大企業に対するサイバー攻撃事案のニュースも記憶に新しいように、サイバー犯罪の危険性は加速度的に高まっています。
警察庁サイバー警察局の『令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について』によると、令和7年上半期におけるランサムウェアの被害報告件数は116件となっており、令和4年以降ほぼ横ばいで推移しています。特にサイバー犯罪についてはコロナ禍でセキュリティ対策が十分になされないままリモートワークが急増したことで、その脆弱性を狙った攻撃が爆増しました。コロナ禍が収束した現在においてもその被害は横ばいということは、それだけ標的になりうる企業が今だに数多く存在しているということの証左でしょう。本日は近年のサイバー犯罪についての状況と、どのような点について注意する必要があるのかについて、専門的な領域にまではあまり踏み込まず、あくまで概要・状況として理解できるように紹介しようと思います。
サイバー犯罪の状況
発生状況について
警視庁の報告によれば、令和7年上半期には、政府機関や金融機関などの重要インフラ事業者を対象とするDDoS攻撃や、情報窃取を目的としたサイバー攻撃が相次いで発生しています。さらに同報告では、攻撃者が対象を事前に探索する傾向が指摘されており、脆弱性探索行為などの不審アクセスは「1日・1IPアドレス当たり約9,085.4件(前年比‐7.5%)」という高水準で推移しており、その大部分が海外送信元によるアクセスという結果も明らかになっています。
政府機関や金融機関では攻撃は検知していても重大被害にはつながっていないようですが、探索目的の不審なアクセス数と併せて考えても、攻撃者側は常に「入り口を探している」状況が浮き彫りになっています。つまり、企業・組織としては「攻撃されてから備える」ではなく、「探られている前提で守る」発想が求められています。
生成AIの台頭
生成AIは業務効率化や生産性向上に大きく貢献していますが、その恩恵を受けているのは企業だけではありません。サイバー犯罪者にとっても、生成AIは攻撃の質と効率を高めるための強力なツールになりつつあります。
特に顕著なのが、フィッシングメールの高度化です。従来は日本語文法の難しさから、海外の攻撃者が作成するメールには不自然な表現が多く存在し、気づきやすいという側面がありました。しかし、生成AIによって流暢な日本語が簡単に作れるようになり、危険性が増しています。むしろ「フィッシング=不自然な文章」という従来の感覚による先入観から、見分けづらくなっているとすら言えるかもしれません。
さらに生成AIは文章作成だけでなく、マルウェアをはじめとした攻撃プログラムの開発にも悪用されています。AIはコード生成を高速かつ正確に行えるため、これまで高度な技術が必要だった攻撃ツールの作成が容易になっています。攻撃の実行段階でも、AIを用いた自動化によって、調査・侵入・攻撃の各プロセスが効率的に進められる事例が報告されています。
このように、生成AIの普及はサイバー攻撃の「質」と「量」の両面を押し上げており、企業は従来以上に注意深く対策を講じる必要があるといえます。
「サイバー犯罪」の商業化
近年では、サイバー犯罪を行うためのツールが「商業化」され、闇市場などで誰でも入手できる状況になっています。つまり、専門的な知識がなくてもサイバー攻撃を実行できる仕組みが整ってしまったということです。
提供されているツールの内容は多岐にわたり、大量のデータを送りつけてサービスを停止させるDDoS攻撃のサービス、データを奪って金銭を要求するランサムウェア、脆弱性を自動で探し出すツールなどさまざまです。
さらに、利用形態もサブスクリプション制(月額課金)や、実行者と開発者で身代金を分配するアフィリエイト制など、一般のサービスと同様の“使いやすさ”を備えています。そのため、攻撃者の裾野が広がり、企業側も一層油断できない状況となっています。
ではどのようにして対策すればいいのか
このようなサイバー犯罪の状況を見ると、対策を立てるのも容易なことではないと感じられます。しかし、どれだけ巧妙化・高度化していたとしても、実はサイバー犯罪の基本的な手口・手法というのは大きく変わっていません。そのため次の3つのを基本の対策をしっかり押さえることで、十分に対策することができます。
