人材は「天下の回りもの」NICT園田氏が語る、生成AI時代のセキュリティ人材育成で企業が見るべき視点

“悪のXaaS”で増加・高度化が続くサイバー攻撃

　サイバー犯罪による被害が、世界的に増加の一途をたどっている。2015年に約3兆ドルだった被害額は、2025年には約10.5兆ドルに達すると予測されているほどだ^[1]。これは日本も例外ではなく、インターネットバンキングにおける不正送金被害は2023年に約87.3億円に上り、クレジットカードの不正利用被害も過去最多を記録するなど、高水準で推移している^[2]。ランサムウェア攻撃も後を絶たず、2023年には197件の被害が発生した。

　なぜ、これほどまでにサイバー攻撃が多いのか。その理由は単純明快であり、「儲かる」ビジネスだからだ。その背景には、「攻撃者間で“悪のXaaS”による強固なビジネスモデルが確立されたことが大きい」と園田氏は指摘する。

　「たとえば、マルウェアをサービスとして提供する『Malware as a Service』、ランサムウェアをサービスとして提供する『Ransomware as a Service』、DDoS攻撃をサービスとして提供する『DDoS as a Service』などがあります。これらのサービスを利用することで、攻撃者はサイバー攻撃の技術的な部分をサービス提供側に任せ、自身は攻撃対象に関する情報収集や分析に注力できるようになり、結果として攻撃の質が飛躍的に向上しています」（園田氏）

　そのほか、サービス提供側はサブスクリプションによって得た収入を、サービスの品質向上や新規開発などに投資しているという。結果として、攻撃の高度化と多様化が進むという悪循環が生まれている。

　そして、この状況にさらに拍車をかけたのが、コロナ禍で加速したDX推進の流れだ。特にECサイトは急速に普及しており、2023年の日本国内のBtoC-EC市場規模は24兆円を超えた^[3]。Webサイトは、単なる情報発信媒体から物販やサービスなどを提供するプラットフォームへと変化し、その結果としてシステム要件が格段に複雑化。複雑なシステムには必然的にバグや脆弱性が生じやすくなり、攻撃者にとっては狙いどころが増加している。

　こういったシステムやサービスの複雑化は「空前の脆弱性ブーム」とも呼ぶべき状況を生み出しているという。脆弱性情報のデータベースであるCVE（Common Vulnerabilities and Exposures）の年間登録件数は2024年に初めて4万件を突破し、7年連続で過去最多を更新した。「サイバー攻撃が絶えない根本的な原因は、システムの脆弱性が増え続けていることにある」と園田氏。脆弱性を減らすことは社会全体にとって急務であり、それが実現されない限り、サイバー攻撃を減らすのは難しいだろうと語った。