• ZDNET Japan
• セキュリティ

　Kyndrylは、「日本企業に迫るサイバーリスク 問われる“回復力（レジリエンス）”－直面するリスクと、いま取るべき対策－」と題した報道機関向け勉強会を開催した。

Kyndryl セキュリティ＆レジリエンシー グローバルプラクティスリーダーのKris Lovejoy氏

　説明を行ったKyndryl セキュリティ＆レジリエンシー グローバルプラクティスリーダーのKris Lovejoy（クリス・ラブジョイ）氏は「サイバーセキュリティの状況、とりわけ日本が直面している状況は『歴史的転換点』を迎えている」と指摘した。同氏は従来のセキュリティ対策が技術的な問題として取り組まれてきたとする一方、「こうした時代はもう過去のもので、今やわれわれは『コンバージドリスク（converged risk）』の時代に突入している」とし、複合する脅威動向として「AIの台頭」「地政学的リスクの高まりとサプライチェーン攻撃の激化」「物理的システムや電力供給網などへの攻撃リスク」の3点を挙げた。

　次いで同氏は、最近の注目すべきセキュリティインシデントの具体例として「日本で発生したアサヒグループホールディングスへのランサムウェア攻撃」「F5 Networksのソースコード漏えい」「AnthropicのAIアシスタント『Claude』を悪用したサイバー攻撃キャンペーン」の3つの事例を挙げ、そこから取るべき対策を学ぶべきだと指摘した。

　Lovejoy氏は、2025年9月に発覚したAnthropicのサイバーインシデントについて「中国の国家支援型攻撃グループとみられるサイバー攻撃者（GTG-1002）は単にAIを活用したのではなく、AIを効果的に“雇用した”のだ」と語った。攻撃者は自分でコマンドをタイプしたのではなく、Anthropicが設定した安全対策やガードレールを回避して、自分たちをセキュリティ対策の研究者だと誤認させてAIにセキュリティ上の脆弱（ぜいじゃく）性を探させたり、脆弱性を攻撃してクレデンシャルを収集するコードを生成させたりしたという。

　この間、人間の攻撃者はこのプロセスを監視しており、おそらく攻撃キャンペーンの期間中に4～5回程度、重要な意思決定の際に介入しただけだと推測されている。このインシデントは、サイバー攻撃に対する防御態勢に根本的な変化を迫るものだと同氏は指摘する。

　「人間の攻撃者は睡眠を取るし、そんなに速くタイプできないが、AIエージェントは眠らないし、マシンの速度で数千もの攻撃を同時に実行できる」と同氏は語り、「人間対人間のサイバー戦争の時代は終焉を迎え、マシン対マシンの時代に突入した。人間のセキュリティアナリストではAIエージェントに対抗することは不可能であり、AIエージェントに対抗できるのはAIエージェントのみだ」とした。

　次に、サプライチェーン攻撃が主戦場となりつつある点についてLovejoy氏は、「地政学的な緊張の高まりを受け、各国はデータ主権（data sovereignty）の視点からインターネットを分断化し始めている。しかし、この“冷戦”の最前線はネットワークでなく、サプライチェーンだ」と言う。

　10月に公表されたF5 Networksのセキュリティインシデントでは、同社のソースコードが漏えいしたと報告されている。同氏は「F5はインターネットの世界の“巨人”であり、BIG-IPはインターネットのトラフィックの監視役となっている。Fortune500の85％の企業がF5ユーザーであり、信頼されていたが、1年以上にわたってF5のネットワーク内部に国家支援型攻撃グループが侵入しており、顧客リストに加えてソースコードも盗み出していたことが明らかになった」とし、その影響について「攻撃者はこれまで知られていなかった『セキュリティ製品のDNA』を学び、弱点を探すことができ、ゼロデイ脆弱性を発見することも可能だろう。日本企業もF5のようなグローバルなテクノロジー企業に大きく依存しているため、そうした企業が攻撃者に侵害されればユーザーである日本企業の防御態勢に直接的な影響が及ぶ」と指摘した。

　3つ目のポイントとしてLovejoy氏は、レジリエンスの重要性について語った。同氏は「これまではセキュリティ投資のおよそ90％が防御に振り分けられており、悪意ある攻撃者の侵入を防ぐことに注力していたが、もうAIエージェントなどが侵入してくることを防ぐことは困難だ。そこで、どうやって侵入を止めるかではなく、どれだけ迅速に回復できるかが成功の鍵となる」として、レジリエンスの重要性を強調した。

　同氏はアサヒグループホールディングスのランサムウェア攻撃事例について「攻撃者はサーバのデータを暗号化し、デジタルロジスティックスシステムを停止させた。アサヒは事業継続のために昔ながらのやり方に逆行せざるを得ず、電話で注文を受けてFAXで出荷指示を送るという手作業頼みとなった」と指摘し、「AIや量子コンピューティングの時代にあって、日本有数の大企業がファイアウォールではなくFAXに救われている。これは『レジリエンスに失敗している』と言わざるを得ない。手作業による事業継続は、同社の従業員の献身的な姿勢や柔軟な対応力を示すものであると同時に、同社のサイバー攻撃に対する致命的なもろさを露呈したものだと言える」と批判した。

　日本では、こうした現場の対応力で危機を乗り切ったという話はともすれば美談として語られて終わってしまう傾向があるが、これをシステムの不備と捉えて経営課題として解決していく姿勢こそが求められていると言える。この点は、グローバルの常識に対して日本国内の認識が遅れているポイントとして早急に改善を図るべきだろう。同氏はサイバーセキュリティからサイバーレジリエンスへとマインドセットを切り替える必要があると強調し、「サイバーレジリエンスとは、パンチを受けてもダウンしないこと」と表現した。

　このほか、新たな脅威動向としてLovejoy氏は「量子コンピューティングの実用化」と「電力供給網の保護」を挙げた。量子コンピュータでは、現在広く利用されている暗号技術である公開鍵暗号を解読できるようになると予測されている。

　量子コンピュータの実用化は2035年ごろとも言われるが、現在サイバー攻撃者は暗号化されたデータを盗み出して蓄積しており、量子コンピュータが実用化されたら解読するよう準備していると言われる。

　ランサムウェア攻撃における二重脅迫では社内のデータが外部に流出し、リークサイトなどで公表されてしまう例が相次いでいる。これに対してデータを暗号化しておけば即時の公開リスクは避けられるものの、将来的に解読されてしまうリスクも考えておく必要があるということだ。「暗号化しておけば盗まれたところで全く問題はない」と考えてしまうのは間違いだと認識しておくべきであり、耐量子暗号の導入などについても検討しておくべきだろう。

　また、現在ではAIデータセンターの消費電力量が爆発的に増大するなど、電力供給網の重要性がこれまで以上に高まっているが、同時にこれは電力供給網をまひさせることで甚大な被害が生じると言うことでもあり、サイバー攻撃者にとっての格好の標的となるリスクに対して対策を講じる必要があるということを意味する。国家レベルの安全保障上の課題点として、日本にとっても対応が望まれるポイントだ。

　最後にLovejoy氏は「Anthropicに学び、AIによる攻撃に対してAIで守る」「F5に学び、サプライチェーンの透明化／可視化に取り組む」「アサヒに学び、レジリエンスを高める」という3点を改めて強調して締めくくった。現在のサイバー脅威の最前線の状況がリアルに語られた機会となり、サイバー脅威にさらされる多くの企業／組織にとっても学ぶところの多い話だったのではないだろうか。