各種社内システムやサーバー、アプリケーション等、侵入を許してしまう原因としては、大きく2つのパターンがあります。
- システムの脆弱性を突かれて不正に侵入されてしまう。
- アクセス情報(ID/パスワード)を不正に取得され侵入されてしまう。
よって、この2つの経路に対して、侵入を許さないため下記のような対策が重要です。
ⅰ.システムをバージョンを最新の状態に保つ
実際にあった不正アクセス事案では、実に8割ほどが①に含まれるVPN・リモートデスクトップ経路での不正アクセスとなっています。
多くの企業では、メインのシステムがあり、そこに個々の従業員がアクセスするようなシステムを採用しているかと思いますが、メインのシステムに脆弱性がある場合、そこを突かれて侵入を許してしまう恐れがあります。これを防ぐために重要なのがシステムのバージョンアップです。システムのバージョンアップには脆弱性を改善するためのものも多く含まれていますので、常に最新のバージョンを保つよう心がけることが、外部からの侵入を食い止める上で非常に重要なのです。またサーバーのみならず、従業員が使用するPC端末についても、同様にバージョンアップを欠かさないようにしましょう。
ⅱ.古いシステムやサーバー機器等は停止する
1つ目と似た内容ですが、古いシステムや機器は古いバージョンのままであったり、またサポートが切れてそれ以上バージョンアップができなかったり等、脆弱性を抱えたままになってしまっているケースが多々あります。現在使用していないシステムや機器については使用を停止し、外部からの侵入経路の足がかりにされないように、そして現在も稼働している場合には最新のセキュリティが効くように、場合によっては機器そのものの更新も検討することが重要です。
ⅲ.従業員の教育
②の不正な情報取得の方法としては、フィッシングやマルウェアによる情報入手といったものが挙げられます。
フィッシングは一言で説明すると、騙して自分で入力させる攻撃です。例えば、不正なアクセスがあったからログイン情報を変更してください、などといったメールを送りつけ、偽のサイトにログイン情報を入力させることで情報を不正に取得するといった手口です。個人をターゲットとする場合には、クレジットカード情報を入力させる手口なども存在します。
そしてマルウェアは、俗にいうコンピューターウイルスのことで、PCを乗っ取られることで各種サービスへのアクセス情報の不正取得や、場合によってはコンピューターから直接会社の中枢システムに侵入されるケースもあります。
これらの不正取得は、利用者が危険性を見抜けるようにすることが、対策として極めて重要です。そのために従業員に対する定期的な教育や最新情報・事案の共有などにより、意識を切らさないようにすることが求められます。フィッシングメールというと不自然な日本語というイメージがありますが、近年生成AIによって、自然な日本語の文章を容易に作れるようになりました。その結果フィッシングメールも自然な文章のものが増えています。フィッシングメール=不自然な文法というイメージはまだ広く残っていると思われますので、裏を返せば自然な文法のメールには騙されやすい状況であるとも言え、より一層の注意が必要です。
ⅳ.多要素認証(MFA)の導入
万が一アクセス情報(ID/パスワード)が流出してしまった場合のリスクヘッジとして有効なのが、多要素認証の導入です。身近な例では、GoogleのアカウントやApple IDなどで、ログインしようとするとスマートフォンにアラートが出て許可しないとログインできない仕組みなどがあります。自社で使用しているシステムやサーバーに対してのアクセスに対しても、同じようにID/パスワードという情報のほかにもう1つ別の認証プロセスを設計することで、万が一アクセス情報を不正に取得されてしまった場合にも、不正アクセスを回避することが可能です。ただし、あくまでも正規アクセスに対するセキュリティ強化であるため、システムの脆弱性を突いた不正アクセスの対策にはならない点には注意が必要です。
