イー・ガーディアンのグループ会社であるEGセキュアソリューションズで取締役CTOを務める徳丸浩氏が、サイリーグホールディングス主催の「サイバーセキュリティの現在と未来を考察する」と題した記者説明会にて、2024年のサイバーセキュリティの振り返りと2025年の展望を発表した。
2024年のサイバーセキュリティの振り返り
1. 生成AIによるサイバー攻撃の可能性 未経験者でもランサムウェアが作れる時代か?
生成AIの登場により、攻撃者がAIを利用してマルウェアやランサムウェアを作成する事例が報告されている。実際、2024年に男性が生成AIを使ってランサムウェアを開発し、SNS経由で知人に送信したとされている事件が発生した。
しかし、その完成度には疑問が残るという。ある程度の知識があれば、生成AIを悪用して「ウイルスの一部機能」を生成AIで作成することは比較的容易であるものの、各機能を統合して「ウイルス」として完成させるには、現時点ではプログラミングの知識が必要と考えられるとのことだ。
2. 生成AIで作成したプログラムに潜む脆弱性 脆弱性への対処が課題
既に生成AIは開発の現場で多く利用され、プログラミング効率の向上に活用されている。しかし、常に高品質なコードを生成AIによって得られるわけではない点に注意が必要だという。AIにより生成されたコードには、脆弱性を含むコードが一定割合存在するため、AIが生成したから安全という思い込みは危険だとしている。
3. クレジットカード情報漏洩の動向 ECサイト利用者へのリスク
大手企業が運営するECサイトであっても、クレジットカード情報の漏えいが続いており、フォームジャッキングやフィッシングといった手法が巧妙化しているとのことだ。ECサイト事業者には、マルウェア対策や不正ログイン対策等のセキュリティ強化が急務であり、2025年3月末までに「EMV 3-Dセキュア」の導入が義務化されるとしている。
2025年サイバー脅威予測
1. 生成AIがセキュリティの脅威となる側面はあるが、急激な変化は考えにくい
- マルウェアなどの開発生産性は向上する
- フィッシングなどの文面作成の効率化は可能だが、「AI臭さ」もあるので、人手による添削は必要
- 機械翻訳の活用は元々進んでいるので、その延長でAIの活用は自然な流れ
2024年の段階では、プログラミング知識を持たない者にとって、生成AIを活用しマルウェアを完成状態までもっていくことは、まだまだハードルが高い状況だという。しかし、さらに洗練されたAIツールが登場し、初心者でもより高性能なマルウェアを開発できる可能性があるとのことだ。また、フィッシングメールや偽のウェブサイト作成に生成AIを利用する手法が、ますます高度化すると予想されるという。2024年には「AI臭さ」が残るケースも見られたが、人間が作成したような自然な文章が生成されることで、ユーザーが騙されるリスクが格段に高まるとしている。
2. 生成AIによるプログラム開発は進んでいるが、品質や脆弱性の問題が今後顕在化すると予想
- 外部からは「生成AIのせい」とは判明しづらい
多くの開発現場で、生成AIを活用しプログラミングの効率化が行われているが、その背後にはセキュリティリスクが潜んでいる。特に、生成AIが作成するコードと人間が作成したコードの区別が難しいため、脆弱性の特定や修正が後回しになる可能性が指摘されているという。生成AIによるコード生成は開発を効率化させる一方、その品質やセキュリティを担保するためには、コードを精査し安全性を確保する努力が求められるとのことだ。
3. クレジットカード情報の被害は増減不明だが、被害増加で予想
- 中期的には16桁のカード番号を生で使うことはなくなり、VISAなどが推進するトークン決済が普及
2024年にもクレジットカード情報漏洩が頻発したが、さらに巧妙化したフォームジャッキングやフィッシングが増加すると予測されるという。一方で、EMV 3-Dセキュアやトークン決済といった新しいセキュリティ技術が普及しつつあるため、企業側の対応が進むことで一部の被害は軽減する可能性があるとしている。しかし、対応の遅れた企業は依然としてリスクが高い状態に置かれるとのことだ。
【関連記事】
・EGセキュアソリューションズ、AWS設定監査サービスに「クイック監査」追加 低予算で最低限の監査可能
・イー・ガーディアン、「hinagata」に生成AI機能実装 メール返信業務の生産性30%向上へ
・イー・ガーディアン、「権利侵害・偽コンテンツ対処サポート」提供 依頼から14日以内に結果を通知
