Security Days 2025 参加レポート：AI時代のサイバーセキュリティ戦略

 1. AI時代の攻撃者も恩恵を受けている

生成AIによる攻撃の敷居低下
私たちがChatGPTやCopilotなどのAIツールで業務効率を上げているのと同様に、攻撃者もAIの恩恵を受けて攻撃能力を大幅に向上させています。従来は高度な専門知識を必要としていた攻撃活動が、生成AIの支援により幅広い層に開放されつつあります。

闇のLLMツールの登場と影響
特に注目されたのが、攻撃者向けに最適化された「闇のLLM」の存在です。これらのツールは、倫理的制約のない状態で攻撃支援に特化しており、以下のような影響をもたらしています：

偵察フェーズの効率化
- 標的システムの脆弱性を自動探索
- 複数のターゲットを並行してスキャン
- 攻撃可能な侵入経路を自動提案

攻撃仮説の立案
- 収集した情報から最適な攻撃シナリオを生成
- 過去の攻撃パターンを学習し、成功率の高い手法を提案
- ターゲット環境に応じたカスタマイズ戦略の自動生成

攻撃実行の自動化
- フィッシングメールの自然な文章生成
- エクスプロイトコードの自動作成
- マルウェアの検知回避コードの生成

結果として、偵察から攻撃実行までの時間が劇的に短縮され、攻撃の技術的ハードルが大幅に下がっています。これは「誰でも高度な攻撃ができる時代」の到来を意味します。

AIエージェントによる攻撃の自律化
さらに、AIエージェントを活用した攻撃では、人間の介入なしで以下のサイクルが自動的に回り続けます：

計画立案（AI） → 自動実行（エージェント） → 結果分析（AI） → 戦略修正（AI） → 再実行...

この自律的なサイクルにより、攻撃成功率が大幅に向上し、24時間365日の継続的な攻撃が可能になっています。

2. 侵入経路の実態：意外と身近な「小さなミス」

イベントで最も印象的だったのは、大規模なサイバー攻撃の多くが、最新のゼロデイ脆弱性ではなく、身近な「小さなミス」から始まっているという事実です。

よくある侵入経路

認証まわりの不備
- RDP（リモートデスクトップ）にMFA（多要素認証）が設定されていない
- 推測しやすいパスワードの使用
- 同じパスワードの使い回し

クラウド環境の設定ミス
- AWS、Azure、GCPの権限設定が不適切
- S3バケットが意図せず公開状態になっている
- 必要以上の権限が付与されたままのIAMロール

これらの設定ミス情報は、Initial Access Broker（IAB）と呼ばれる仲介者によって闇市場で売買され、攻撃の入り口として利用されています。

時代遅れの慣習
- PPAP（パスワード付きZIPファイル）の使用継続
  - セキュリティ対策のつもりが、実はマルウェアスキャンを回避する抜け道として悪用される
- パッチ適用の遅れ
- 使われていないアカウントの放置

なぜ「小さなミス」が致命的なのか
これらは技術的に難しい問題ではありません。しかし、ゼロトラストの考え方が組織に浸透していないことで放置されがちです。「社内ネットワークだから安全」「VPN内だから大丈夫」という境界防御の思想が、現代の攻撃手法に対して脆弱性となっています。

3. 巧妙化する攻撃の種類

イベントで共有された主要な攻撃手法を紹介します。

ランサムウェア（経済的脅迫）

- 暗号化に加え、データ窃取＋公開脅迫の二重恐喝が定着
- RaaS（Ransomware-as-a-Service）による産業化と分業体制
- 生成AIを用いたフィッシング・偽音声などによる侵入経路の多様化
- 高額身代金要求と交渉プロセスの長期化

DDoS攻撃（サービス妨害）
- 単なるWebサイト停止ではなく、実業務に混乱をもたらす規模に進化
- 複数のレイヤ・プロトコルを組み合わせたDDoS手法
- 検知回避技術（正規通信への偽装）の進化
- 超大規模攻撃の頻出化（Tbps級・億RPS級）
- 脅迫や金銭目的での利用

ゼロデイ攻撃（未知の脆弱性）
- ゼロデイ脆弱性そのものが闇市場で売買
- ライブラリや共通基盤の脆弱性は波及範囲が極めて広い
- 脆弱性発見からパッチ提供・適用までの「ギャップ期間」を狙う攻撃
- 侵入を防ぐだけでなく、検知・封じ込めの体制が鍵
- AI活用による脆弱性探索・エクスプロイト自動化にも警戒

Living off the Land（LoTL）攻撃（正規ツール悪用・横展開）
- 正規ツール・機能を悪用して侵入や活動を隠蔽
- PowerShellなどの正規機能やOS標準機能・管理ツールを利用
- 従来型のマルウェア検知では捕捉が困難
- 長期間の潜伏も行われ、認証情報窃取・AD侵害などにも利用
- EDRやログ監視等による異常検知が重要

4. 💡 これからのセキュリティ戦略：ゼロトラストとレジリエンス

発想の転換：「完全防御」から「レジリエンス」へ
現代のサイバー攻撃を100%防ぐことは現実的ではありません。重要なのは発想の転換です。

・従来型アプローチ：境界防御で侵入を完全に防ぐ
・レジリエンス型アプローチ：侵入は起こりうるものとして、早期検知・迅速な対応・素早い復旧を重視する

レジリエンス（Resilience）とは、組織のサイバー攻撃からの回復力のことです。以下の能力を備える必要があります

- 早期検知: 異常を素早く発見する
- 封じ込め: 被害拡大を防ぐ
- 迅速な復旧: 正常状態に速やかに戻る
- 継続的改善: インシデントから学び、防御を強化する

ゼロトラストの実践
もう一つの重要な概念がゼロトラスト（Zero Trust）です。

基本原則：「決して信頼せず、常に検証する（Never Trust, Always Verify）」
従来の「社内ネットワークは安全」という前提を捨て、すべてのアクセスを検証します。

まとめ：Security Daysで感じたこと

Security Days 2025に参加して改めて感じたのは、サイバー攻撃が「if（もし起きたら）」ではなく「when（いつ起きるか）」という前提で考える時代になっているということです。
特にAIの進化によって、攻撃側の能力が大きく向上していることを実感しました。
RansomGPTのような闇ツールやAIエージェントによる攻撃は、もう現実に起きていることなんですね。

AI技術の両面性
イベントを通じて強く感じたのは、私たちが便利に使っているAI技術が、同時に攻撃者側でも活用されているという事実です。AI技術が広く使えるようになったことで、業務が効率化された反面、攻撃のハードルも下がってしまっています。

ただ、AI技術は攻撃者だけが使えるわけではないので、防御側もうまく活用していけば対抗できる可能性はあると感じました。

AI時代のセキュリティは、技術力の勝負というより、いかに賢く技術を使いこなすかなのかもしれません。