投稿者 global-ai-media 
暗号資産ウォレット大手のCTOが「AIによってハッキングが安価かつ迅速になっている」と警鐘を鳴らしました。この脅威はWeb3領域にとどまらず、AI活用を推進するすべての日本企業にとって対岸の火事ではありません。攻撃手法の高度化にどう立ち向かうべきか、実務的な視点から解説します。
AIが引き下げる「サイバー攻撃のハードル」
暗号資産(仮想通貨)向けハードウェアウォレット大手のLedger社CTO、Charles Guillemet氏が「AIによってハッキングがかつてなく安価で迅速になっている」との警告を発しました。同氏によれば、攻撃のハードルが劇的に下がったことで、これまでの暗号資産システムのセキュリティモデルそのものを根本から見直す必要に迫られているといいます。
この指摘は、Web3や暗号資産という特定の領域に限った話ではありません。生成AIや大規模言語モデル(LLM:膨大なテキストデータを学習し、人間のように自然な文章を生成・理解するAI)の進化は、私たちに業務効率化や新規事業の創出といった多大なメリットをもたらす一方で、悪意を持つ攻撃者にとっても強力な武器(Offensive AI)となっています。
日本企業に忍び寄る「生成AI時代の脅威」
日本国内の企業においても、AIによるサイバー攻撃の高度化は無視できないリスクです。例えば、従来のフィッシングメールは不自然な翻訳調の日本語が多く、従業員のリテラシー教育によってある程度の防御が可能でした。しかし現在では、LLMを用いることで、特定の企業文化や取引先の文面を模倣した、極めて自然で巧妙な「標的型攻撃メール」を大量かつ安価に生成できるようになっています。
また、プロダクト開発の現場においても脅威は増しています。攻撃者はAIを活用して、公開されているソースコードやAPIの脆弱性を自動的かつ高速にスキャンし、人間が気づきにくいシステム上の隙を突いてきます。特に日本では、システム開発において多重下請け構造(サプライチェーン)が一般的であり、セキュリティ管理が行き届きにくい関連会社や委託先が最初の標的となるリスクが高まっています。
防御側にも求められるAIの活用とガバナンス
攻撃者がAIを駆使する以上、防御側も従来の境界防御に頼るだけでなく、新たなアプローチを取り入れる必要があります。セキュリティ運用の現場では、膨大なアクセスログから異常な振る舞いを瞬時に検知するために、機械学習を用いたソリューションの導入が進んでいます。攻撃の自動化に対抗するには、防御側もAIを活用した対応の自動化・迅速化を図ることが現実的な解となります。
同時に、社内でAIを活用した新規サービスを開発したり、既存プロダクトにAIを組み込んだりする際には、開発の初期段階からセキュリティ要件を組み込む「セキュリティ・バイ・デザイン」の徹底が不可欠です。AIモデルに対する不正な入力(プロンプトインジェクション)による情報漏洩など、AI特有のリスクを評価し、法務・コンプライアンス部門と連携して社内のAIガバナンス体制をアップデートすることが求められます。
日本企業のAI活用への示唆
・攻撃手段のコモディティ化を前提とした防御の再構築:AIにより、高度なサイバー攻撃が安価かつ大量に行われる時代に入りました。個人のリテラシーへの依存を減らし、ゼロトラスト(すべてのアクセスを疑い、検証するセキュリティの考え方)を前提としたシステム設計へ移行する必要があります。
・サプライチェーン全体のセキュリティ評価:自社の対策だけでなく、パートナー企業や委託先の脆弱性が狙われるリスクを認識し、日本の商習慣を踏まえたうえで、取引先も含めたセキュリティ基準の見直しと監査を実施することが重要です。
・「攻めと守り」両輪でのAIガバナンス:業務効率化やプロダクトへのAI組み込み(攻め)を進める際は、同時にサイバー攻撃の高度化やAI特有の脆弱性(守り)にも目を向ける必要があります。経営層から現場のエンジニアまで、リスクとメリットを正しく評価できる体制を築くことが、安全なAI活用の第一歩となります。