3月4日、デロイト トーマツ サイバーは「サイバー脅威と攻撃傾向の今―AI時代のサイバーセキュリティと組織に求められる対応―」と題し記者説明会を実施した。同社の脅威分析を踏まえたセキュリティ脅威動向や将来予測の調査内容とともに、セキュリティ監視を行うサテライト施設「Cyber Intelligence Center」(CIC)でのセキュリティ体制の取り組みを見ていこう。
ユーザーを騙すプログラムが増加
注意深い啓蒙が重要
パートナー
佐藤功陛氏
デロイト トーマツ サイバーでは、同社が設置しているサテライト施設「サイバー・インテリジェンス・センター」(CIC)を拠点として日々サイバー攻撃の脅威分析を行っている。2025年の間、CICがサポートしている顧客環境ではいくつかの脅威が観測されているという。デロイト トーマツ グループ シニアマネジャー 梨和久雄氏は、最新の脅威動向を同社の事例を交えてこう説明する。「一つ目の脅威としては『ClickFix攻撃』によるサイバー被害があります。キャプチャーのような画面をブラウザー上で表示させ、コピペや実行といった指示の通りに実行すると、マルウェアに感染させられたり、情報を抜かれたりしてしまうというものです。当社では、去年2月ごろから検知されています。二つ目は偽インストーラーによる被害です。検索サイトで偽のWebサイトに誘導して偽インストーラーをダウロードさせるという攻撃手法です。昔からある手法ですが、去年も定期的に観測されていました。今年1月には、圧縮・解凍ソフトウェアの『7-Zip』の偽インストーラーが検知され、当社の監視環境でも複数の攻撃事例が観測されていました。最後の類型が、ブラウザー機能拡張によるハイジャックです。ChromeやEdgeといったブラウザーのプラグインの機能拡張として画像一括ダウンロードやPDF編集といった機能が悪用される事例です。考え方としては、偽インストーラーの亜種と言えますが、気づきにくいため少々厄介です。例えば、最初にユーザーがインストールした時には無害ですが、アップデートなどのタイミングでマルウェアに差し替えられ、情報を窃取する仕組みが実装されてしまうというものです。ユーザーが知らず知らずのうちにマルウェアに差し替わってしまっているという危険な状態です」
ここまで紹介したClickFix攻撃や偽インストーラー、ブラウザーの機能拡張といったサイバー攻撃事例には、共通点としてユーザーが騙されている点が挙げられる。「当社のお客さまの環境はコストをかけて防御体制を構築し、セキュリティを整備した当社のサービスを活用されているので、マルウェアの侵入は容易ではありません。しかし、ユーザーの操作はシステムでは完全に制御できません。ユーザーが自分で不正なプログラムを実行した場合、不正なものか意図した動作か、なかなか判断が難しいのです。ユーザーが騙されることが入口としてのリスクになり得るため、社内での情報共有や啓蒙などが重要です」(梨和氏)
AIを悪用したマルウェアが観測
多層的なセキュリティ対策を徹底
シニアマネジャー
梨和久雄氏
また、デロイト トーマツ グループ パートナーである佐藤功陛氏が2026年の脅威予測として、本格化する脅威予測に関して五つ紹介した。「2025年の後半ごろからは、AIを利用したマルウェアが見られています。Pythonなどのスクリプト言語で生成AIがその場でプログラムを実行するものとなっており、環境を無視して動作するプログラムを仕込む可能性があります。攻撃側の偵察や情報収集の手間を省くことで、攻撃の時間短縮といったリスクが増大します。また、外部の生成AIサービスを悪用し、攻撃者の指示に基づいて標的組織の偵察から侵入、内部データの収集まで自律的に行うサイバー攻撃も可能となっています。実際に脆弱なサーバーを見つけ出して潜入し、特定の情報を集めるまでを生成AIサービスによって自動化したというケースも発生しています。例えば、一つの標的組織に対して十~数十分程度で攻撃を実行できてしまう状況になってきているのです。防御側からすると、短時間で、同時多数の攻撃を受ける可能性、ネットワークに侵入される可能性が非常に高くなる状況です」
AIに関するサイバー攻撃は、適切に対処することで十分対策が可能だという。AIを利用したマルウェアの対策としては、生成AIを使える環境や行動を実行するためのスクリプト言語の実行環境を制限することが有効な対策となる。生成AIは企業によるが、一般企業で使用することは少ないと考えられるプログラミング言語の実行環境は、制御しておくと良いだろう。
最後に梨和氏は、今後のセキュリティ対策について「自律的なサイバー攻撃につきましても、手法自体は高度化はしていません。ですので、外部から侵入できる隙が生じないよう、脆弱性管理を見直しましょう。例えば不正ログインの対策や多要素認証などでも十分有効かと思いますので、昨今さまざまなサイバー攻撃の流行がありますが、セキュリティの基本的な対策を取っておくことが重要です」と提言した。
また、会見の最後には、CICのサテライト施設と中継で接続する形で紹介された。CICはリモートでの接続に対応している施設で、24時間365日、セキュリティ監視・脅威インテリジェンスを提供するとともに、SOC立ち上げや高度化支援、教育機関と連携した人事採用など取り組みの幅を広げている。今後も、デロイト トーマツ サイバーのサイバー攻撃対策の取り組みに注目したい。
