投稿者 global-ai-media 
生成AIはビジネスに革新をもたらす一方で、悪意ある攻撃者の能力を底上げするツールにもなっています。本記事では、中級レベルのハッカー集団がAIを駆使して多額の資金を窃取した事例を紐解き、日本企業が直面する新たな脅威と実務的な対策について解説します。
AIが変えるサイバー攻撃のランドスケープ
生成AIや大規模言語モデル(LLM)の進化は、企業の業務効率化や新規サービス開発に多大な恩恵をもたらしています。しかし同時に、その強力な能力は悪意のある攻撃者にも等しく提供されているという現実から目を背けることはできません。
米WIRED誌の報道によると、北朝鮮のハッカー集団がAIツールを活用し、最大1200万ドル(約18億円)もの資金を窃取した事例が確認されています。注目すべきは、彼らが高度なサイバーセキュリティの専門家ではなく、いわゆる「中程度のスキル」しか持たないハッカーであった点です。彼らはAIに対して自然言語で指示を出し、マルウェア(悪意のあるソフトウェア)のコードを生成させたり、ターゲットを騙すための精巧な偽企業ウェブサイトを構築したりしていました。
このように、プログラミング言語の詳細な知識がなくても、自然言語の指示(プロンプト)だけでシステムやツールを構築する手法は「バイブコーディング(Vibe Coding)」とも呼ばれ、開発の民主化を後押しするトレンドとして注目されています。しかし、この事例が示しているのは、サイバー攻撃における「参入障壁の大幅な低下」という看過できないリスクです。
「不自然な日本語」という防壁が消滅する日
このグローバルな動向は、日本企業にとっても対岸の火事ではありません。これまで、海外からのサイバー攻撃やフィッシングメールの多くは、「不自然な日本語」や「日本の商習慣に合わない文面」であったため、従業員が直感的に違和感を抱き、被害を水際で防ぐことができていました。いわば、言語と文化の壁が天然の防壁として機能していたのです。
しかし、LLMの翻訳およびテキスト生成能力が飛躍的に向上した現在、攻撃者は極めて自然で、丁寧な日本のビジネス敬語を用いたフィッシングメールを大量に自動生成できるようになりました。さらに、公開されている企業情報や過去の漏洩データをAIに学習させることで、日本特有の稟議プロセスや請求書のやり取りを模倣した巧妙なビジネスメール詐欺(BEC)を仕掛けることも容易になっています。
防御側もAIを前提とした戦略への移行を
攻撃側がAIを用いてマルウェア開発や標的型攻撃を自動化・規模拡大させる時代において、防御側が従来の人手による監視やルールベースの検知だけで対抗することには限界があります。日本企業は、攻撃側の能力底上げを前提としたセキュリティ戦略へのアップデートが急務です。
具体的には、サイバー攻撃の兆候を早期に発見するため、防御側にもAIや機械学習を活用した異常検知システムの導入が求められます。膨大なアクセスログの中から、人には見えない微細な異常パターンをAIで特定し、インシデント対応を迅速化するアプローチです。
また、自社のプロダクトや業務プロセスにAIを組み込む際も、攻撃者がAIを使ってシステムの脆弱性を突いてくる可能性を想定する必要があります。開発の初期段階からセキュリティ対策を組み込む「シフトレフト」の徹底や、生成AI自体の不正利用を防ぐためのAIガバナンス体制の整備が不可欠です。
日本企業のAI活用への示唆
今回の事象を踏まえ、日本企業がAI活用とリスクマネジメントを両立させるためのポイントは以下の通りです。
・AIによる脅威の認識と教育の再定義:従来の「怪しい日本語に注意する」といったセキュリティ教育はすでに通用しません。AIによって巧妙化された攻撃手法の存在を前提とし、送信元の厳密な確認や多要素認証(MFA)の徹底など、ゼロトラスト(誰も・何も信頼しない)を前提としたプロセス教育へ切り替える必要があります。
・サプライチェーン全体の防衛力強化:高度なスキルを持たない攻撃者でも容易に攻撃を仕掛けられるようになることで、セキュリティ対策が手薄な関連企業や取引先が最初の標的となるリスクが高まります。自社だけでなく、サプライチェーン全体でのセキュリティ基準の底上げと、インシデント発生時の連携体制の構築が重要です。
・防御プロセスへのAI・自動化の導入検討:攻撃の質と量が急増する中、社内のIT部門やセキュリティ担当者のリソース不足を補うために、セキュリティ運用(SecOps)領域へのAI導入を前向きに検討し、攻防の非対称性を解消していくことが求められます。