2025年はどうなる?セキュリティエバンジェリストと語り合う
ランサムウェア攻撃に注目が集まった2024年。しかし、他の様々なサイバー脅威も厳然として存在します。2025年以降、私たちにはどのような備えが必要なのでしょうか?
2024年も様々なセキュリティインシデントがありました。それらを紐解くと、社会情勢が如実に表れていることがわかります。2024年はどのような年だったのか。2025年以降、社会はどのように変わっていくのか。そこからどのようなセキュリティリスクが生まれ得るのか。トレンドマイクロのセキュリティエバンジェリスト、岡本 勝之(おかもと・かつゆき)と石原 陽平(いしはら・ようへい)に、編集部がインタビューを行いました。
ランサムウェアは攻撃激化
編集部:まず岡本さんに、2024年の総括や所感をお聞きしたいと思います。2024年は、個人に対してはネット詐欺が多数報告され、法人組織に対してはランサムウェア攻撃が多発しましたね。
岡本:はい、2023年からこの傾向が続いていると思います。個人では詐欺が大きな問題になっています。法人組織に関しては、ランサムウェア攻撃の件数は増えていますが、国内の被害事例ではもはやアタックサーフェス(攻撃対象領域)もプライベートクラウドにまで拡大してしまったので、新たな展開というのはないように思います。攻撃手法については、攻撃者にとって効果的なものが使われ続けるので、VPNやRDP経由での侵入、侵入後の権限昇格、痕跡をなるべく残さない内部活動、Living off the Land(LotL:環境寄生型、またはシステム内寄生戦術)攻撃のような戦略がずっと続いています。
Living off the Landは8年ほど前から注意喚起をしてきましたが、昨今ようやく一般に注目されるようになり、インターネットで検索もされるようになってきました。
参考記事:データセンターへのランサムウェア攻撃事例を、公式発表から考察する
石原:ランサムウェア攻撃は目に見えて被害が出るということもあって、経営層の関心はランサムウェア攻撃に向いているという印象です。APT(Advanced Persistent Threat:標的型攻撃)で機密情報を窃取されるのは、たとえるなら沈黙の臓器である肝臓の病気に似ている。自覚症状がないがダメージは大きく、外部から言われて気づくというパターンです。一方、ランサムウェア攻撃はいわば大けがのようなもので目に見えて出血している。このため、企業側の注意が向いており、今後顕在化する件数が増えていくと思います。
編集部:編集部では、国内で公表されたセキュリティインシデントを集計していますが、確かに昨年(2023年)に比べて顕著に増加しています。
石原:犯罪学的な統計傾向で言うと、犯罪手法の認知に比例して認知件数は伸びるのです。去年から今年にかけては暗数※が多く、被害に遭ってもプレスリリースをするほどの事象だとは捉えられていなかった状態から、プレスリリースしなければならないと判断される状態になってきたのだと思います。社会認知が進んだ結果と言えるでしょう。
※暗数:おもに犯罪統計において、警察などの公的機関が認知している犯罪の件数と実社会で起きている件数との差。
感覚的には新型コロナウイルス感染症に似ているかもしれません。感染するのはまだ怖いけれども、感染したことのある人は結構周りにいる。誰が罹ってもおかしくない。ランサムウェアもそのようなフェーズに入ってきていると思います。ランサムウェアというマルウェアや攻撃の実態、その被害傾向、サプライチェーンリスクという言葉などが市民権を得て、定着した年が2024年だと考えられます。
参考記事:
・委託先へのサイバー攻撃、どう防ぐ
・事例から考えるサービスサプライチェーンリスクによる影響とその対策
編集部:しかし、2025年もランサムウェア攻撃の被害組織は出続けるであろう、と?
石原:はい、現実問題として、課題を認知しても対策を取り切れない組織もあるでしょう。現在の状況下では、大企業のようなレベルの対策を全ての組織が取ることは難しいと言わざるを得ません。
また、ランサムウェア攻撃を受けた・受けていないという二項対立の議論から、「被害は受けたが、対策はある程度行っており、あれは防ぎようがなかった」、「あの被害は防げたはずだから、これから対策を取りましょう」という、もう少し成熟した議論が必要ですし、そうなっていくかもしれません。
岡本:そこで、自社のサイバーリスク状況を可視化して、優先順位をつけて対策を講じるサイバーリスクマネジメントが大事になってきますね。
生成AIで効率化、それは攻撃者も同じ
編集部:石原さん、攻撃者が攻撃に費やすコストという観点から、正規のツールの悪用などはこれからもより広がっていくでしょうか?
