なフィッシングメールを生成するほか、ディープフェイク技術で重役になりすまして機密情報を騙し取る事例も出ており、従来の防御手法では対応困難な新たな脅威が顕在化した。この危機的状況に対してトレンドマイクロは、攻撃を受ける前にリスクを可視化・軽減する「プロアクティブセキュリティ」を提唱。「Security Online Day 2025 秋の陣」に登壇した同社岡本詩織氏は、具体的な攻撃事例から最新の対策技術までを紹介しながら、AI時代に適応した包括的な防御戦略について解説した。

通知

攻撃者もAIを使って業務を“効率化”　判別困難な攻撃の急増

　岡本氏はまず、近年のAIがもたらすサイバー攻撃の変化について紹介した。AIは医療、産業、漁業など幅広い分野で業務効率化に貢献している一方で、その恩恵は攻撃者にも及び、既にサイバー攻撃に悪用され始めている。

　なかでも顕著な変化が見られる手口が、フィッシング攻撃だ。従来のフィッシングメールは、スペルミスや文法の誤り、送信元が無料メールサービスであるといった“稚拙な”特徴により、セキュリティ教育を受けた者であれば容易に識別可能だった。しかし現在、生成AIを活用することで攻撃者は違和感のない高品質な文面を短時間で作成できるようになっている。

　「AIの悪用によりフィッシング攻撃の成功率は向上し、同時にその攻撃プロセスも効率化され始めている」と岡本氏は続ける。攻撃成功率の面では、従来の文法ミスや不自然な表現が大幅に改善された。生成AIが作成する「ミスの少ない正確な文章」により、セキュリティ教育を受けた者でも見破ることが困難になっている。その攻撃プロセスにおいても、SNSからターゲットに関する情報収集、メール文面作成の自動化によって“個別最適化された”攻撃を大量かつ効率的に行えるようになった。

生成AIの活用により、違和感のない文章を作成・翻訳できる（クリックすると拡大します）

　実際に同氏が講演中にデモンストレーションで示した事例では、生成AIを使って英語のフィッシングメールを日本語に翻訳し、「IT部門からの緊急のセキュリティ通知」としてパスワード変更を促す極めて自然な文面を生成。この文面は、一般的なビジネスメールと見分けが付かないレベルの完成度になっており、従来のような「文章の違和感によるフィッシングメールの判別」が困難になっている。

　さらに、攻撃者はAIを活用してビジネスSNSから標的となる個人の詳細情報を自動収集するコードなども生成しているという。収集した情報を基に、個人に特化したフィッシングメールを大量生産しているのだ。

　「攻撃者も、皆さんと同じように業務効率化の文脈でAIを活用しています。これにより、攻撃の自動化と高速化が急速に進んでいるのです」（岡本氏）

香港企業では約38億円の損害も……ディープフェイク詐欺の脅威

　AI技術の悪用でより衝撃的な攻撃が、「フェイススワップ（顔を入れ替えて人を騙す手法）」を悪用したディープフェイクだ。岡本氏は、実際の攻撃手順をデモンストレーションも交えて解説しながら、その巧妙さと危険性を実証した。

　攻撃者が事業部長になりすまして部下から機密情報を騙し取る、という攻撃シナリオを例に詳しく見ていこう。まず攻撃者は、LinkedInなどのSNSでなりすまし対象となる事業部長の経歴や部下関係を調査する。次に、動画サイトなど公開されている事業部長の動画から顔の動きや表情を学習させ、ディープフェイクモデルを構築する。

　デモンストレーションでは、実際のビデオ通話での情報窃取の様子が示された。攻撃者の顔がリアルタイムで事業部長の顔と入れ替わり、ビデオ会議で部下に「対面会議中でWi-Fiに接続できないため、新製品のエンジニアリング仕様を至急送ってほしい」と依頼する。部下はまったく疑うことなく、機密情報の送信を了承した。

攻撃者が上司になりすまし、部下から情報を窃取する様子が示された（クリックすると拡大します）

　「フィッシングメールであれば文面などで違和感に気づけるかもしれませんが、リアルタイムで話しているビデオ会議の場合はまさかこれが詐欺であるとは気づきにくく、一定のセキュリティリテラシーを持っている方でも被害に遭ってしまう場合があります」（岡本氏）

　実際、世界各国でディープフェイク詐欺の深刻な被害が発生している。香港のグローバル企業では、約38億円にのぼる詐欺被害が報告されているほか、著名人を騙る偽動画による暗号通貨詐欺、広告代理店のCEOを騙るビデオ会議で金銭と個人情報を要求するといった事例も確認されている。

　こうした手法は今後日本国内でも同様の被害が発生する可能性が高く、従来のセキュリティ対策では対応が困難な新たな脅威として警戒が必要だ。

企業のセキュリティ部門が運用するツールは平均40個、根深い“ツール管理複雑化”の課題

　攻撃者の悪用事例も報告される一方、企業でのAI活用も加速している。生成AIをはじめとしたデジタル活用の拡大によって、企業のアタックサーフェス（攻撃対象領域）は爆発的に拡大している。従来のレガシー環境中心の攻撃対象から、生成AIとAIOps、クラウドネイティブアプリケーション、IT/OT環境統合、SaaSアプリの急増、ソフトウェアサプライチェーン、さらには人的要因まで、攻撃者にとっての機会が多層構造で無数に存在している。

