株式会社ジンテック

Jライブラリー

生成AI時代のサイバー脅威:金融事業者に迫る新たなリスクとその対策(第9回)

名和利男 コラム

私たちがサイバー脅威のモニタリングや対処支援の現場で感じる脅威の進化は、生成AI(Generative AI)の進展によってさらに加速しています。かつて、サイバー攻撃は悪意のある技術者が手動で仕掛けるものというイメージがありました。しかし、いまやAIがこれらの攻撃を支える「頭脳」として機能し、より精密で効率的な攻撃が現実のものとなっています。

特に金融業界は、データと資金の豊富さから常に攻撃者の主要なターゲットとなってきましたが、生成AIを駆使した新たな手法がそのリスクをさらに増大させています。今回は、サイバーセキュリティ専門領域の視点から、金融事業者が直面するリスクを整理し、経営層が今取るべき対策について具体的に提案します。

1. 生成AIによる脅威の変化

生成AIは、膨大なデータから自然な文章や画像を生成できる画期的な技術ですが、これが攻撃者の手に渡ると悪用される可能性があります。例えば、生成AIを使った高度なフィッシング詐欺メールが増加しており、従来のスパムフィルターを簡単に回避できるようになっています。

最近の具体例

2023年に報告された事件では、生成AIを用いて金融機関の幹部を装った音声データが作成され、約2500万ドル(およそ38億6800万円)の不正送金が行われました[1]。このケースでは、従業員が偽音声を信じ、送金指示に従ったことが原因となりました。また、日本国内でも2024年に生成AIを用いたランサムウェア作成事例が確認され、攻撃手法の自動化が新たな課題として浮上しています[2]

こうした事例は、単なる技術的問題に留まらず、組織文化や従業員教育がいかに重要であるかを物語っています。

2. 金融業界が直面するリスク

生成AI時代のサイバー攻撃は、以下の3つの主要リスクを金融事業者にもたらします。

  1. AIが攻撃者の手に渡ることで、フィッシング詐欺やマルウェア攻撃がより高度かつ個別化される。
  2. サイバー攻撃によるデータ漏洩やサービス中断は、金融機関の評判に直接的なダメージを与える。
  3. サイバー脅威への対応が遅れることで、経営判断や組織の迅速な意思決定が阻害される。

3. 経営層の視点で考えるセキュリティ課題

これまで、サイバーセキュリティは主にIT部門の責任範囲として扱われ、経営層が積極的に関与する機会は限られていました。しかし、生成AI時代におけるサイバー脅威は、企業戦略や経営判断そのものに直接的な影響を及ぼすため、もはや「技術の問題」にとどまるものではありません。経営層は、次の3点を深く認識し、組織全体の視点からアプローチする必要があります。

  •  サイバー攻撃の対象は、ITシステムだけでなく、人、プロセス、そして組織文化にも及びます。生成AIが作成した高度なフィッシングメールや偽情報操作は、従業員一人ひとりの判断ミスを利用する形で組織に侵入します。そのため、セキュリティ意識を全社的に共有する文化の醸成が不可欠です。
  • 生成AIが生み出す脅威の進化は極めて速く、従来の静的なリスク管理手法では対応が追いつきません。特に、攻撃者が生成AIを駆使して新たな攻撃手法を次々と開発する現状では、リスク評価と管理の手法を動的かつ柔軟に変化させる必要があります。
  • これまでのセキュリティ対策は「コスト」として捉えられることが多く、十分な予算配分がなされないケースが多々見受けられました。しかし、生成AI時代においては、サイバーセキュリティがビジネスの存続や競争優位性を直接的に支える「投資」であることを認識する必要があります。

4. 専門家(対処支援の実務者)が提案する実践的対策

私自身が関与してきた事例や経験を踏まえ、以下の具体的な対策を提案します。

  • セキュリティはIT部門だけでなく、全社的な取り組みとして捉えるべきです。特に、生成AIによる攻撃のリスクを理解するため、経営層向けの定期的なセキュリティブリーフィングを実施することを提案します。
  • 生成AIを活用した防御策もまた必要です。AIを使った異常検知システムの導入や、ゼロトラストアーキテクチャの採用が重要です。これにより、従来型の防御策を補完し、より強固なセキュリティを実現します。
  • サイバー攻撃は完全には防げないという前提に立ち、インシデント発生時の対応計画を明確にすることが必要です。シミュレーションを含む定期的な演習を実施し、実際の対応力を高めることが重要です。

5. 今こそ行動を起こすとき

生成AIの進化は、金融事業者にとって避けられない脅威です。しかし、同時にこれを機会として捉えることも可能です。AIを防御側に活用することで、より高度で持続可能なセキュリティ体制を構築する道が開けます。

サイバーセキュリティの専門領域で活動する者として、私がこれまで多くの現場で感じてきたことは、迅速な対応と経営層の関与がセキュリティの成否を大きく左右するということです。「未来の安心は、今日の選択にかかっている」という言葉を胸に、行動を起こしていただきたいと思います。

[1]   ディープフェイクに狙われる金融業界
https://jp.wsj.com/articles/deepfakes-are-coming-for-the-financial-sector-bf73f82d

[2]   生成AIでランサムウェアを作成した容疑者の摘発事例を考察
https://www.trendmicro.com/ja_jp/jp-security/24/e/breaking-securitynews-20240529-02.html

※本内容の引用・転載を禁止します。

Cookie の使用について
当ウェブサイトでは、お客様の利便性向上や、サイト改善のためにCookieを使用しています。
詳細についてはCookieポリシーをご覧ください。

pagetop