EGセキュアソリューションズ株式会社は12月12日、同社取締役CTOの徳丸浩氏による「2024年のサイバーセキュリティの振り返りと2025年の展望」をサイリーグホールディングス主催の記者説明会「サイバーセキュリティの現在と未来を考察する」で発表した。
徳丸氏は、2024年のサイバーセキュリティの振り返りとして下記3つを挙げている。
1.生成AIによるサイバー攻撃の可能性 未経験者でもランサムウェアが作れる時代か?
生成AIの登場で、攻撃者がAIを利用してマルウェアやランサムウェアを作成する事例が報告されている。ある程度の知識があれば、生成AIを悪用して「ウイルスの一部機能」を作成することは比較的容易だが、各機能を統合して「ウイルス」として完成させるには、現時点ではプログラミングの知識が必要。
2.生成AIで作成したプログラムに潜む脆弱性 脆弱性への対処が課題
既に生成AIは開発の現場で多く利用され、プログラミング効率の向上に活用されているが、AIにより生成されたコードには脆弱性を含むコードが一定割合存在するため、AIが生成したから安全という思い込みは危険。
3.クレジットカード情報漏えいの動向 ECサイト利用者へのリスク
大手企業が運営するECサイトであってもクレジットカード情報の漏えいが続いており、フォームジャッキングやフィッシングといった手法が巧妙化、ECサイト事業者には2025年3月末までに「EMV 3-Dセキュア」の導入が義務化される。
また徳丸氏は、2025年サイバー脅威予測として下記3つを挙げている。
1.生成AIがセキュリティの脅威となる側面はあるが、急激な変化は考えにくい
・マルウェア等の開発生産性は向上する
・フィッシング等の文面作成の効率化は可能だが、「AI臭さ」もあるので、人手による添削は必要
・機械翻訳の活用は元々進んでいるので、その延長でAIの活用は自然な流れ
2.生成AIによるプログラム開発は進んでいるが、品質や脆弱性の問題が今後顕在化すると予想
・外部からは「生成AIのせい」とは判明しづらい
生成AIが作成するコードと人間が作成したコードの区別が難しいため、脆弱性の特定や修正が後回しになる可能性が指摘されている。
3.クレジットカード情報の被害は増減不明だが、被害増加で予想
・中期的には16桁のカード番号を生で使うことはなくなり、VISA等が推進するトークン決済が普及
EMV 3-Dセキュアやトークン決済といった新しいセキュリティ技術が普及しつつあるため、企業側の対応が進むことで一部の被害は軽減する可能性がある。
