マルウェアなどの不正ソフトが容易に自動生成できるようになるほか、わかりやすい文章が出力できるのでフィッシングメールやフェイクニュースも簡単につくれてしまう。Deep LearningなどのAI技術を利用するディープフェイクは、どんどん高度になっているので、真偽を見分けるのが難しくなっていく。
間接的ではあるが、技術が陳腐化して失業や転職につながったり、社会構造の急激な変化、人間への攻撃などが起こるといった社会的リスクもある。
さらに生成AIを使い脆弱性情報を悪用したり、人の行動やシステム内部の脆弱性を予測して標的型攻撃を実行するなど多様な攻撃が考えられるので、これらの領域の研究をしっかり行っていく必要がある。AIを利用したセキュリティ対策でより高度な対策をすることも求められるだろう。
「EUサイバーレジリエンス法」への対応も
――2025年もサイバー攻撃は増えるか。どう対処すべきか。
今後もランサムウェア攻撃は増加すると見込まれる。ランサムウェアは、なるべく被害に遭わないようにすること、そして被害にあっても影響が小さくなるようにしておくことが重要だ。
ユーザー企業ができることは限られるが、対策費用は多くなってもリスクアセスメントをきちんと行うこと。また「Attack using AI」が増加するとともに、攻撃がさらに高度化していくだろう。攻撃を完全には防ぎきれないので、サイバーレジリエンスの強化も大切になる。
サイバーレジリエンスの構築では、従来は、その発生率を下げることで異常な状態になることを防いでいたが、たとえ異常になっても直ちに復旧できるようにすることも、今後は重要性を増す。
一般ユーザーとしては、昔から言われているような、バージョンの古い脆弱性のあるソフトウェアは使わない、ウイルスや脆弱性チェックのようなものを整備し、常に最新の状態で運用するなどの基本の対策をしっかりやっていくことが大切になる。
とくに最近は、リモートワークやリモートメンテナンスなどで使われるVPN装置の脆弱性や設定の不備が狙われる例が目立つので、適切に管理する必要がある。その際に、自分たちの管理範囲がどこまでで、見逃しがないのかについて注意しておこう。
2024年10月10日に、EU理事会と欧州議会で正式採択された「EUサイバーレジリエンス法」がある。EU内で事業を行うすべての企業に対しサイバーセキュリティの基準を定め、遵守を義務付けるものだ。
この法規制の本格的な適用はまだ先になるが、きちんと対策をしていないと多額の罰金を科せられることになるので準備を進めておきたい。