石原:そうですね。攻撃のコストが非常に下がったのは、生成AIの民主化のインパクトによると思います。それは普通のビジネスでも同じで、これまでは専用のツールが使えないと画像や映像などのコンテンツを生成できなかったのに、それに掛かるコストが限りなくゼロに近づいている、というのは攻撃者側にも相当なインパクトだったと思います。マルウェアの作成が速くなるだけでなく、正規ツールのマニュアルをAIに読ませれば使い方を理解するのも早くなる。標的の企業がどのようなツールを使っているか把握するのも早くなっている。生成AIの登場による攻撃コストの激減が、攻撃者側の動きの根本にある本質的な変化だと思います。また、既存のマルウェアやツールの使い回しも増えている、という傾向を見ていると、「攻撃者も面倒くさいのだな」という気がします。
「AIを使いこなしている攻撃者」というのが2024年のイメージに近いのかもしれません。
サイバー攻撃や犯罪を“一種の市場”とみる場合、AIによって攻撃経験が浅い者が参入する、すそ野が広がってきているという点もあれば、古参の攻撃者が使えるツールが増えたという点もあると思います。もともとマルウェア開発をしていた攻撃者にとって、既存のマルウェアを少し作り変えるのも簡単になっていると思います。レガシー(従来型)のセキュリティ対策だと検出されないマルウェアを作成するコストが下がったということです。
そういえば、YouTubeなどで動画を見ていて、英語圏の方が話している動画にあまり正確でない内容の日本語の字幕を付けたものを見かけますね。自動翻訳でそういうことがあってもおかしくないと思います。話している内容と字幕が全然違う、というような。あるいは、印象操作や情報操作を狙って誰かが恣意的な内容に変えてしまうとか。
岡本:フェイクニュース的な動画にはそういう構造が多いです。動画自体は本物でも、字幕には話していることと全然違うことが書かれている。それが検証されずにSNSや解説動画などでエビデンスとして引用、拡散されていたりする。
ビジネスなのかサイバー犯罪なのか
編集部:石原さんが以前社内会議で「マルバタイジング(Malvertising)※」の話をしたことがありました。ビジネスとサイバー犯罪の境界線があいまいになってきているということでしたが、その状況は2025年も拡大していくでしょうか。
※マルバタイジング:Malicious(悪意のある)とAdvertising(広告)を組み合わせた造語。正規の広告ネットワークを悪用して、不正なソフトウェアやマルウェアを配布、不正サイトに誘導するサイバー攻撃。
石原:提示されたコンテンツが「悪意がある」か「ない」か、つまり清濁が見分けにくくなっているのは生成AIのインパクトでしょう。たとえるなら、濁りのタイプやレベルが複雑になったような。魚が住めないような濁った川とは言えないけれど、かなり怪しいものに対して「濁」と判断するかどうかはその時の社会情勢などによってきます。
編集部:清か濁か、どちら寄りなのかを判断するのは、主観や価値観による気がします。
石原:犯罪は社会的行為なので、社会がそれを犯罪と認めるかどうかによります。“最初のスパムメール”は営業担当者が送った広告メールだと言われていますが、それと同じようなことが、AIを使った広告でも起きている気がします。ビジネスかサイバー犯罪かというより、金儲けのやり方に幅が出てきている。
編集部:当事者にはそれほど悪意がないこともあると?
石原:そういうこともあると思います。私たちも気を付けなければいけないのですが、アテンションを引くためには多少「作り」たくもなる。倫理観のハードルが低くなるほど、濁りが増していく。そういう意味でも、境界線があいまいになったというのは間違いないと思います。
AIによって広告のクリエイティブ作成のコストや必要なスキルセットが下がりましたが、たとえるならSNSの登場ですべての人が発信できるようになったということと同じことが、広告でも起こっていると思います。悪意あるコンテンツと悪意のないコンテンツが入り混じった、玉石混交のチャネルが増えている。
岡本:怪しい広告というものは以前からありましたが、正規の広告にデザインを似せているものが多く、サポート詐欺に誘導するような広告は見た目がほぼ同じです。逆に、正規の広告にもダークパターンがたくさんあるので、もはやどれが不正広告なのかリンク先を見ないとわからないですね。
参考記事:
・実例にみる、法人も注意すべきサポート詐欺の攻撃手法
・ダークパターンとは?企業にとってのリスクを解説
石原:宝石とも石ころとも判断がつかないものが増えたために、本当の石ころが見えにくくなっていると言えるかもしれません。
編集部:一時期、「フィッシング詐欺や偽サイトはこのようにして見抜きましょう」というノウハウを求められることもありましたが、もはや人間が見抜くのは無理なのでしょうか?
