サイバー犯罪の産業化：AIと自動化が脅威の構図を塗り替える

2025年、HPE脅威ラボは現実世界の攻撃事案を継続的に追跡する中で、サイバー犯罪分野における重大な転換点を発見した——犯罪手法が前例のない「産業化」の過程をたどっているのだ。同ラボが最新発表した『In the Wild Report』では、犯罪者が自動化ツールと人工知能技術をどのように採用し、従来は散発的だった攻撃活動を、大規模で構造化され、高効率な「犯罪ライン」へと変えているかが詳しく説明されている。

産業化：個人の工房から犯罪企業へ

長い間、サイバー犯罪は「一匹狼」型の個人行動と見なされてきたが、今やその印象は完全に覆されている。HPEは、犯罪組織が正規のソフトウェア企業に似た開発プロセスを広く採用していることを観測している。要件分析、モジュール化開発、テストとデプロイ、技術サポート、さらには「アフターメンテナンス」まで提供している。この産業化モデルがもたらす直接的な結果は、攻撃規模の急激な拡大である。従来は数週間にわたる手作業を必要とした大規模なフィッシング活動が、現在ではAIが生成するパーソナライズされたメールと自動化された拡散ツールを活用することで、数時間以内に完了できる。

「彼らはもはやハッカーではなく、効率的な犯罪起業家です。『In the Wild Report』は、犯罪者がスタートアップ企業を運営するように攻撃プラットフォームを管理しており、そこにはバージョンの反復、顧客からのフィードバック、性能監視が含まれることを示しています。」—— HPE脅威ラボ シニアディレクター Mounir Hahad

AIによる強化：長年の脆弱性に新たな命

さらに警戒すべきなのは、AIがまったく新しい脆弱性を生み出しているのではなく、すでに存在していたもののかつては見過ごされていた「古い脆弱性」に再び威力を与えている点である。例えば、生成AIを利用して非常にリアルなソーシャルエンジニアリング文面を作成し、自動スキャンツールと組み合わせて、未修正のSMB脆弱性やHTTPインジェクションポイントを迅速に特定する。HPEの報告によると、2025年の成功した侵入事例の70%以上が、少なくとも1つの公開から2年以上経過した脆弱性に関係しており、犯罪者はAIを利用してエクスプロイトスクリプトの生成速度を10倍以上に高めている。

さらに、ディープフェイク（Deepfake）技術は経営幹部の音声フィッシングにすでに利用されている。攻撃者はCEOの音声をクローンし、電話会議中に財務担当者へ緊急の送金指示を出す。この種の攻撃の成功率は、従来型フィッシングの3%から15%以上へと急上昇し、企業に数千万ドルの損失をもたらしている。

バックグラウンドスキャン：攻撃サービス化の全面的アップグレード

産業化傾向のもう一つの表れは、「犯罪サービス化」（CaaS）エコシステムの成熟である。ダークウェブ上には、自動化攻撃コンポーネントを提供する多数の「サプライヤー」が出現している。AIフィッシングテンプレート生成器、自動脆弱性スキャナー、DDoS攻撃パッケージ、ランサムウェア構築ツールなどが、いずれもサブスクリプション制または従量課金モデルで貸し出されている。これにより参入障壁が大幅に下がり、技術力を欠く個人でも複雑な攻撃を仕掛けられるようになった。セキュリティアナリストはこれを「サイバー犯罪分野のAWS」に例えている——誰もがオンデマンドで計算能力と攻撃モジュールを購入できるということだ。

防御への示唆：基本に立ち返り、AIを受け入れる

編集者注：攻撃者の産業化に直面する中で、防御側も同様にアップグレードする必要がある。まず、企業は基本的なセキュリティ実践に立ち返るべきである。既知の脆弱性を速やかに修正し、多要素認証を導入し、従業員のセキュリティ意識向上トレーニングを強化することだ。これらの一見「古い」対策は、AI時代においてもなお第一の防衛線である。次に、セキュリティチームはAIを防御体系に組み込む必要がある。機械学習を利用して異常なトラフィックパターンを検出し、脅威インテリジェンスを自動生成し、インシデント対応を加速するのである。例えば、HPE脅威ラボ自身はすでにAI支援によるリアルタイム脅威ハンティングシステムを導入しており、平均検出時間を時間単位から分単位へ短縮している。

最後に、業界連携が極めて重要である。サイバー犯罪は国境を認識せず、単一企業のセキュリティの孤島では産業化した犯罪ネットワークに対抗できない。金融業界の「リスク管理アライアンス」に似た、業界横断・地域横断の脅威インテリジェンス共有メカニズムを発展させ、企業が最新の攻撃手法とIoC指標をリアルタイムで取得できるようにする必要がある。

要するに、2025年のサイバー犯罪はもはや「ハッカーの腕自慢」ではなく、効率と規模をめぐる戦いである。同じように産業化された防御体系を用いてこそ、この非対称戦争で優位に立つことができる。

本記事はMIT Technology Reviewをもとに編集・翻訳したものです