　岡本氏は、アタックサーフェスの拡大にともない企業が直面している問題を3つの数値で示した。まず1つ目が、世界の75％の組織が年1回以上ランサムウェア攻撃を受けているということ。2つ目は、サイバー攻撃の被害にあった組織の70％が、未管理の状態でインターネットに公開している資産が侵害の原因となっていることだ。3つ目は、トレンドマイクロが対応したインシデントの52％がフィッシング起因だったことである。

トレンドマイクロ株式会社プラットフォームイネーブルメント部プラットフォームマーケティンググループ岡本詩織氏

　これらの現実における根本的な問題は、「見えない資産は守れない」ことにある。多くのセキュリティ部門では、セキュリティを中心に多くのツール（CASB、IPS、ファイアウォール、EDR、EPP、各種クラウドアプリ、認証システムなど）を使用している。その数は、平均して40個にものぼるという。これにより、“ツール管理の複雑化”という新たな課題が生じてしまい、解決の糸口が見えないと悩んでいる方も多いのではないだろうか。

　上記に加え、人材不足の加速も深刻な問題だ。一説によると、日本のセキュリティ人材は2023年時点で約11万人が不足しており、需要と供給のギャップは拡大の一途をたどっている。

　多数のツールを駆使したセキュリティ分析・運用は、人材不足の問題を考えると非現実的といえる。この課題に対し、岡本氏は従来のリアクティブ（攻撃後対応）中心の対策から、プロアクティブ（攻撃前対策）中心の対策にも注目する必要性を説いた。

　現在のセキュリティ投資配分を分析すると、根本的な問題が浮き彫りになってくる。防御（35～40％）、検知（25～30％）、対応（15～20％）といったリアクティブな対策に70～90％の投資が集中している一方で、攻撃を受ける前にリスクを特定・軽減する予測領域への投資は5～10％と極めて少ない。

　「どこから攻撃されるのか、どんな経路で攻撃者が入ってくるのかを予測し、攻撃を受ける前に潰し込む“プロアクティブ”な対策をとることで、万が一に備えるリアクティブな対策を効率化することができます。この視点が、意外と欠けてしまっているのではないでしょうか」（岡本氏）

プロアクティブセキュリティを実現するための3要素とは？

　では、プロアクティブセキュリティを実現するためにはどのようなアクションが求められるのか。岡本氏は、「プロアクティブセキュリティは3つの要素で構成される」と説明する。詳細は以下のとおり。

リスク可視化：セキュリティの死角である見えない資産を可視化すること
リスク優先度付け：注力すべきリスクを優先的に対処すること
リスク軽減：セキュリティリスクを低減し、ビジネスを加速すること

　また、プロアクティブセキュリティの実現には、統合的なリスク管理プラットフォームが不可欠だ。トレンドマイクロの「Trend Vision One Cyber Risk Exposure Management」は、こうした課題への解答のひとつとして、組織の多様なサイバーリスクを単一コンソールで管理する。

　先ほどの3つの要素に沿った機能群について詳しく見ていく。リスク可視化機能では、組織内部・外部・クラウド上の資産を可視化・管理する。自社製品のテレメトリとサードパーティツールの連携により組織の資産を可視化し、AIを活用したプロファイリングで資産の抱えるリスクの可視化も実現している。

　リスクの優先度付けに関する機能は、組織への影響度が高いリスクを迅速に特定し、攻撃前、あるいは攻撃の初期段階でセキュリティチームに警告する。たとえば脆弱性では深刻度を示すCVSS（共通脆弱性評価システム）スコアに環境固有の情報を追加し、対応すべき個々の脆弱性（CVE：共通脆弱性識別子）を組織にとっての実際のリスクレベルで優先度付けする。さらに、脆弱性以外のリスクも含めて、組織にとって今一番危険なリスクは何か、優先度をつけていく。

　また、攻撃経路を予測する機能も提供している。組織内の個別リスクを相関分析により関連付け、攻撃者の視点から侵入口→権限昇格→横展開→最終標的までの攻撃経路をAIで可視化する。管理画面では、攻撃者にとって侵入しやすいポイントから最終標的までの、体系的な攻撃経路マップが表示される。複数経路が存在する場合もリスク値でスコアリングして優先順位を明示するため、効率的な対策判断が可能だ。

　リスク軽減に関する機能では、組織に合ったリスク対応処理をプレイブックで自動化できる。リスク状態の変化に自動的に対応し、脆弱性リスクの増大時には初期侵入被害端末の隔離、危険度の高いアカウントの一時的なアクセス遮断などを実行可能。セキュリティに特化した生成AIの活用により、人材不足の環境でも迅速で効率的な対処を実現するという。

　「これからのセキュリティでは、従来の防御・検知・対処以外にも、時間軸を前倒ししてセキュリティを考え、攻撃を受ける前にリスクを潰し、そもそも攻撃被害に遭わないようにするプロアクティブセキュリティが重要です。トレンドマイクロは、皆さんの企業のプロアクティブセキュリティを実現するために支援いたします」（岡本氏）

日本BS放送は多様なリスクをどのように可視化した？成功事例を紹介

日本BS放送は、「攻撃者側の視点に立ち、組織の脆弱性を見つけ対策する」ことの必要性を感じトレンドマイクロの「Trend Vision One – Cyber Risk Exposure Management（CREM）」を導入。これにより、脆弱性やリスクの可視化に成功したほか、リスク対処の優先順位付けを容易に行えるようになりました。より詳細な導入効果やツールの活用方法などは、こちらのページで紹介されています。

この記事は参考になりましたか？