岡本:そうですね。そうした視覚的なチェックポイントはもう通用しないということは、セキュリティ企業側でも言い始めています。見抜けないことを前提にしないといけないです。
サプライチェーン問題は監査で解決するのか
編集部:今年はサプライチェーンの問題も頻繁に取りざたされました。株式会社イセトーの事例では、ランサムウェア攻撃に遭ったイセトーに、多くの法人組織や自治体が業務を委託していたため、委託元の情報も漏洩してしまいました。このようなサプライチェーンリスクを下げるためには、委託先に対する監査が必要だというのが、一応の結論です。しかし実際には、監査を行うだけではこのリスクは抜本的に下げられないのでは?という気もします。
石原:監査は必要だとは思います。ただ、議論されていないのは、いつの時代に設計された監査なのか?デジタルネイティブでの監査対応になっている組織がどれだけあるのか?という点だと思います。現在の監査対応は人に依存しますが、むしろ機械が監査したほうがいいのかもしれません。たとえばGoogleアカウントに普段とは違うデバイスからログインすると、本人確認のメールが届きますよね。それと同じで、データにアクセスしたときにその証跡が残り、可視化されている状態でなければ、監査を強制したとしても決して問題は解決しないでしょう。
岡本:確かに、デジタル時代の監査というものは、まだ考えられていないかもしれませんね。
石原:サプライチェーンの管理や監査というと、急にアナログになりますよね。しかも多くの場合、当事者の自己申告制です。今のプロセスを単にデジタル化しただけのものもあります。
編集部:こういう業務にこそAIが使えそうです。
岡本:監査もそうですし、内部不正にもAIは有効活用できるように思えます。
石原:監査やサプライチェーンの問題を考えていると、結局はゼロトラストの概念が有効なのだと思います。IDで管理し、そこにデータを紐づけ、権限の有無によってアクセス制御する、ということです。
APTは国際情勢から予測
編集部:日本の法人組織に向けて、2025年に注意喚起したいのはどのような点でしょうか?
岡本:昨今のランサムウェア攻撃の多発で目立たなくなっていますが、APT(Advanced Persistent Threat:標的型攻撃)には依然注意が必要で、今の国際情勢を見ると、遅かれ早かれ深刻な事例が発生するかもしれないと考えています。
石原:特定の国を背景としたAPTグループが、2025年も継続的に日本を標的とするのではないかという予測があります。現在ビットコインが最高値を付けていますし、仮想通貨擁護派のドナルド・トランプ氏が米大統領に再度就任するので、仮想通貨市場がさらに盛り上がりを見せるかもしれません。APTは通常近隣諸国を標的にするので、近隣諸国の動向も注視する必要があります。攻撃の目的には、技術的機密情報の窃取もあるでしょうし、外貨を求めている国を背景としたグループであれば仮想通貨を狙うでしょう。
編集部:仮想通貨と言えば、12月24日にFBIや警察庁が、北朝鮮を背景とするサイバー攻撃グループ「TraderTraitor(トレイダートレイター)」が、暗号資産関連事業者「株式会社DMM Bitcoin」から約482億円相当の暗号資産を窃取したことを特定したと公表しています。株式会社DMM Bitcoinは、多額のビットコインが流出した挙句に廃業に追い込まれてしまいました。このような攻撃が横行するのでしょうか?
石原:そうですね。仮想通貨取引所の攻撃は目新しいものではないですが、仮想通貨の価値が上がっているので、警戒しないわけにはいかないでしょう。
岡本:モチベーションの観点で言うと、これまで金銭目的のサイバー攻撃をあまり行っていないAPTグループでも、経済的な理由から金銭目的に変わっていく可能性もありますね。
予言から予測へ。サイバーセキュリティを科学する年へ
編集部:岡本さんは以前、各組織は自社のセキュリティ対策がどの段階に位置するのか確認することが重要だ、という話をしていました。
岡本:はい、具体的にはNISTのサイバーセキュリティフレームワーク(CSF)の「識別」から着手するのがよいでしょうね。識別されていないリソースは適切に守れているかわからない。また現在のアタックサーフェス拡大の観点からすると、以前に比べてこまめに「識別」を行い、漏れがないようにする必要があると思います。CSFでは、「識別(Identify)」「防御(Protect)」「検知(Detect)」「対応(Respond)」「復旧(Recover)」がサイクルになっています。このサイクルを回してしていかないといけません。ただ、もっと言えば「識別」や「防御」などすべてのコアに関与する「ガバナンス」からです。NISTのCSFは、2024年2月にバージョン2.0が公開され、そこで「Govern(統治)」が追加されました。事業を継続する上で、セキュリティの方針を組織の意思決定層が示していくことが重要だからだと思います。
図:NIST Cybersecurity Framework 2.0の「Core Functions」
編集部:石原さん、サイバーリスクマネジメントにおいて予測することの価値についてお話いただけますか?
