“フィッシング疲労”に注意 KnowBe4、2025年のサイバーセキュリティ動向予測を発表：セキュリティニュースアラート

KnowBe4 Japanは2025年のサイバーセキュリティ動向予測を発表した。AIツールの発展やサイバー攻撃者のソーシャルエンジニアリングを駆使した攻撃テクニックの進化について解説している。特に企業が注意すべき“フィッシング疲労”とは。

[田渕聖人，ITmedia]

　KnowBe4 Japanは2024年12月12日、2025年のサイバーセキュリティ動向予測を発表した。

　2024年はAIツールの増加とその普及により、サイバー脅威がこれまでに経験したことがない速いペースで進化している。AIツールは、サイバー犯罪者が攻撃戦術を洗練させ、より高度で認識を困難にする一方で、サイバーセキュリティの専門家が攻撃をより効果的に防御することも支援しているという。

KnowBe4が2025年のセキュリティ動向について、6つの予測を発表

　2025年のサイバーセキュリティ動向予測については以下の通りだ。

1．サイバー攻撃と防御に利用されるAIツールは今後も改良が続く

　AIの進歩に伴い、防御側と攻撃側の双方がその能力を活用している。サイバーセキュリティの防御側では、脅威をより効率的に検知し対応する高度なAI搭載ツールが開発された。

　大量のデータを分析し、異常を特定し、脅威の検出精度を高めることを可能にするAIの機能は、今後サイバーセキュリティチームにとって大きな助けとなる。しかしサイバー犯罪者は、より高度な攻撃手法を生み出すためにAIを採用している。

　例えば感情を操作し、特定の脆弱（ぜいじゃく）性をより効果的に狙うAIを活用したソーシャルエンジニアリングキャンペーンは、個人が本物と偽物のコンテンツを見極めることを困難にする。AIが生み出す能力が防御側と攻撃側の双方で進化するにつれ、その対立は激化し、絶え間ないイノベーションの実践とそれに対する適応力が鍵となるとKnowBe4 Japanは予測している。

2．ランサムウェア攻撃は依然として問題となる

　ランサムウェアグループとイニシャル・アクセス・ブローカーの連携によって、ランサムウェア攻撃は今後も大規模な脅威となる。この対策として、データの暗号化といった異常な振る舞いがないかどうかを特定するためのネットワークや個々のデバイスを監視するツールとして、AIが普及するとみられる。これによってランサムウェア攻撃の影響は大幅に軽減することが期待される。

3．セキュリティにおける人的要因がより重視されるようになる

　セキュリティ意識向上トレーニングや模擬フィッシング演習を頻繁に実施し、内在するヒューマンリスク管理の重要性への認識が引き続き高まりを見せる。一方で、サイバー犯罪者はソーシャルエンジニアリングのテクニックを磨き続け、攻撃をよりパーソナライズされた効果的なものにしていくと予想される。

　KnowBe4 Japanによると、今後の課題は“フィッシング疲労”を引き起こさせることなく、従業員の警戒心を維持することだという。このフィッシング疲労という問題を防ぐために組織がトレーニングをより適応性のあるものにし、従業員にとってより関連性の高いものにすることにフォーカスすることが重要となる。これによって、「人」が生み出す人的防御を強化し、組織全体に根付いたセキュリティ文化を形成できる。

4．ディープフェイクを検知するテクノロジーのさらなる進化

　2025年には、ディープフェイクをAIによって検知するテクノロジーが進化し、より利用しやすくなる。これによって、ディープフェイクの特定の困難さという増大する懸念により効果的に対処できるようになる。

　一方で、サイバー犯罪者が攻撃においてディスインフォメーション（偽情報）やディープフェイクをさらに活用することが予測される。これによって、恐喝を促進させたり、攻撃の隠ぺいを図ったり、組織の評判を傷つけたりすることが予想される。

5．ゼロトラスト・マインドセットとサイバー・マインドフルネス

　ゼロトラストのマインドセット（暗黙的な信頼を排除する心構え）とサイバー・マインドフルネス（サイバー空間での今の瞬間に注意を払うというセキュリティ意識）が根付きはじめ、サイバーセキュリティに対するプロアクティブなアプローチが取られるようになる。

　これらの原則を採用する組織は、全てのユーザーとデバイスを潜在的な脅威として扱い、従業員に警戒態勢を取るよう促すようになる。また、健全なレベルの懐疑心を維持するための従業員研修では、批判的思考能力の活用が奨励され、この考え方の転換が内部リスクの軽減におけるもう一つの重要なステップとなる。

6．米国における法規制、ミスインフォメーション（誤情報）、ディスインフォメーション

　米国では、AIによるミスインフォメーションやディスインフォメーションのキャンペーンが政治分野に集中し、ソーシャルメディアを通じて拡散され続ける。米国はAIの開発やリスク管理、プライバシー、その他のサイバーセキュリティ保護に関する法規制の制定に、国家としてより一層の注意を払うことになるとみられる。

　KnowBe4のCEOであるストゥ・シャワーマン氏は、2025年のサイバーセキュリティ動向予測について以下のようにコメントした。

　「サイバーセキュリティの環境は急速に変化しており、防御側と攻撃側の力関係はかつてないほど複雑化している。2025年を迎えるに当たり、防御力を強化し、世界中の組織を保護するために、AIの可能性を受け入れることは必須となる」

　サイバー犯罪の被害者となるリスクを低減するために、組織における人的要素に注力することがこれまで以上に重要になる。KnowBe4 Japanは最善の防御策の一つとして強固なセキュリティ文化を形成することを推奨している。