Identity Theft Resource Center(ITRC)のレポートによると、直近1年で米国の中小企業の81%がサイバー攻撃の被害を受け、そのうち38%はその影響を受け、製品やサービスの価格の引き上げを余儀なくされたといいます。
また、同レポートは、これらの被害の原因として、内部不正よりも外部による攻撃が多いと指摘しています。さらに、AIを活用したソーシャルエンジニアリング攻撃の増加も背景にあり、被害を受けた組織の約4割(41%)が主因の一つに挙げています。
レポートは次のように述べています。「AIが主要な攻撃の手段になりつつあるという見立ては、業界の幅広い分析結果とも一致します。生成AIは、本物と見分けがつかないほど精巧なフィッシングメール、音声・動画のディープフェイク、環境に応じて挙動を変えるマルウェアの作成に利用されています。」
「これらのツールは、かつて高度な技術や経験を要した攻撃が誰でも実行できる状態にします。内部不正の最大の強みは、内部プロセスややり取りの癖、組織階層を熟知していることで、信頼や慣れを足がかりに防御をすり抜けられる点でした。しかしAIツールの普及により、外部の第三者でも、こうした「内側にいるような優位性」を再現できるようになっています。」
こうした傾向を踏まえると、これまでソーシャルエンジニアリングの見分け方として頼りにされてきた違和感は、通用しにくくなります。たとえば、誤字脱字や不自然な文法といった手がかりは、今後は当てになりにくくなります。
同レポートは次のように述べています。「従業員向けのセキュリティトレーニングは、これらの新たな脅威に対応できるよう更新する必要があります。」
「ディープフェイク動画や音声に見られるわずかな違和感、AIが作成したメールに見られる不自然さなど、AI生成コンテンツを見分けるポイントについて従業員を教育すべきです。異例の連絡や緊急性を装った依頼に対して、従業員が疑問を持ち、確認できる文化の醸成が極めて重要です。」
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の7万社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティ文化の形成につなげています。
詳細については、InfoSecurityの記事を参照してください。
原典:KnowBe4 Team著 2025年12月19日発信 https://blog.knowbe4.com/81-of-small-businesses-sustained-a-cyber-incident-over-the-past-year