Jon Clay(トレンドマイクロ 脅威インテリジェンス担当副社長)
2025年8月5日
読了時間:4分
_wsf_AL_Alamy.jpg?width=1280&auto=webp&quality=80&format=jpg&disable=upscale "Hands typing on a keyboard; lit red keys read CYBERCRIME")
出典:wsf AL(Alamy ストックフォト経由)
論説
サイバーセキュリティについて最も繰り返し語られる考えの一つは、攻撃者と防御者の間の競争だということです。サイバー犯罪グループは通常、新しいテクノロジーをいち早く取り入れ、敵を出し抜き、目的を達成するものと考えられています。しかし実際には、状況はそれほど単純ではありません。
近年、サイバー犯罪の地下経済はプロ化し、より組織化が進んでいますが、脅威アクターは今でも2020年当時と同じ攻撃手法を大きく変わらず使い続けています。これはネットワーク防御者にとって大きなチャンスですが、それはAI(人工知能)などの新しい技術を積極的に取り入れる準備ができている場合に限ります。
実証済みの手法が依然として主流
脅威リサーチャーは常に新しい攻撃を分析し、予測しています。サイバーセキュリティの状況が進化する中で、リサーチチームが攻撃者が次にどこに注力するかを予測し、自組織の耐性を高めることは極めて重要です。また、これらの知見を広くサイバーコミュニティと共有し、デジタル世界をより安全にすることも同様に重要です。
しかし、脅威アクターは依然としてフィッシング、脆弱性の悪用、アカウント認証情報の侵害といった実証済みの手法を使って初期アクセスを獲得しています。これは第三者のデータからも裏付けられています。認証情報の悪用(22%)、脆弱性の悪用(20%)、フィッシング(19%)が、過去1年間で主なデータ侵害の攻撃経路だったとVerizonは報告しています。今年は脆弱性の悪用が前年比34%増加し、従業員が関与した侵害は60%に上りました。これは認証情報の侵害やソーシャルエンジニアリングによるものです。
AIがこれらの攻撃に関与する場合もあります(特にスキルの低い攻撃者が多言語で効果的なフィッシングキャンペーンを展開するのを支援する場合など)が、思ったほど目立った存在ではありません。なぜでしょうか?それは、古いやり方が悪党たちにとって十分に機能しているからです。脅威アクターはしばしば、AIをフィッシングメールやマルウェア配布などの実証済みの手法と組み合わせて利用しています。
サイバー犯罪者が今でも十分な「低いハードル」の標的を見つけて収益目標を達成できているという事実は、ネットワーク防御者にとって警鐘であるべきです。
犯罪者の専門分化が進行中
大きく変化しているのは、サイバー犯罪経済の仕組みです。これは現在、数兆ドル規模の産業と推定されており、サービス型モデルが主流になりつつあります。ランサムウェア、分散型サービス拒否(DDoS)、フィッシング、情報窃取型マルウェア、その他の目的に合わせて、あらかじめ用意されたパッケージが、サイバー犯罪を始めたい人に必要なすべてを提供します。必要に応じて特定のモジュールや攻撃チェーン全体を購入できます。すべてが売り物です。
このようなサイバー犯罪のコモディティ化は、初心者の参入障壁を下げる一方で、ますます専門化したスキルに対しても有利な市場を提供しています。マルウェア開発者、資金洗浄者、初期アクセスブローカー(IAB)、ソーシャルエンジニアリングの専門家、その他の分野のスペシャリストなどが存在します。大規模な犯罪組織は稀であり、この分業化によってサイバー犯罪のサプライチェーンはこれまで以上に効率的かつ効果的になっています。そして今のところ、脅威アクターは主に従来の手法に満足しています。
今こそ積極的なAI駆動型セキュリティを
これはつまり、ネットワーク防御者がAIを活用したツールを使うことで、機会主義的な犯罪者を抑止する大きなチャンスがあるということです。従来の分断された多層防御モデルは、ますますプロ化するサイバー犯罪産業には明らかに太刀打ちできません。例えば、過去最高に迫る件数の侵害により、13億人以上がデータ侵害の被害者となりました。
セキュリティリーダーは、広範な企業の攻撃対象領域全体でリスクを管理する新たな方法を模索すべきです。
AIは、脆弱性や設定ミス、その他のセキュリティギャップを継続的に監視・検出し、リスクスコアやプレイブック、統合的な対策を提供することで支援できます。また、SecOpsチームが新たな脅威に迅速に対応できるよう、ワークフローの自動化やコンテキスト豊富な検知、AIによる脅威ハンティングで、侵害が拡大する前に封じ込めることができます。生成AI(GenAI)アシスタントは、セキュリティオペレーションセンター(SOC)チームのスキルギャップを埋め、生産性を高めます。さらに新たなエージェンティックAIソリューションは、将来のセキュリティ課題を予測・防止する可能性もあります。
時代は変わりつつある
今日の脅威アクターは、実証済みのTTP(戦術・技術・手順)に固執しているかもしれませんが、他の面では変化しています。彼らはよりプロフェッショナルかつ専門化しているだけでなく、新世代は従来のサイバー犯罪の「規範」にますます無関心になっています。学校や病院への攻撃も、人的被害を顧みず「正当な標的」とみなされています。ランサムウェア被害者はSWAT攻撃で脅されることもあります。一部の脅威アクターは「バイオレンス・アズ・ア・サービス」という不穏な分野にも進出しています。
サイバー犯罪者が長年で学んだのは、時折法執行機関が勝利することはあっても、特定の地域ではほぼ罰せられずに活動できるということです。防御者が積極的に動き、彼らにより多くの労力を強いることが求められています。