Cybersecurity Trends for 2025 and Beyond

IBM Technology

30 Dec 202416:55

Summary

TLDR2025年以降のサイバーセキュリティの予測について、AIと量子コンピュータがもたらす進化と課題が取り上げられています。AIによる「シャドウAI」の登場やディープフェイクによる攻撃、AIを使ったマルウェア作成が増加すると予測されています。また、量子コンピュータが既存の暗号技術を破壊するリスクもあり、企業は量子耐性暗号への移行が急務です。しかし、AIはサイバーセキュリティの向上にも貢献する可能性があり、特にインシデント対応においてAIの活用が期待されています。

Takeaways

😀 2024年の予測がほぼ的中し、パスキーの普及が進んだ。
😀 生成AIによるフィッシング攻撃が現実化し、AIを使ったメール詐欺が高度化している。
😀 ディープフェイク技術が詐欺に利用され、企業や政府が大きな損害を受けている。
😀 生成AIによる誤情報（ハルシネーション）問題は依然として存在し、AIの信頼性向上が必要。
😀 AIをセキュリティ対策に活用するニーズが急増し、企業がAIのセキュリティ強化を求めている。
😀 シャドウAI（未承認のAI使用）の脅威が増大し、企業内での無断利用がリスクとなる。
😀 ディープフェイク技術はますます進化し、企業や政府の信頼性を脅かす可能性がある。
😀 生成AIがマルウェアを自動生成する能力を持ち、サイバー攻撃者が利用しやすくなっている。
😀 AIを攻撃対象として狙う新たな攻撃面（AI攻撃面）が拡大しており、対策が急務。
😀 量子コンピュータが将来的に暗号解読の脅威となるため、量子耐性暗号への移行が必要である。
😀 AIによるサイバーセキュリティ支援は可能であり、攻撃対応やインシデント管理に役立つ可能性があるが、完全自動化にはリスクが伴う。

Q & A

2024年のサイバーセキュリティの予測に関して、どの予測が実際に実現したか？
-2024年の予測の中で、パスキーの採用が大きく進展しました。パスワード管理会社によると、昨年1年間で420万のパスキーが保存され、利用するユーザーの1/3がパスキーを使用していることが確認されました。また、パスキーを受け入れる企業も2倍に増加しました。AIを使ったフィッシング攻撃、ディープフェイクによる詐欺、生成AIの幻覚問題、AIを守るためのサイバーセキュリティの重要性も現実の問題となり、予測通りに進行しました。
パスキーの採用はどのように進んだのか？
-パスキーは、ユーザーがパスワードを使用せずに認証を行う新しい技術で、サイバーセキュリティを向上させるために広がりを見せています。昨年、あるパスワード管理企業が4.2百万のパスキーを保存し、利用者の1/3がこの技術を取り入れていることが確認されました。加えて、企業がパスキーを受け入れる数も倍増しています。
AIを利用したフィッシング攻撃とは？
-生成AIを使ったフィッシング攻撃は、非常に巧妙で個別化された内容のメールを生成できることにより、より信頼性が高く、受信者が信じやすい内容になります。AIは文法やスペルミスを犯さないため、以前よりも見分けにくいフィッシング攻撃が増加しています。
ディープフェイクはどのような脅威をもたらしているか？
-ディープフェイクは、特にビジネスや政府機関において、極めて現実的な詐欺の手段として利用されています。例えば、企業のCFOを模倣したディープフェイクによって、2500万ドルが不正に送金される事件が発生しました。また、2024年の米国大統領選挙では、ジョー・バイデン氏のディープフェイクによる自動応答コールが選挙活動に影響を与えるなど、政治的にも深刻な問題を引き起こしています。
生成AIにおける「幻覚」とは何か？
-生成AIの「幻覚」とは、AIが誤った情報や不正確なデータを生成する現象を指します。例えば、ランナーのタイムの変換でAIが誤った計算を出したことがありました。AIはその誤りを指摘すると、すぐに修正するものの、このような幻覚問題は依然として解決されていません。
サイバーセキュリティでAIをどのように活用できるか？
-AIを使ってサイバーセキュリティを強化する方法の一つは、インシデントの分析を効率化し、サイバー攻撃に対する早期の警告を出すことです。また、AIはサイバーアナリストが質問を自然言語で入力することで答えを得られるようなQ&Aシステムとして活用される可能性もあります。こうした技術は、AIがサイバー攻撃を予測し、対応策を提案することに貢献します。
シャドウAIとは何か、そしてそのリスクは？
-シャドウAIとは、企業が承認していないAI技術が組織内で無許可に使われる現象です。クラウドサービスからAIモデルをダウンロードして無断で実行したり、モバイルデバイス上でAIが悪用されたりすることがリスクとなります。これにより、データ漏洩や誤情報の流出が発生する可能性があります。
生成AIを用いたマルウェア作成のリスクはどのように増加しているか？
-生成AIは、攻撃者がゼロデイ脆弱性を記述した情報を入力することで、攻撃用のコードを自動的に生成する能力を持っています。最近の調査では、生成AIがこのコードを80%～87%の精度で作成できることが示されています。この技術を悪用することで、攻撃者は専門的なプログラミングの知識がなくても、効率的にマルウェアを作成し、攻撃を仕掛けることができるようになります。
生成AIを使った攻撃に対する防御策はどうあるべきか？
-生成AIを使った攻撃に対しては、適切なセキュリティ対策が不可欠です。特に、AIシステムへの「プロンプトインジェクション攻撃」に対しては、AIが悪意のある指示を受け入れないように防御機能を強化することが求められます。OWASP（Open Web Application Security Project）は、この攻撃タイプが最も多いリスクと警告しています。
量子コンピュータの脅威と、量子耐性暗号化の重要性は？
-量子コンピュータは、将来的に現在の暗号化技術を破る能力を持つとされています。これにより、暗号化されたデータが読み取られる可能性が高くなり、特に機密情報や長期的な保存が求められる情報が危険にさらされることになります。そのため、量子耐性暗号化（ポスト量子暗号）の導入が急務です。現在、多くの企業はこの課題に対して準備が遅れているため、早期の対策が必要です。