チェンジホールディングスの子会社でサイバーセキュリティ事業を手掛けるサイリーグホールディングスは12月4日（水）、「サイバーセキュリティの現在と未来を考察する」と題した記者説明会を開催。同説明会では、イー・ガーディアングループCISO兼EGセキュアソリューションズ取締役CTOの徳丸 浩氏が登壇し、「2024年のサイバーセキュリティの振り返りと2025年の展望」と題し、この一年の振り返りと来年の展望を予想した。

EGセキュアソリューションズ 株式会社　取締役
CTO 徳丸 浩氏（筆者撮影）

徳丸氏は2024年の注目すべきトピックとして下記の３つを挙げて説明を行った。

• 生成AIによるサイバー攻撃の可能性
• 生成AIで作成したプログラムに潜む脆弱性
• クレジットカード情報漏洩の動向

発表概要

まず１つ目の生成AIによる攻撃の話題では、未経験者が生成AIのみで高度なランサムウェアを開発できたと報道された事件に疑問を呈した。実際には、生成AIはコード作成の「ヒント」にはなるが、知識不足の者がそれだけで有効な攻撃ツールを完成させるのは難しいと見解を示す。

次に２つ目の話題では、生成AIで作成したプログラムには脆弱性が含まれる可能性がある点を指摘した。AIはコードを効率的に生成するが、XSSなどの脆弱性を含むことが多く、人間による検証と対策が欠かせない。「AIだから安全」という考え方は危険であり、生成コードの品質管理が課題になる。

最後に、クレジットカード情報漏えいの増加傾向を強調。攻撃者は正規サイトを改ざんするフォームジャッキングや、フィッシングなど巧妙な手口でユーザー情報を盗む。企業側はチェックリスト提出やEMV 3-Dセキュア義務化などの規制強化に対応せねばならず、決済のトークン化といった新たな仕組みが普及する可能性がある。

発表まとめ

徳丸氏は上記発表の内容から、2025年の脅威予測として以下を発表した。

• 生成 AI がセキュリティの脅威となる側面はあるが、急激な変化は考えにくい
  • マルウェア等の開発生産性は向上する
  • フィッシング等の文面作成の効率化は可能だが、「 AI 臭さ」もあるので、人手による添削は必要
  • 機械翻訳の活用は元々進んでいるので、その延長で AI の活用は自然な流れ
• 生成 AI によるプログラム開発は進んでいるが、品質や脆弱性の問題が今後顕在化すると予想
  • ただ 、外部からは「生成 AI のせい」とは判明しづらい
• クレジットカード 情報の被害は増減不明だが、被害増加で 予想
  • 中期的には、 16 桁のカード番号を生で使うことはなくなり、 VISA 等が推進するトークン決済が普及すると予想