「生成AIのサイバー攻撃への悪用」は増加する？ 徳丸浩氏が予測する2025年のセキュリティ：新しいセキュリティ技術の普及で2025年の被害は軽減？

EGセキュアソリューションズは、2025年のサイバー脅威予測を発表した。生成AIを悪用した攻撃が増えると予測する一方で、企業側で新しいセキュリティ技術への対応が進むことで、一部の被害は軽減する可能性があるとしている。

[＠IT]

　EGセキュアソリューションズは2024年12月12日、2025年のサイバー脅威予測を発表した。それによると、フィッシングメールや偽のWebサイト作成に生成AI（人工知能）を利用する手法が、ますます高度化するという。

プレスリリースから引用

2024年のキーワードは「生成AI」と「ECサイト」

　2024年のサイバーセキュリティの振り返りとして、同社の徳丸 浩氏（取締役CTO〈最高技術責任者〉）は「生成AIのサイバー攻撃への悪用」「生成AIで開発したプログラムの脆弱（ぜいじゃく）性」「ECサイト利用者のリスク」の3点を挙げる。

　2024年には攻撃者が生成AIを利用してマルウェアやランサムウェア（身代金要求型マルウェア）を作成する事例が既に報告された。ただ、その完成度は低かったという。徳丸氏は「生成AIを悪用してウイルスの一部機能を作成することは比較的容易だが、各機能を統合してウイルスとして完成させるには、プログラミングの知識が必要な段階だ」と分析している。

　生成AIに関するリスクは、攻撃者が利用するだけではない。今では多くの開発現場で、プログラミングの効率化に活用されている。一方で、生成AIが常に高品質なコードを作成できるわけではないため注意が必要だと徳丸氏は語る。「AIにより生成されたコードには脆弱性を含むコードが一定割合存在するため、AIが生成したから安全という思い込みは危険だ」と同氏は指摘している。

　2024年は大手企業が運営するECサイトであってもクレジットカード情報の漏えい事件が起こった。「フォームジャッキング」や「フィッシング」といった手法が巧妙化しており、徳丸氏は「マルウェア対策や不正ログイン対策などのセキュリティ強化が急務だ」としている。

新しいセキュリティ技術が普及すれば2025年の被害は軽減する？

　1点目の生成AIの悪用については残念ながら、2025年も継続する見込みだ。洗練されたAIツールが登場することで、プログラミングの知識を持たなくても高性能なマルウェアを開発できる可能性があると徳丸氏はみている。フィッシングメールや偽のWebサイト作成に生成AIを利用する手法が、ますます高度化し、人間が作成したような自然な文章が生成されることで、ユーザーがだまされるリスクが格段に高まると同氏は注意を促している。

　2点目の生成AIが開発したコードの脆弱性については開発者側の意識が重要になりそうだ。徳丸氏は「生成AIが作成するコードと人間が作成したコードの区別が難しいため、脆弱性の特定や修正が後回しになる可能性がある」と指摘している。ソフトウェア開発に生成AIを活用する場合、その品質やセキュリティを確保するには、コードを精査する努力が必要だと同氏は述べている。

　3点目のECサイトのセキュリティについては、今後の企業側の体制に期待が寄せられている。2025年も2024年に引き続き、フォームジャッキングやフィッシングが増加すると徳丸氏は予測する。一方、「EMV 3-Dセキュア」や「トークン決済」といった新しいセキュリティ技術が普及しつつあり、「企業側の対応が進むことで、一部の被害は軽減する可能性があるものの、対応が遅れた企業はリスクが高い」としている。