ビジネスセキュリティ
AIはサイバー犯罪のあり方を変えつつありますが、中小企業(SMB)のサイバーレディネスは依然として、おなじみの弱点をいかに埋めるかにかかっています
AIは攻撃者のツールキットを変えつつあります。犯罪者がより説得力のある誘い文句を書いたり、ソーシャルエンジニアリングを大規模に展開したり、偵察を高速化したりするのを後押しし、総じて技量の低い攻撃者にとっての参入障壁を下げています。組織がこの動きに注意を払うのは正しい判断です。特にAIの悪用によって、これまで存在していた弱点への対策が、組織のサイバーレディネスを試すより差し迫った課題になっているためです。
一方で、侵害の最初のきっかけは相変わらずおなじみのものであり、たいていは従業員がクリックしてしまうフィッシングリンクや、期限内にパッチが適用されなかった脆弱性といった「いつもの容疑者」が関与しています。真にAIを活用したマルウェア(依然として稀な存在です)とは異なり、これらはサイバーセキュリティの中で最も派手なリスクではありませんが、レディネスの向上を目指す企業にとっては今なお最も重要な要素の一つです。
幸いなことに、今もインシデントの大半を引き起こしているこれらの脅威には、実績のある対策方法が存在しており、それらが企業を守る助けになります。
AIと基本対策
ESET SMB Cyber Readiness Index 2026によると、「AIを活用したマルウェア」は世界のSMBが今後1年間で最も懸念する事項として挙げられています。北米ではその割合はさらに高く、33%に達します。しかし、これを「自動的かつリアルタイムにAIを利用するマルウェア」という定義で捉えるならば、それはサイバーセキュリティの実務者よりも研究コミュニティにとっての話題に近いと言えます。
ESETは2025年に、AIによって書かれたランサムウェアの初の事例を発見しました。もっとも、これも概念実証(PoC)であった可能性が高いものです。一方、ESETが今年に入って発見したPromptSpyは、実行フローの中で生成AI(GenAI)を悪用して永続化を実現した、初めて確認されたAndroidマルウェアでした。
脅威リサーチャーによる同様の発見事例は、あったとしても比較的少数にとどまっています。また、ESETのMDRサービスにおいても、GenAIが重要な役割を果たしたインシデントの証拠は確認されていません。脅威アクターがAIの支援を受けて恩恵を得ているのは事実ですが、真に自動化されたタスクのためにこの技術をリアルタイムで運用している例はまだ少数派です。
企業が直面する実際のサイバー脅威
SMBのリーダーにとってより実りある取り組み方は、インシデントの実際の原因にもっと目を向けることでしょう。多くのSMBにとって、侵害の最初のきっかけは今なお非常におなじみのものです。うまくいってしまったフィッシングメッセージ、放置されたままの脆弱性、誰も気づかないアラート、あるいは使い回されるべきではなかったパスワードなどです。これらはサイバーセキュリティの中で最も派手なリスクではありませんが、レディネスの向上を目指す企業にとっては今なお最も重要な要素の一つであり続けています。
この点で、ESETのデータは示唆に富んでいます。同社のデータは、中小企業が直面する上位の脅威として以下を挙げています。
- フィッシング(26%):ESETのテレメトリによれば、フィッシングは2025年下半期において検出数トップの脅威であり(30.8%)、その件数は増加を続けています。ソーシャルエンジニアリングは常に脅威アクターに好まれる手口であり、SMSを使ったフィッシング(スミッシング)や音声通話を使ったもの(ビッシング)も人気を高めています。テクノロジーは防御において一定の役割を果たせますが、従業員向けのトレーニングと意識向上も欠かせません。ただし、こちらの実施はより難易度が高い場合があります。
- 未修正のセキュリティ脆弱性(23%):比較的小規模な組織であっても、多様なソフトウェアを運用していることがあり、そのすべてが自動更新を有効にするだけで簡単にパッチ適用できるわけではありません。自社が何を稼働させており、どの重要なデータやシステムがリスクにさらされ得るかを把握することが、まず最初の課題となります。近年の脆弱性発見の量とスピード、そして重要な更新を検証・適用するための専門知識の不足も、障害となり得ます。
