大企業より中小企業が標的に…AI駆使したサイバー攻撃の本当の脅威
AI駆使サイバー攻撃の本当の標的とは

サイバー攻撃が「サブスクリプション」として売られる時代になった。攻撃者はAIを駆使し、これまでとは「レベチ」な手法で標的を狙う。そして、その本当の標的は大企業ではなく、中小企業だという。

中小企業が狙われる理由

GMOサイバーセキュリティbyイエラエの執行役員でサイバー防衛専門家の奥野史一氏は、「大企業よりも中小企業のほうが狙われやすい」と指摘する。なぜなら、中小企業はセキュリティ予算や人材が不足しており、攻撃者の格好の標的となるからだ。攻撃者はAIを使い、自動的に脆弱性をスキャンし、防御の薄い企業を選別する。その結果、中小企業は「簡単に侵入できる獲物」として狙われる。

奥野氏は、「結局、何から手をつければいいんですか?」という質問に対し、答えは「最新のセキュリティ製品を買うこと」ではないと断言する。重要なのは、攻撃者の視点を理解することだという。

Pickt横長バナー — Telegram用の共同買い物リストアプリ

ホワイトハッカーの役割

守る側にもプロがいる。ペネトレーションテスト(侵入テスト)を専門とする「ホワイトハッカー」だ。彼らは企業から正式に依頼を受け、攻撃者と同じ手法で本気で侵入を試み、脆弱性と侵入経路を報告し、対策を提案する。

奥野氏は、「ハッカーと聞くと犯罪者を連想するかもしれないが、もともとハッカーとは『技術を深く理解し、創意工夫で問題を解決する人』を指す言葉だ。同じ技術が、使い手の倫理によって剣にも盾にもなる」と説明する。

同社はまさにホワイトハッカー集団であり、毎日、日本中の企業のシステムに「合法的に」侵入し、穴を見つけ、塞ぐ方法を提案している。

孫子の教えとバグバウンティ

中国古代の兵法書『孫子』には、「彼を知り己を知れば百戦殆うからず」という一節がある。2500年前の言葉だが、サイバーセキュリティの世界でこれほど正確に当てはまる格言はない。攻撃と防御がある世界では、攻撃者を理解しない者に防御はできない。ホワイトハッカーとは、その「彼を知る」を職業にしている人間だ。

「攻撃者の眼」を制度として組み込む仕組みとして、バグバウンティ(脆弱性報奨金制度)がある。これは、世界中のセキュリティ研究者やハッカーに「うちのシステムの穴を見つけてくれたら報酬を払う」と公開で呼びかける仕組みだ。Apple、Google、Microsoftはもちろん、米国防総省も「Hack the Pentagon」プログラムを運営している。日本でもデジタル庁がバグバウンティを導入した。本質は、攻撃者が見つける前に、味方が見つけるレースだ。一社のセキュリティチームでは見つけられない穴を、集合知で発見する。

セキュリティクリアランスの重要性

もう1つ、不可欠な「人」の制度がある。セキュリティクリアランス(適性評価を経て国家安全保障上の重要情報へのアクセスを認定する制度)だ。欧米諸国では数十年にわたり運用されてきた、安全保障の基本インフラである。日本ではこの制度の整備が遅れており、議論の輪の外に置かれてきた。奥野氏は、日本も早期に導入すべきだと提言する。

攻撃者の進化と防御の課題

AIを駆使したサイバー攻撃は、従来の防御策を無力化しつつある。攻撃者は機械学習を使ってパスワードを解析し、フィッシングメールを自動生成し、防御側の対策を学習して回避する。防御側もAIを活用したセキュリティ製品を導入しているが、奥野氏は「製品だけでは不十分」と強調する。攻撃者の思考や手口を理解するホワイトハッカーの知見が不可欠だ。

Pickt記事後バナー — 家族イラスト付きの共同買い物リストアプリ

中小企業は特に、限られたリソースの中で効果的な対策を求められる。奥野氏は、まずは自社のシステムを「攻撃者の目線」で評価すること、そしてバグバウンティやペネトレーションテストを活用することを勧めている。