v.EDRの導入
Endpoint Detection and Response(エンドポイント検知・応答) の略で、PC等になんらかの異常を検知したら止めるためのシステムで、万が一不正なアクセスをされてしまった場合に備える対策です。特に脆弱性を突いた侵入は、システムのバージョン更新だけでは追いつかない可能性もありますので、万が一侵入された場合の対策というのも重要になってきます。近年のマルウェア・ランサムウェアは生成AIの影響もあり高度化しており、従来のセキュリティソフトのような、特定のプログラムの「型」を検知してブロックすることが難しくなってきています。(イメージ的には、違法薬物の成分を少し変えて別の薬物を作るように、マルウェアにも無数のバリエーションが作られているようなイメージでしょうか)そこで、何か異常な行動・動作が見られた時にすぐに止めるという防衛システムのあり方が現在では有効とされており、EDRの導入が重要とされています。
以上のような対策を取ることで、不正アクセスに対するセキュリティは飛躍的に向上します。何かあった時には手遅れですから、ぜひ取り組んでみてください。
【実験】人間しか読めないと言われているアレは今のAIに読めるのか
よくセキュリティ認証として、歪められた文字を読んで入力するというものがあります。(俗にいうCAPTHCA認証というやつです)これは機械では読み取れないから人間のアクセスであると識別するためのセキュリティツールとして作られたわけですが、今のAIに対しても有効なのでしょうか。今回ちょっとした実験を行ってみました。
実験の内容は、ランダムでCAPTCHA風の画像を生成するツールを使用し、そこで生成した日本語の文字認証をChatGPTに対して読ませるというものです。全10問の質問を5回行いどれくらい正解できるのかをチェックしました。10問終えるごとにチャットは削除し、記憶をリセットさせてから次の10問に入るようにしています。
回答の結果が下記です。複数回実施してもほぼ回答傾向は一致しており、得意不得意がはっきりとわかる結果となりました。今回実施した中では10問目の画像については人間の目から見てもややわかりづらい内容であり、そのような画像の読み取りはChatGPTにも難しかったようでした。また6,7問目もすべての回答で不正解となりましたが、こちらは人間の目で迷うことはほとんどないであろう内容となっており、(なんなら6問目は全設問の中でも読みやすい部類)人間とAIの文字認識の差を感じる結果となりました。
| 1回目 | 2回目 | 3回目 | 4回目 | 5回目 | |
| 問1 | ◯ | ◯ | ◯ | ◯ | ◯ |
| 問2 | × | ◯ | ◯ | ◯ | ◯ |
| 問3 | ◯ | ◯ | ◯ | ◯ | ◯ |
| 問4 | ◯ | ◯ | × | ◯ | ◯ |
| 問5 | ◯ | ◯ | ◯ | ◯ | ◯ |
| 問6 | × | × | × | × | × |
| 問7 | × | × | × | × | × |
| 問8 | ◯ | ◯ | ◯ | ◯ | ◯ |
| 問9 | ◯ | ◯ | ◯ | ◯ | ◯ |
| 問10 | × | × | × | × | × |
全問を完璧に言い当てる、というほどまでではありませんが、すでにこれほどの精度で読み取りができてしまうということを考えると、旧来のCAPTCHA認証ではすでに物足りなくなっていることは明らかです。また今回はChatGPTを検証に使いましたが、読み取り専用のAIを開発すれば容易により高い精度のAIを作ることができるでしょう。
そうなるとCAPTCHA認証をはじめとしたBOT対策のセキュリティ認証に意味がないのではないか、という疑問も浮かんでくるでしょう。しかし、認証の方も年々精度を高めています。特に、画像認証だけでのセキュリティではなくなってきているというのが特徴で、回答するまでのスピードが人間ではありえないスピードになっていないかなど、多角的な判定によってBOT識別を行なっています。既存システムの認証方法が、比較的古いシステムである場合には、新しい手法に更新することが望ましいでしょう。