生成AIで増幅する標的型攻撃とBEC：ID中心の防御設計を見直す

生成AIが「攻撃の量と質」を同時に押し上げる理由

生成AIの普及は、生産性を高める一方で、攻撃準備の手間を下げます。結果として、攻撃の試行回数が増え、文面や手順の完成度も上がります。

特にフィッシングやビジネスメール詐欺（BEC）は、文章の自然さが成否を左右します。AIにより、業界用語や社内の言い回しに近い文面が短時間で作られます。

防御側が「見抜く訓練」に依存していると限界が出ます。人の注意力ではなく、プロセスと技術統制で破綻しない前提へ更新する必要があります。

海外大手テクノロジー企業の指摘に見る、国家背景も疑われる脅威の現実

海外大手テクノロジー企業は、生成AIが攻撃者の加速装置になり得る点を示しています。特定地域に関連するとされる脅威アクターの活動が活発化する文脈も語られました。

こうした脅威は、情報収集を長期的に行うタイプと、金銭化を強く志向するタイプで傾向が分かれます。目的の違いは、侵入後の横展開や持ち出しの動きに反映されます。

そのため、防御は侵入経路の遮断だけでは不十分です。侵入後のふるまいを前提に、検知・封じ込め・復旧の設計をセットで考えることが重要です。

AIが効きやすいフェーズと、実務で増えるリスク

AIは未知の「新手口」より、既存手法の増幅として効きます。下調べ、文面作成、送付、反応観測、改善という反復が高速化し、A/Bテストも現実的になります。

偵察では、求人情報やプレスリリース、技術ブログ、SNS投稿などの公開情報を要約し、システム構成や運用体制を推測しやすくなります。狙う部署や人物の絞り込みも精緻になります。

開発面でも、マルウェアの自動生成より、既存ツールの調整やエラー修正の手戻り削減に効果が出ます。攻撃者の平均能力が底上げされ、単発対策では追いつきにくくなります。

企業が取るべき具体的な対策：基本の徹底と設計の更新

優先順位が高いのは、IDと認証情報の防御です。多要素認証（MFA）の必須化に加え、フィッシング耐性の高い方式の採用、条件付きアクセス、特権IDの分離が有効です。

次に、メール・チャット経由の依頼を前提に業務手続きを見直します。送金や支払先変更などは、別チャネル確認や二者承認など、文面の真偽に依存しない統制が求められます。

さらに、外部公開資産の棚卸しと脆弱性管理を継続します。インターネット露出の把握、パッチ適用のSLA設定、EOL排除、設定不備の定期点検が被害の入口を狭めます。

最後に、検知と対応の運用成熟が欠かせません。端末・クラウド・IDのログを相関し、誰がどのアラートをどの時間内に判断するかまで決め、演習で手順を実装に落とし込みます。

まとめ

ネットワークベンダーとして、PSIでは、生成AI時代の防御は多層防御とゼロトラストの考え方で再整理すべきだと考えます。特にIDを中心に、侵入を前提とした設計へ寄せることが要点です。

また、なりすましや誤誘導は一定確率で起きる前提で、重要業務が破綻しない承認フローへ更新することが重要です。人の注意に依存せず、プロセスでリスクを下げます。

加えて、ネットワークのセグメンテーションや監視設計を通じて、侵入後の横展開を抑え、早期検知と封じ込めを実現します。継続的な運用改善が、現実的な耐性につながります。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp