eSecurity Planetは1月19日(現地時間)、「AI-Powered Phishing Makes Human Risk Management Critical|eSecurity Planet」において、AIの進化によってフィッシングやなりすまし攻撃が急速に高度化・高速化している現状を指摘した。従来の検知と対応を中心とした防御手法では被害の発生を抑え切れなくなっている状況を論じている。

サイバー攻撃の準備から実行までの時間が短縮され、人の判断が介在する場面が最大の弱点として残る中で、人を起点としたリスク管理の必要性が浮き彫りになっていると指摘している。

  • AI-Powered Phishing Makes Human Risk Management Critical|eSecurity Planet

    AI-Powered Phishing Makes Human Risk Management Critical|eSecurity Planet

技術投資だけでは埋まらない溝、人的要因が残す構造的課題

多くの組織はすでに多層的なセキュリティ対策や教育施策を導入しているが、脅威の増加速度に成果が追いついていない。最新の調査報告では、侵害事例の多数に人の判断ミスが関与している事実が示されており、技術投資だけでは限界があると説明されている。こうした背景から、人の行動や選択を継続的に評価し、侵害発生前にリスクを下げる考え方が注目を集めている。

人を対象とするリスク管理は、単なる教育の言い換えではなく、脆弱性や権限設定と同様に行動を測定対象とする枠組みとしている。受講履歴ではなく、行動傾向が改善しているかどうかを重視し、時間の経過とともに危険度が下がっているかを確認する点が特徴だ。AIは緊急性や親近感を巧妙に刺激する文面を大量生成でき、従来のフィルターを回避しやすくしているため、人の反応そのものが攻撃面として狙われている。

さらに、業務に組み込まれたAI支援ツールの拡大も新たな懸念として挙げられている。生産性向上の一方で、非公式なツールの利用や過剰な権限付与が情報漏えいの入口となる場合がある。攻撃者にとっては複雑な侵入手法を用いずとも、単一の認証情報を足掛かりに被害を広げられる状況が生まれている。

小さな選択が招く連鎖、見えにくい初動リスク

eSecurity Planetは、侵害が一度の重大操作から始まることはまれで、ささいな判断の積み重ねが条件を整える点を強調している。効果的な対策として、認証強化、権限管理の見直し、行動可視化、短時間の継続的な注意喚起、データ共有設定の厳格化などを組み合わせ、業務の流れの中に抑止策を組み込む考え方を示している。

AIによって攻撃速度と影響が増す現代において、人とAIの行動を測定可能なリスクとして扱う姿勢が不可欠であると強調している。