投稿者 global-ai-media 
Googleは最近のレポートで、国家支援型ハッカーがサイバー攻撃の準備段階などでGeminiを含む生成AIを積極的に活用していることを明らかにしました。攻撃者の生産性が向上し、言語の壁が低くなる中、日本企業は従来の「日本語による参入障壁」に頼れない時代に突入しています。本稿では、攻撃者側のAI活用実態を解説しつつ、日本企業が取るべきセキュリティ戦略とガバナンスについて考察します。
攻撃者にとってもAIは「業務効率化ツール」である
Googleのレポートによれば、国家支援型のハッカーグループがGeminiのような高度な大規模言語モデル(LLM)を、サイバー攻撃のライフサイクルにおける様々なフェーズで活用していることが明らかになりました。ここで重要なのは、AIが魔法のように自動でハッキングを行っているわけではないという点です。彼らにとっても、AIはあくまで「業務効率化ツール」として機能しています。
具体的には、標的となる組織の情報を収集する偵察行為(Reconnaissance)、システムの脆弱性の発見、そしてソーシャルエンジニアリングのための文面作成などに利用されています。これまで高度な専門知識や時間を要した作業が、生成AIによって大幅に短縮され、攻撃の試行回数や精度が向上しているのが現状です。
「日本語の壁」の崩壊とソーシャルエンジニアリングの高度化
日本企業にとって最も警戒すべき変化は、生成AIによって「不自然な日本語」という従来の防御壁が崩壊しつつあることです。かつて海外からのフィッシングメールやビジネスメール詐欺(BEC)は、機械翻訳特有の違和感から容易に見抜くことができました。
しかし、現在のLLMは流暢かつ自然なビジネス日本語を生成可能です。攻撃者はターゲット企業の公開情報やSNSをAIに読み込ませ、その組織文化や担当者の文体に合わせた、極めて精巧なメールを作成できます。これにより、日本特有の「空気を読む」文化や、上意下達の組織構造を逆手に取ったソーシャルエンジニアリング攻撃のリスクが急増しています。
脆弱性発見の自動化と「いたちごっこ」の加速
レポートでは、攻撃者がソフトウェアのコードをAIに解析させ、脆弱性を発見するプロセスにも活用していることが示唆されています。これは、攻撃の準備にかかるコストが下がっていることを意味します。
一方で、この技術は防御側(企業やセキュリティベンダー)も利用可能です。AIを用いたコードレビューや、システムログの異常検知など、セキュリティ運用(SecOps)へのAI導入は急速に進んでいます。今後のサイバーセキュリティは、攻撃側と防御側の双方がAIを駆使する、より高度で高速な「いたちごっこ」の様相を呈することになります。AIを導入していない企業は、丸腰で戦場に立つに等しい状況になりかねません。
日本企業のAI活用への示唆
今回のGoogleによる報告は、AIのリスクを強調するものではありますが、AIの利用を萎縮させるべきではありません。むしろ、敵を知り、正しく備えるための重要なインテリジェンスです。日本の経営層および実務者は、以下の3点を意識して対策を進める必要があります。
- 「違和感」に頼らない教育への転換:
「日本語がおかしいメールは怪しい」という教育はもはや通用しません。文脈の不自然さ、緊急性を煽る内容、通常と異なる承認フローの要求など、より本質的な疑わしさを検知できるよう、従業員のセキュリティ教育をアップデートする必要があります。 - AIによる防御体制の構築(AI for Security):
人手不足が深刻な日本のIT現場において、24時間365日の監視を人間だけで行うのは限界があります。攻撃側がAIを使う以上、防御側もAIを活用した脅威検知やインシデント対応の自動化を積極的に進め、セキュリティ担当者が高度な判断に集中できる環境を作ることが急務です。 - 厳格すぎないガバナンスと監視:
社内での生成AI利用を過度に禁止することは、「シャドーAI(会社が把握していないAI利用)」を誘発し、かえって情報漏洩リスクを高めます。利用ガイドラインを整備した上で、適切なサンドボックス環境を提供し、ログを監視できる体制を整えることが、結果として組織を守ることにつながります。