- About Trend Micro
- プレスリリース
- 2025年セキュリティ脅威予測を公開
トレンドマイクロ、2025年セキュリティ脅威予測を公開
~AIを悪用した詐欺や攻撃者を支援するツールが台頭~
2024年12月24日
トレンドマイクロ株式会社(本社:東京都新宿区、代表取締役社長 兼CEO:エバ・チェン 東証プライム:4704)は、2025年の国内外における脅威動向を予測したレポート「2025年トレンドマイクロ セキュリティ脅威予測」を本日公開したことをお知らせします。
「2025年 セキュリティ脅威予測」の全文はこちら
「2025年 セキュリティ脅威予測」主なトピック
●AIを悪用した詐欺や攻撃者を支援するツールが台頭
2025年はAIの更なる発達と浸透により、AIを悪用した詐欺が増加することが予測されます。ソーシャルエンジニアリングを用いた詐欺やSNS投資詐欺、ビジネスメール詐欺(BEC)、偽情報の拡散等は、ディープフェイクの悪用で巧妙化するでしょう。SNSの投稿内容等から、AIが文章の書き方や表現、知識、性格を学習し、それらを模倣することで、より説得力のあるなりすましを実行することが可能となります。さらに技術的な知識が限られている犯罪者でも、簡単にフィッシング攻撃を実行することを支援するツールやリソースがセット化されたフィッシングキットの作成をAIが担うなど、AIを悪用した新たな手法が次々と現れ、攻撃者はこれらのツールを効率的に利用し、タイムリーに攻撃を展開できるようになります。
●法人組織のAI利活用に伴う自立型AIによるリスクや情報漏洩が課題
法人組織におけるAIの利活用が進むことで、業務効率の向上やデータ分析の精度向上といった多くの利点が得られる一方で、様々なセキュリティリスクが懸念されます。AIがより自律的に行動し、企業のシステムやツールを自由に操作するようになると、人間の目が届かない場所で様々な処理が行われるようになります。こうした状況では、AIの行動をリアルタイムで把握し制御することが難しくなり、重大なセキュリティリスクとなる可能性があります。
特に懸念されるのは、大規模言語モデル(LLM:Large Language Model)を介した機密情報の流出です。従業員が意図せず、個人情報や知的財産に関する情報をAIサービスに入力する指示や、質問(プロンプト)に含めてしまうことで、これらの情報が外部に漏れてしまう恐れがあります。
また、法人組織の中には、インフラの脆弱性を発見するためにAIを活用するケースがあり、万が一その脆弱性情報が流出してしまった場合は、サイバー攻撃に悪用される可能性があります。さらに、法人組織が導入しているAIサービスの脆弱性が新たな攻撃対象となり、外部からの乗っ取りを含む不正利用の脅威につながる恐れがあります。
●標的となるメモリ管理の脆弱性
プログラムがメモリの管理を誤ることで発生する、メモリ管理の脆弱性は、攻撃者がシステムの動作を制御したり、任意のコードを実行したりするために悪用されています。米国土安全保障省のサイバーセキュリティ・インフラセキュリティ庁(Cybersecurity & Infrastructure Security Agencyが公開した脆弱性リスト(Known Exploited Vulnerabilities Catalog)の報告によると、メモリ管理の脆弱性である境界外書き込み(バッファオーバーフロー)は2024年だけでも18種類が悪用されました。MITREの分析では、メモリ管理の脆弱性(CWE-787とCWE-12516)は、その深刻度と発生頻度から最も危険な脆弱性の一つとされています。メモリの管理とメモリの破壊に関する脆弱性は、2025年も攻撃者の標的になることが予想されます。また、BYOVD(Bring Your Own Vulnerable Driver:脆弱なドライバを悪用する攻撃)が活発化する懸念があります。BYOVDとは、サイバー攻撃者が標的組織内の環境に、脆弱性を含むドライバを新たにインストールし、その脆弱性を悪用して(権限昇格などの)攻撃を広げる手法です。
●正規ツールやAIの悪用を強化し、効率化するランサムウェア攻撃
2025年のランサムウェア攻撃において、サイバー犯罪者たちはデータ窃取や認証情報の収集などに正規ツールを引き続き悪用したり、マルウェアの拡散や既存のマルウェアをランサムウェアに改変すること等にAIを悪用し、攻撃をより見つかりにくく、より速く実行するよう努めます。侵入においては、システムの脆弱性を突く攻撃や乗っ取ったアカウントを用いる侵入が増え、これまでの常套手段であったデータの暗号化を必要条件としない攻撃へ変化する可能性があります。
このように2025年は、攻撃者たちによるAIの悪用が活発化し、サイバー犯罪がより巧妙化することが予想されます。攻撃者にとって、AI技術は攻撃をより簡単に、素早く、効果的に実行することに悪用されます。一方、法人組織はAI技術を活用し、脅威の分析や攻撃対象領域の管理、攻撃経路の予測など、脅威の早期検知や防御をより強化するプロアクティブなセキュリティ対策を講じることが求められます。加えて、AIの業務利用を行っている法人組織は、ガイドラインの制定や従業員教育などのAIを安心・安全に利用するための人的・組織的な対応が重要になります。