英国NCSCが調査結果を公開

本調査では、AI活用による能力向上の程度を攻撃者の能力毎に整理しており、低スキルの攻撃者はAIを活用することで偵察能力やフィッシング能力を著しく高めるとされます。例えば、企業情報や役員情報等、攻撃に利活用できる情報を効率的に収集できるようになるため、文法や内容に違和感が無い「自然な」フィッシングメールも容易に作成できてしまいます。また、AIがサイバー攻撃に活用されることで、サイバー攻撃への参入障壁が低下し、初心者ハッカーやハクティビスト（注1）達の自己満足や自己主張の手段として気軽にサイバー攻撃が行われてしまう可能性が危惧されます。NCSCは低スキルの攻撃者によるランサムウェア攻撃が増加する可能性について警鐘を鳴らしており（注2）、基本的な対策が進んでいない企業が標的となるリスクが高まっています。

また、既存の攻撃技術とAIを組み合わせることで、より効率的な脆弱性の分析やマルウェアの開発、侵入後のラテラルムーブメント（注3）が可能となります。これらの用途へのAIの活用は既存の攻撃技術とAI活用の両方で高いスキルが求められ、現時点では活用は限定的とされます。一方、攻撃能力の向上や、AIを活用した汎用的な攻撃ツールの普及は、今後「ほぼ間違いなく」進むと分析されており、動向を注視する必要があります。

世界経済フォーラム・グローバルリスク報告書2024年版では短期的・長期的なリスクの両方にAIに関連したリスクがランクインしています。国内では、情報セキュリティ監査人が2024年注意すべきテーマを挙げた「情報セキュリティ十大トレンド」（注4）の1位に「生成AIの悪用と誤用により増加するセキュリティ事故」が挙がっており、AIの普及によってさらに高まるサイバーリスクは、もはや避けられない経営リスクの一つです。変化が激しいサイバーリスクに対して、場当たり的な対応は限界があり、セキュリティ担当者の疲弊を生みかねません。そのため、経営自らが自社のセキュリティ方針・戦略の策定に積極的に関与し、ビジネス上の目標と自社のセキュリティ目標を合致させた、しなやかなサイバーリスク対応体制の構築が望まれます。

（注1）社会的・政治的な主張を目的としたハッキング活動を行う者。

　

（注3）攻撃者がターゲット企業内に侵入後、感染の範囲を広げることを指す。

　

MS&ADインターリスク総研株式会社発行のESGリスクトピックス2024年3月（第12号）を基に作成したものです。

【参考情報】