- セキュリティ監視の不足(22%):セキュリティツールを豊富にそろえていたとしても、アラートを収集・相関付け・フラグ立てするための一元管理された場所を持っているでしょうか。効果的な監視は、脅威の検知と対応を加速させる上で極めて重要です。しかし、すでに監視体制を整えている企業でも、結果的にアラートの洪水に圧倒され、誤検知と真の検知を見分けるのが難しくなっているケースがあります。
- 脆弱なパスワード(20%):昔から変わらないセキュリティ課題です。フィッシング耐性のある多要素認証(MFA)やパスキーへの業界的な移行が進んでいるにもかかわらず、多くの組織は依然として中核資産の保護を静的なパスワードに頼っています。そして従業員はパスワードを使い回す傾向があり、侵害のリスクをさらに高めています。強固なパスワードポリシーを策定することが第一歩であり、それを徹底して運用することが次のステップです。

昔ながらの脅威への実績ある対策
だからといって、SMBがAIを活用した脅威を無視してよいわけではありません。重要なのは、上記のリスクの多くがAIによって完全に新しい脅威として生み出されているのではなく、AIによって悪化させられているという点を認識することです。例えば、攻撃者は以下のような目的でAIを利用しています。
- フィッシングメッセージの質の向上(ディープフェイクの利用を含む)、およびキャンペーンの規模拡大と管理
- 新たな欠陥を迅速に発見・武器化することによる脆弱性悪用までの時間短縮
- 大規模なデータセットを分析し、よく使われるパスワードを割り出す作業
- 標的に対する偵察を実施し、攻撃経路をより速く割り出す作業
また、AIは企業が対応に費やせる時間を圧縮する可能性もあります。サイバー犯罪者が脆弱なシステムをより速く特定したり、より簡単にエクスプロイトコードを生成したり、ワークフローの一部を自動化したりできるようになれば、脆弱性の開示・武器化・悪用の間の時間差はさらに狭まるかもしれません。すでに資産管理やパッチ適用の優先順位付けに苦労しているSMBにとって、これは重要な意味を持ちます。ここから得られる教訓の一つは、基本を疎かにしたままでいることのコストが、これによってさらに高まっているということです。
では、どうすればよいのでしょうか。良いニュースは、ベストプラクティスが依然としてセキュリティ態勢の改善に役立つということです。まず着手すべきなのは、脆弱性・パッチ管理です。オペレーティングシステムとアプリケーションを継続的にスキャンして既知のCVEを洗い出し、その上でポリシーとリスクに応じて自動的に更新を展開しましょう。
IDセキュリティの重要性はますます高まっています。パスワードマネージャーは従業員のために強固で一意の認証情報を作成・保管できますが、それでもなお、今日ではMFAは絶対に譲れない防御線です。特権アクセス管理(PAM)ツールを利用して攻撃対象領域を縮小し、リスクの高いアカウントを保護しましょう。
セキュリティ人材不足に対処し監視体制を改善するには、検知と対応を信頼できるサードパーティにアウトソーシングするという方法もあります。Managed Detection and Response(MDR)サービスを利用することは、SMBの5分の1(21%)がセキュリティ態勢改善における最大の障壁として挙げている、複雑さと統合の課題を軽減することにもつながります。
目指すべき先:レディネスとレジリエンス
結論として、攻撃を受けないほど小さい組織など存在しません。だからこそ、プロアクティブなサイバーセキュリティへの取り組みが不可欠です。真のサイバーレディネスとは、脅威を予防し、検知し、対応できる能力を備えていることを意味し、それはビジネスレジリエンスへの道のりにおける重要なマイルストーンです。
自社が直面する脅威を冷静に見極めることで、そこへよりすばやくたどり着くことができます。目を向けるべきは、話のネタになるような脅威ではなく、実際に大きな影響をもたらしている脅威です。
翻訳元: https://www.welivesecurity.com/en/business-security/cyber-readiness-smbs-getting-basics-right/