石原:今は、予測と予言の区別があまりなされていない気がします。サイバーリスクを予測するとなると、「ここを放置したらランサムウェア攻撃の被害に遭います」というような予言的な捉え方がされている気がするのです。今後、そうした期待も幻滅期に入り、おそらく予言ではなく予測の議論になるだろうと思いますし、そのようにしていかなくてはならない。それがサイバーセキュリティ専業企業の使命だろうと思います。
岡本:「当たった、外れた」という議論は意味がないですね。
石原:大事なのは再現性があることです。予言と予測の明確な違いは、科学的かどうか、サイエンスであるかどうかです。サイエンスである条件は、検証可能であることです。予測が当たった、外れたと言っている時点で、科学的なアプローチではなくなります。
今、最もサイバーセキュリティ業界に足りないのは「仮説」だと思います。「この環境のままだったら、おそらくここが攻撃される確率が高いだろう」とか、「今の状態で運用を続けていくと、将来セキュリティチームが脆弱性対応できなくなるだろう」など、データなどの客観的な視点に基づいた仮説を立てるとします。すると、結果的にインシデントが発生した場合、「ここを放置していたからだ」というような振り返りができ、そこに対して対策をとるという科学的アプローチができます。でも、仮説がなく、「問題なかったかどうか」だけで物事を見ていると、問題が起こった際に後から指摘をされることになり、指摘した人の声の大きさで物事が決まってしまう構図になります。それが今までのサイバーセキュリティだったのでは?と思います。
そこで2025年は、「サイバーセキュリティを科学する」年にするというのが、ひとつのテーマだと思っています。
編集部:岡本さん、石原さん、本日はありがとうございました。
対談を終えて筆者が感じたことは、いつの世も犯罪の本質は変わらない、しかし社会が変わればそれに応じて手法が変わる、主体が変わる、標的が変わる、ということでした。当然、サイバーセキュリティもそれに応じて変わっていかなければならないのですが、これまでのサイバーセキュリティは後手に回っていた感が否めません。社会情勢の変化、新たなテクノロジーの登場、地政学的変動などから予測する方向に、そろそろ舵を切っていく必要があるのかもしれません。
<関連記事>
・サイバー攻撃の被害に遭いやすい組織の特徴は?2024年の最新調査から考察
・生成AIでランサムウェアを作成した容疑者の摘発事例を考察
・ダークパターンとは?企業にとってのリスクを解説
・データ・サプライチェーンとは?マネジメント上の課題を解説する
・標的型攻撃とは?
取材協力
岡本 勝之
トレンドマイクロ株式会社
セキュリティエバンジェリスト
製品のテクニカルサポート業務を経て、1999年よりトレンドラボ・ジャパンウイルスチーム、2007年日本国内専門の研究所として設立されたリージョナルトレンドラボへ移行。シニアアンチスレットアナリストとして特に不正プログラム等のネットワークの脅威全般の解析業務を担当。現在はセキュリティエバンジェリストとして、サイバーセキュリティ黎明期からこれまでのおよそ30年にわたるキャリアで培った深く幅広い脅威知識を基に、ブログやレポ―ト、講演を通じて、セキュリティ問題、セキュリティ技術の啓発にあたる。
講演実績:日本記者クラブ、一般財団法人日本サイバー犯罪対策センター(JC3)、クラウドセキュリティアライアンス(CSA)などにおける講演
石原 陽平
トレンドマイクロ株式会社
セキュリティエバンジェリスト
CISSP。犯罪学学士。経済安全保障コーディネーター。世界各地のリサーチャーと連携し、サイバー犯罪の研究と情報発信を担う。また、サイバー空間における脅威概況や特定専門領域(産業制御システム/IoT/5Gなど)のセキュリティ調査/発信も担当。日本の組織の経営・役員に向けた講習、サイバーセキュリティの国際会議での講演などを通じ、ビジネスとデジタル技術の関係性や、サイバー事故の犯罪学的/地政学的考察に基づく、サイバーリスク対策の啓発を行う。
講演実績:Gartner IT SYMPOSIUM/Xpo™ 2023、SANS ICS Summit 2022、CYBER INITIATIVE TOKYO(サイバーイニシアチブ東京)2022、デジタル立国ジャパン・フォーラム 2022、制御システムセキュリティカンファレンス 2021・2022など
Security GO新着記事
2025年はどうなる?セキュリティエバンジェリストと語り合う
(2025年1月6日)
RansomHubとは?~2024年に登場した新興ランサムウェア攻撃者グループ
(2024年12月26日)
