サイバーセキュリティの現在と未来 ~2024年の振り返りと2025年の展望~
サイリーグホールディングスは、「サイバーセキュリティの現在と未来 2024年の振り返りと2025年の展望」と題して、メディア向け説明会を開催した。
そこで、発表された「日本の企業・組織におけるサイバーセキュリティ実態調査」については、JAPANSecuritySummit Updateで公表した通りである。
今回は、この説明会で登壇したEGセキュアソリューションズ株式会社 取締役CTO 徳丸浩 氏の発表とアイディルートコンサルティング株式会社 吉田卓史 氏の発表について紹介する。
2024年の振り返りについて
徳丸氏は、生成AIとクレジットカード情報漏洩を挙げた
生成AIについて大きな注目を集めたのは、2024年の3月の全くプログラミングやITの知識がない人物がランサムウェアを作ったという報道であろう。AIの専門家からすると、「そら見たことか」となったであろう。
また、感染したコンピュータを使用不能にしたり、身代金を要求するメッセージを表示させたりするウイルス「ランサムウェア」を生成AIで作成したなどとして、その男性に東京地裁は懲役3年、執行猶予4年の有罪判決を言い渡したという事例もあった。
ただ、徳丸氏は「その完成度には疑問が残る。ある程度の知識があれば、生成AIを悪用して「ウイルスの一部機能」を生成AIで作成することは比較的容易であるものの、各機能を統合して「ウイルス」として完成させるには、現時点ではプログラミングの知識が必要と考えられる」としている。
その理由は、スマホアプリの開発には専用ツールが必要であり、AIの支援があってもITの経験がないと使いこなすのは難しい。仮にスマホアプリを作成できたとしても、iOSやAndroidにはサンドボックスの保護機能があり、これを突破できたとは考えにくいからだ、と徳丸氏は述べた。
被告が「ウイルス作成」を認めたのは、おそらく訴訟戦術であり、まだ「未経験者がAi支援でウイルス作成」には至っていないと考えるとした。
また、相次ぐECサイトからのクレジットカード情報漏洩事例として、タリーズのECサイトへの不正アクセスによる5万件以上のクレジットカード情報の漏洩、シャープ公式オンラインストア「COCORO STORE」・食材宅配サービス「ヘルシオデリ」における不正アクセスによる個人情報流出に例に挙げて解説を行った。
日本クレジット協会によると、クレジットカードの不正利用被害額は、2023年には541億円になる。
では、どのように搾取するかということになるが、フォームジャッキングが多いと見ている。
一般の方がカード情報を入力すると、この入力したカード番号情報などがJavaScriptを改ざんされたものによって、ハッカーのサーバーに転送されるという手口である。フィッシング詐欺も相変わらず多く、これらによりカード情報が搾取される。
ECサイト事業者には、マルウェア対策や不正ログイン対策等のセキュリティ強化が急務であり、2025年3月末までに「EMV (Europay International・Mastercard・VISA)3-Dセキュア」の導入が義務化されるとしている。また、マルウェア対策、不正ログイン対策は今後も強化していくべきであろう。
最後に、徳丸氏が強調したのが、2022年10月以降、新たにクレジットカード決済を導入するEC加盟店は「セキュリティチェックリストに基づく対策措置状況申告書」の提出が求められることになったが、このチェックリストと申告書が非公開であることである。なぜ、このような大事な情報が非公開なのか?と疑問を投げかけた。
吉田氏は、生成AI、OTセキュリティ、サプライチェーン攻撃の3つを挙げた
徳丸氏に続いて登壇した、吉田氏は2024年の振り返りとして、生成AI、OTセキュリティ、サプライチェーン攻撃を挙げた。
まず生成AIでは、誰でもサイバー攻撃を実行できる時代になったということだ。生成AIを用いた犯罪ツールまで登場してきており、技術的な知識がなくても手軽にサイバー攻撃が出来るようになった。
また、犯罪用生成AIも開発されている。2024年7月のトレンドマイクロ社調査によると「WormGPT」を含む4つ以上の犯罪用生成AIが報告されている。
さらに、言語の壁を越えたサイバー攻撃が活発化していることも懸念材料だ。以前のビジネスメール詐欺は、明らかに不自然な日本語が多かったが、徐々に正確性を増してきていると感じる人も多いであろう。
OTセキュリティは、インダストリー4.0以降、IoTやDXの導入が加速したことでサイバーリスクが高まっていることから、重要性が見直されている。国内製造業のOT/IoTセキュリティにおける上位サービスやMSSサービスへの投資額は大きく伸びると予想されている。
サプライチェーン攻撃は、重大なインシデントの増加、生成AIの登場も伴って攻撃事態が高度化しているということが挙げられるとした。
2025年の展望
2025年について、徳丸氏と吉田氏は2024年の振り返りを受けての展望ということでの発表をした。
徳丸氏は、2025年も生成AIが脅威であることに間違いはないと述べた。ただ、急激な変化は考えにくいとも考えているようだ。マルウェア等の生産性は向上するが、フィッシング等の文面作成の効率化は可能ではあるが、まだ人手による添削は必要であるためだ。
また、クレジットカード情報の被害は増加傾向にあるのではないかとした。今後は16桁のカード番号を使うのは難しく、EMV 3-Dセキュアやトークン決済といった新しいセキュリティ技術が普及していくのではないかと予想した。
一方、吉田氏は、生成AIによりサイバー攻撃の低コスト化に伴い、攻撃対象の拡大やソーシャルエンジニアリングの攻撃件数の増加および高度化を予想するとした。
今後実施すべきセキュリティ対策としては、企業は、ゼロトラストの考え方を踏まえ、情報セキュリティ対策を実施する必要がある。情報セキュリティ教育や訓練等、人的セキュリティ対策といったようなものを取っていかなければならない。
OTセキュリティは、OTとAIの統合によるスマート製造の進化、デジタルツイン技術の活用が予想されるために、業務の継続性と安全性を確保できるサイバーセキュリティ対策が重要になってくるとした。
今後実施すべきセキュリティ対策としては、可視化ネットワーク分離、CSIRTなどが必要とした。
サプライチェーンへの攻撃というのは今後より多くなってくるであろうと考えている。そこで、その対策についても強化が必要だ。企業は組織内における情報管理の徹底や委託先との契約内容の確認、SBOM(ソフトウェア部品表)などを用いた納品物の検証などが重要であると述べた。
吉田氏は、最後に世界各国のサイバーセキュリティ関連法についての動向を下記の図により解説を行い、講演を締めくくった。
