生成型AI(人工知能)の進化により、“普通の人”がハッカーになれる時代が到来した。かつては専門的な訓練が必須だったハッキング行為が、今や一般人の手にも届くようになった。一方で企業の情報保護に対する投資は不十分だという指摘が出ている。
◇AIで量産されるフィッシング
セキュリティ業界関係者によると、韓国政府機関は2025年、生成型AIを活用したサイバー攻撃の増加を予測している。
科学技術情報通信省と韓国インターネット振興院(KISA)は「2025サイバー脅威展望」報告書の中で、ダークウェブを中心にサイバー犯罪に特化した悪性の生成型AIモデルが活用される可能性が高いと分析した。
報告書では「ChatGPTのようなサービスを使って、個別に最適化されたフィッシングメールを作成したり、攻撃ツールを開発したりする事例が増えるだろう」と予測している。
サイバーセキュリティ企業チェック・ポイントも「2024年サイバーセキュリティ動向」報告書で、生成型AIがサイバー攻撃のプロセスを大幅に簡素化していると指摘した。
AIを活用すれば、説得力あるフィッシングメールを自動生成し、セキュリティ制限を回避してマルウェアを作ることが可能だという。
こうした事例はすでに確認されている。OpenAIは2025年6月、ロシア国籍のハッカーグループがChatGPTを使ってマルウェアを作成したとされる事実を把握し、関連アカウントを遮断した。
グループは一時的なメールでChatGPTアカウントを作成し、「Crosshair-X」というゲーム用の照準ツールに偽装したオープンソースコードを用いて、マルウェアを配布していた。
◇経営成績より重い“防御力”
こうした脅威が拡大しているにもかかわらず、韓国国内の企業におけるサイバーセキュリティへの投資は依然として不足している。
KISAの情報保護公示総合ポータルによれば、韓国の主要企業における過去4年間の情報保護投資比率は、IT投資額のわずか6%台前半にとどまっていた。つまり、IT予算が100億ウォン(約10億5000万円)だとすると、そのうちたった6億ウォン(約6280万円)しか情報保護に使われていないことになる。
この投資比率は、米国企業のほぼ半分に過ぎない。セキュリティ専門調査機関であるIANSリサーチとArtico Searchの報告書によると、2023年における米国企業のIT予算に対する情報保護投資比率は平均11.6%だった。
こうした現実を受けて、韓国政府も動き出している。個人情報保護委員会は2025年5月、企業が2027年までにIT予算の10%、2030年までには15%を情報保護に投資するよう勧告する方針を明らかにした。
しかし、韓国情報保護産業協会(KISIA)が2024年実施した実態調査によると、実際に情報保護の予算を使用している企業は全体の49.9%にとどまり、そのうち75.8%は年間500万ウォン未満しか投資していなかった。
専門家は、企業がCISO(最高情報セキュリティ責任者)を中心にセキュリティ体制を強化すべきだと口をそろえる。
イスラエル情報機関「モサド」出身で、ウルトラレッド(UltraRed)CEOのエラン・シュタウバー(Eran Shtauber)氏は次のように警告する。
「CEOがいくら優れた経営成績を収めたとしても、一度のハッキング被害で企業の存続が脅かされる可能性がある。CISOは企業における“最高の戦争指揮官”であり、現代の戦いは戦場だけでなく、企業の内外で常に繰り広げられている」
経営層がセキュリティの重要性を認識すべきだと強調したのだ。
【用語解説】
◇モサド:1949年12月13日に設立されたイスラエルの対外情報機関。冷戦時代にはソ連のフルシチョフ秘密演説の入手、ナチス戦犯アドルフ・アイヒマンの拉致作戦、エンテベ人質救出作戦などを遂行した。優れた情報収集能力と果敢な作戦実行力で、世界的な情報機関として知られる。
◇生成型AI:既存のデータを学習し、新たな結果(文章、画像、音声など)を生み出すAI技術。ユーザーが入力した内容を基に、新しい文書やコンテンツを生成する。代表例にはChatGPTやGemini(旧Bard)などがある。
(c)news1
