ソーシャルエンジニアリングは今後、これまで以上に成功率が高く、深刻な問題となっていくと私は予想します。
ソーシャルエンジニアリングは、他の攻撃手法に比べて、最も多くの情報漏えいに関与しており、70〜90%のデータ侵害の原因となっています。
また、Google傘下のMandiantによると、パッチ未適用のソフトウェアやファームウェア関与しているケースも33%に上ります。私の見立てでは、直近2年間で40%近くまで上がっている可能性もありますが、それを裏付ける確かなデータはまだありません。
ただし、パッチ未適用の脆弱性とソーシャルエンジニアリングを合わせると、成功したサイバー攻撃の90〜99%に関与していると見られます。
今回の記事ではこのソーシャルエンジニアリングに注目します。
ソーシャルエンジニアリングはすでに深刻な問題ですが、これからさらに悪化します。
その理由は、AIにあります。
2022年10月にChatGPTが公開された以降、私は一貫してAIを活用した攻撃について警戒するように呼びかけていました。
最近までは、「AIによる攻撃はこれから増えるが、少なくとも向こう1年で最も可能性が高い脅威はAIではない」と説明していました。
しかし、今はそうは言えません。
今年の終わりから来年にかけて、AIを活用した攻撃が主流になると私は見ています。2026年には、ほとんどの攻撃がAIによって強化されるでしょう。
攻撃者が従来行っていたソーシャルエンジニアリングや脆弱性の悪用も、AIによってさらに高速かつ高度に、広範囲に展開されるようになります。
AIが生成するソーシャルエンジニアリングは、今後すべてのメール、SMS、留守番電話などに取り入れられます。そのスクリプトは、パーソナライズされ、より説得力があり、成功率も高くなります。実際、AIのソーシャルエンジニアリングボットは、すでに攻撃者を上回る結果を出しています。ある検証では、AIが人よりも24%成功率の高いメールを生成しました。
今後6〜12ヶ月のうちに、このようなAI技術はフィッシングキットや攻撃ツールに急速に組み込まれていくでしょう。
現在でも70〜90%という非常に高い割合でソーシャルエンジニアリングがデータ漏洩に関与している中で、この数字がさらに上がったらどうなるのでしょうか?
正直なところ、誰にも分かりません。
私たちのAIエージェント「AIDA」がセキュリティ管理者に代わってフィッシングメールを選定したところ、クリック率が2〜3倍に跳ね上がったという事実はあります。AIは着実に進化しています。
確かなことは、成功するソーシャルエンジニアリングの件数は増えるということです。
では、私たちはどう備えるべきでしょうか?
すでに取り組むべきことに注力するしかありません。すなわち、ヒューマンリスクの低減です。セキュリティ意識向上トレーニングの実施、AIを活用した防御ツールの導入、そしてソーシャルエンジニアリングが成立しにくくなるような社内ポリシーの整備が求められます。
KnowBe4のヒューマンリスクマネジメント(HRM)アプローチについては、以下をご覧ください:https://www.knowbe4.com/ja/
たとえ攻撃がAIによるものであっても、ユーザーに行動を取らせるためには、言葉やメッセージを使って誘導しなければなりません。HRMとAIDA(https://www.knowbe4.com/ja/products/aida)を活用して、AIによるソーシャルエンジニアリングの脅威に立ち向かいましょう。
そして何より、同僚、家族、友人に、AIによる高度な攻撃がすぐそこまで迫っていることを伝えてください。これまで「やがて来る」と言われていた未来は、もう目前にきています。今こそ、教育と備えを徹底すべき時なのです。
原典:Roger Grimes著 2025年8月4日発信 https://blog.knowbe4.com/if-you-think-social-engineering-is-bad-its-going-to-be-much-much-worse-soon