中小企業の40%はルール未整備 調査で判明したAIセキュリティの死角:AIニュースピックアップ
ESETは、AIが中小企業で広がる半面、設定不備やプロンプト注入、不正スキルによる情報流出の危険が増していると報告した。利用規定未整備の企業も多く、機密情報保護や権限管理の徹底を呼びかけた。
ESETは2026年6月8日(現地時間)、世界の中小企業におけるAIツール活用の実態とサイバーセキュリティ上の課題をまとめた「2026 SMB Cyber Readiness Index」に基づく調査結果を公表した。多くの中小企業がAIツールを業務に導入し利点を認識しているものの、新たな攻撃経路の出現や運用ルールの未整備が課題となっている実態が明らかになった。
AI活用の利点と危険が併存、中小企業に迫るサイバー脅威の実態
調査によると、回答企業の73%がAIツールを導入している。70%はAIが新たなセキュリティリスクをもたらすと認識していた。ESETは、AIエージェントが機密情報へアクセスするケースに加え、業務フローの実行やクラウドの高権限操作を担うケースが増えていると指摘した。設定不備がある場合、機密データの移動や不適切な操作につながる可能性がある。AIエージェントは多要素認証を経由しない仕組みを持つ場合があり、常時稼働することから攻撃対象となりやすいという。
攻撃手法としては、入力内容を悪用してAIの挙動を変化させるプロンプト注入攻撃が挙げられた。これによりAIエージェントが内部関係者のように振る舞い、企業データを窃取する恐れがある。企業の承認を得ずに従業員が生成AIサービスを利用する「シャドーAI」も問題視されており、機密情報の漏えいや法令順守上の問題、データ処理状況の把握不足を招く危険があるとした。
AI関連の被害は実際に発生している。IBMの「Cost of a Data Breach Report 2025」によると、2024年3月〜2025年2月までに情報漏えい被害を受けた600組織のうち13%がAIモデルまたはAIアプリケーションに関連する侵害を経験した。被害組織の97%では適切なAIアクセス制御が整備されていなかった。侵害の多くはアプリケーションやAPI、プラグインの改ざんなどサプライチェーン経由で発生し、60%で広範なデータ流出、31%で業務への支障が発生した。
巧妙化する手口、無料の気象予報サービスを装う悪質なAIエージェント用スキル
ESETの研究チームは、AIエージェント用スキルの悪用事例も確認している。スキルは指示やスクリプト、参考資料をまとめたもので、AIエージェント利用を効率化する目的で公開されているケースが多い。調査では無料の気象予報サービスに接続するスキルを装いながら、セッショントークンやAPIキーなどを収集し、攻撃者のサーバへ送信する情報窃取機能を備えた事例が見つかった。こうしたスキルは日々追加されており、ESETは80万件超を調査した結果、約2万5000件を不審、3000件超を悪性と判定した。
確認された脅威には、トロイの木馬や追加マルウェアを導入するダウンローダー、不正遠隔操作を可能にするバックドア、利用者情報を収集するスパイウェア、キーロガー、暗号資産採掘マルウェアの他、フィッシングやソーシャルエンジニアリング手法が含まれていた。
企業の対応状況にも課題が残る。調査対象企業の40%は、承認済み手順やプラットフォーム以外でのAIアプリ利用を制限する規定を設けていなかった。AIを導入していない企業の73%は、AI利用規定の必要性を低く見積もる。ただし、企業がAIを採用していなくても、従業員が公開サービスを利用する可能性は残るとESETは指摘している。
Verizonの2026年版「Data Breach Investigations Report」によると、従業員の45%がAIの常用利用者に分類された。生成AIサービス利用者の67%は、業務端末上で個人アカウントを使用してサービスへアクセスしていた。
サイバーセキュリティに自信を持つ企業は75%に達したが、34%は新たな脅威への対応の遅れを懸念していた。北米では自信があると回答した企業の割合が86%だった。
利便性と安全性を両立する、中小企業の防衛策
ESETは安全なAI活用策として、顧客情報や財務情報など機密データの入力回避、暗号化やアクセス制御機能を備えたサービスの採用、社内利用規定の策定、従業員教育の実施を挙げた。AIの出力内容についても検証が必要としている。
権限管理では最小権限原則や多要素認証の適用、定期的なアクセス権見直しを推奨した。サービス選定ではGDPR(EU一般データ保護規則)、ISO 27001、SOC 2(Service Organization Control Type 2)などの基準への適合状況やデータ保管/保持方針、学習データの取り扱いを確認する必要があるとした。
ESETは、AIの普及によって業務効率向上が進む半面、不正利用の危険も増していると指摘し、企業に対し脅威への理解とデータ保護対策の強化を求めた。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
中小企業の7割がセキュリティに「自信」も、浮き彫りになる“基本対策”の盲点
ESETの調査で、サイバー攻撃への警戒感や対応力への自信が高まる一方で、AI脅威への理解不足や基本対策の欠如が課題と判明した。被害はフィッシングなどが中心で、教育や保険の導入が対応力を支えている。
Googleの「AppSheet」を悪用した新手のフィッシング攻撃に注意 初回メールに不正リンクがない事例も
KasperskyはGoogleのAppSheetを悪用したフィッシング詐欺を確認したと公表した。攻撃者は正規のGoogle関連アドレスを使い、求人通知や認証案内を装って個人情報や認証情報を盗み取る手口を展開していると説明した。
中小企業の約65%が「情シス不在」 デジタル化でも残る課題との関連は?
ファイル管理のデジタル化を進めても、「目的のファイルが見つからない」「データ復旧に不安が残る」という課題が残るのはなぜか。中小企業の約65%が情シス不在であることは、この課題にどのような影響を与えているのか。デジタル化だけでは解消しない非効率の原因に迫る。
日立システムズが営業データ活用基盤を整備 ナレッジワーク2製品導入で
日立システムズはナレッジワークの社内共有とAI商談記録を導入した。営業データの蓄積基盤を整え、知見の共有と活用を強化し、意思決定の高度化や営業組織のAX推進、成長戦略の実現を後押しする。