｢人はだまされる｣｢教育では限界｣…人間を見限った会社ほど､サイバー攻撃に強くなれる納得の理由 《AIも暴走しうる》

近年のサイバー攻撃は、システムの脆弱性をねらう高度なものよりも、巧妙に人をだまして信頼関係を悪用する心理操作によるものが増えている（画像：Luce / PIXTA）

企業のサイバー防衛戦略はいま、大きな転換点を迎えている。長らく主役だったのは、ファイアウォールや侵入検知システムといった「境界型防御」だった。

しかし現実の攻撃トレンドは、その前提を覆している。この構図の変化は決定的だ。守るべき対象はシステムだけではない。

むしろ、組織にとって最大の資産である「人」こそが、最大の攻撃対象かつ最大の脆弱性であり、リスク要因になっている。では、「人」や心理を悪用する攻撃を防ぐにはどうすればいいのか。

攻撃の主戦場は「心理」へ移った

近年の攻撃は、システムの脆弱性をねらう高度なゼロデイ攻撃よりも、巧妙な文面で人をだまして信頼関係を悪用するソーシャルエンジニアリング手法が主流だ。

取引先を装ったメールや社長をかたってLINEグループを作らせ、送金指示をする手口、クラウドサービスを模倣した認証情報の窃取――これらは高度な技術というより、高度な心理操作に近い。

サイバー攻撃やセキュリティの最新動向など、その他の関連記事はこちら

Windows7が主流だったころ、攻撃者はOSの脆弱性をついて権限を昇格させ、端末の中に入っているデータを狙うのが定石だった。

まさにEDRと呼ばれる高度なセキュリティ製品で検知すべきような攻撃だ。しかしWindows10が登場し、Windows11がほとんどを占める今、OSの脆弱性をつく攻撃は急激に難しくなった。即座にOSの脆弱性の穴をふさぐパッチがあるからだ。