有料会員登録 東洋経済オンラインとは
キャリア・教育

大企業よりも中小企業のほうが狙われやすい…これまでとは「レベチ」なAIを駆使したサイバー攻撃の"本当の標的"

8分で読める
サイバー攻撃が「サブスク」として売られている時代になったという(写真:tadamichi/PIXTA)
2/4 PAGES

そして「ダークウェブ」と呼ばれる地下市場では、盗まれた情報や攻撃ツールが日常的に売買されている。クレジットカード情報1枚は数百円〜数千円。企業のVPNアクセス認証情報は数万円〜数十万円。未知の脆弱性(ゼロデイ)は数百万円から数千万円。

あなたの会社に侵入するための「鍵」が、ネット上で売られている可能性がある。攻撃者は自分で鍵を作る必要すらない。買えばいい。攻撃の「産業化」は、すでに完了している。

その先に、リーダーが必ず突き当たる究極の問いがある。身代金を払うべきか、払わざるべきか。Colonial Pipelineは約4.8億円を支払った、「国民への燃料供給を最優先した」と同社CEOは議会で証言した。

「払うべきではない」というのが国際的な原則だ。支払いは犯罪組織の資金源となり、次の攻撃を招く。しかし現実のリーダーは、構成員の雇用、関係先への義務、預かったデータの保護、組織の存続、すべてを天秤にかけて判断しなければならない。

この判断はIT部門にはできない。リーダーの判断であり、事前にシミュレーションしておくべき「有事のシナリオ」だ。バックアップ設計やサイバー保険は、この判断に直面する確率そのものを下げるための投資である。

大企業よりも中小企業のほうが狙われやすい

サイバーセキュリティに関する講演をすると、質疑応答で必ず手が挙がる質問がある。

「うちは中小企業なんですが、本当に狙われるんですか?」

答えは明確だ。狙われている。むしろ、中小企業のほうが狙われやすい。大企業は城壁が厚い。正面から攻めるのは効率が悪い。ならば、城壁の薄い裏門、サプライチェーン上の中小企業、から入ればいい。2025年、警察庁が公表したランサムウェア被害報告の約6割は中小企業からのものだった。

トヨタの主要サプライヤーである小島プレス工業が攻撃され、トヨタ国内の14工場が一斉に停止した事例がそうだったように、あなたの会社が標的なのではなく、あなたの会社を「通路」にして大企業や国を狙っている。

「AIを使った攻撃なんて、まだ先の話でしょう?」

これも、答えは明確だ。もう始まっている。2025年11月、AIモデルがジェイルブレイク(安全装置を解除)され、約30の組織に対するサイバースパイ活動に使われていたことが公表された。作戦の80〜90%をAIが自律的に遂行し、人間の介入はわずか数回だった。これは「未来の脅威」ではない。2025年の事件だ。

3/4 PAGES
4/4 PAGES

こちらの記事もおすすめ

あなたにおすすめ

キャリア・教育

人気記事 HOT

※過去1ヶ月以内に配信した記事の閲覧数