サイバー専門家がBlack Hatで警告：AI、ディープフェイク、人的ミス

サイバーセキュリティの状況は絶え間ない進化の中にあり、Black Hat 2025ではこの現実が鮮明に浮き彫りになりました。この会議では、業界の専門家が集まり、彼らを夜も眠らせない最も差し迫った脅威を分析しました。TechnologyAdviceの最近のレポートには、マット・ゴンザレス氏が会議で行ったインタビューからの洞察が盛り込まれており、人工知能、ディープフェイク、人的エラーが主要な懸念事項として強調され、洗練された技術的進歩と永続的な人間の脆弱性の両方に取り組む世界の鮮明な姿を描き出しています。

かつては防御側の味方と見なされていた人工知能は、今や悪意のある攻撃者によって広範囲に兵器化され、諸刃の剣として浮上しています。Black Hat 2025の議論では、攻撃者がAIを利用して、未パッチの脆弱性の特定と悪用から認証情報の窃盗まで、その操作を自動化し、規模を拡大していることが明らかになりました。これにより、システムを伝統的に「ハッキング」するのではなく、効果的に「ログイン」しています。特に懸念されるのは生成AIであり、これにより脅威アクターは説得力のあるフィッシング詐欺の誘い文句を作成し、悪意のあるコードを書き、さらには偽りの口実でリモートIT職に就くことさえ可能になります。会議ではまた、AIシステム自体への直接攻撃の脅威が増大していることも明らかになりました。これには、AIのコンテンツフィルタリングと安全対策の弱点を悪用するモデル抽出や「ジェイルブレイク」攻撃が含まれます。この攻撃的なAI能力はサイバー軍拡競争を加速させており、防御側は敵対者の速度と効率に合わせるためにAIと自動化を導入することが求められています。

AIの脅威をさらに悪化させているのが、ディープフェイクの陰湿な台頭です。かつてはエンターテイメントや政治的誤情報のツールと見なされていたものが、急速に強力なサイバーセキュリティリスクへと成熟し、身元詐欺、金融詐欺、誤情報の拡散に一般的に使用されています。Black Hat 2025の専門家たちは、偽造されたビデオ、オーディオ、画像がフィッシングメール、チャットメッセージ、音声なりすまし詐欺で驚くほど普及していることを詳しく説明しました。2500万ドルという驚くべき詐欺事件を含む高プロファイルの事例は、ビジネスメール詐欺（BEC）シナリオにおけるディープフェイクの有効性を示しています。そこでは、説得力のある役員なりすましが従業員を欺き、資金を転送させたり、機密情報を漏洩させたりします。わずか数秒の音声から音声クローンが可能になるディープフェイク技術のアクセシビリティは、この種の詐欺を民主化し、強固な検証プロトコルと継続的な検出能力をこれまで以上に重要にしています。

AIを活用した脅威やディープフェイク技術の高度化が進むにもかかわらず、サイバーセキュリティチェーンにおいて最も持続的かつ頻繁な脆弱性は人的エラーであり続けています。技術的な欠陥ではなく人間の心理を利用するソーシャルエンジニアリングは、2024年5月から2025年5月の間に発生したサイバー侵入の36％を占め、従来のマルウェアやエクスプロイトを上回り、主要な侵害方法となりました。この成功は、過剰なアクセス権、見落とされたシステムアラート、脆弱な本人確認プロセスなどの要因に起因することが多いです。Black Hat 2025の議論では、従来のフィッシングトレーニングの指標が誤解を招く可能性があることが強調され、巧妙に作成された誘い文句に従業員がだまされるのを防ぐという継続的な課題が浮き彫りになりました。サイバーセキュリティのリーダーたちは現在、組織に対し、人的エラーを偶発的な見落としとしてではなく、基本的なセキュリティ脆弱性として扱うよう強く促しており、「決して信用せず、常に検証する」という考え方へとセキュリティ文化を転換する必要があることを示唆しています。

これらの進化する脅威に対応するため、Black Hat 2025は、包括的で適応性のある防御戦略の緊急の必要性を強調しました。組織は、多要素認証やゼロトラストアーキテクチャのような基本的なセキュリティ対策を強化しつつ、自動化された脅威検出と対応のためにAIを活用したソリューションを採用する必要があります。決定的に重要なのは、人的要素が依然として最重要であることです。内部のサイバーセキュリティ能力への投資、人間の警戒心の育成、そしてソーシャルエンジニアリングの心理的側面に対処する効果的なトレーニングの提供は、回復力のある防御を構築するために不可欠です。Black Hat 2025のコンセンサスは明確です。サイバーセキュリティの未来は、先進技術と高められた人間の意識の相乗的な融合にかかっています。