サイバーセキュリティは検知からAIレジリエンスへ移行中

ほぼすべての資産、ビジネス活動、または価値あるデータがデジタルで記録されている現代では、これらのデータとITシステムへの継続的なアクセスが不可欠です。

ランサムウェアと呼ばれる恐喝手法が狙うのはまさにこの点です。電子デバイスやネットワークに侵入し、データをロック（通常は暗号化）し、復号キーを提供してアクセスを回復するために身代金を要求します。

ランサムウェアは急速に拡大している犯罪活動で、2031年までに世界的な被害額は年間2,650億米ドルを超えると予測されています。

この問題は深刻化しており、近代的なランサムウェアキャンペーンは個人だけでなく、企業ネットワーク、自治体システム、医療、金融、エネルギーといった重要インフラ部門も標的にしています。

「2024年、医療セクターは業界で最も高い侵害コストを記録し、1件あたり平均1,093万米ドルに達しました。これは長期のダウンタイム、HIPAA関連の罰金、保護された医療情報の修復が要因です。」

これらのインシデントはより深刻で、より大きな金額が脅し取られていますが、全ランサムウェア事件の88％は中小企業（SME）を標的にしています。

「身代金を支払った組織は、平均支払額が2023年の40万米ドルから200万米ドルに上昇したと報告しています。即時コストに加えて、ランサムウェア攻撃後の平均的な業務停止期間は3週間を超え、事業部門全体で運用および生産性の損失が複合的に拡大しています。」

ランサムウェアの手法はますます高度化しており、従来のシグネチャベースや単純な識別検知手法では次第に対応できなくなっています。また、身代金は暗号通貨で支払われることが一般的となり、資金追跡も困難になっています。

一般的に、AIはサイバーセキュリティにとって問題であると同時に機会でもあります。フィッシング用の高度な偽装生成や、ソーシャルエンジニアリングの効率向上、システムアーキテクチャに新たな脆弱点を生み出すことが可能です。

出典: Crowdstrike

新たな出版物は、生成AIがサイバーセキュリティ脅威の緩和に役立つ可能性があると主張しています。特にランサムウェア攻撃においてその効果が顕著です。

この論文はシンシナティ大学の研究者によって、Journal of Information Security and Applications¹に掲載され、タイトルは「Rethinking ransomware defense in the age of generative AI」です。

ランサムウェアはどのように機能するのか？

ランサムウェア 101

ほとんどのランサムウェアは、セキュリティ侵害後に暗号化によりデータへのアクセスをロックし、ハッカーがデバイスやネットワークに侵入できるようにします。場合によっては、個々のファイルを暗号化するのではなく、デバイスのユーザーインターフェース全体をロックすることもあります。

身代金の要求は通常、暗号通貨での支払いを求め、データを復号するための厳しい期限が設定されます。その期限を過ぎると、永遠にその状態にとどまることになります。

「二重」や「三重」恐喝と呼ばれるケースでは、データ暗号化に加えて、盗まれたデータを公開漏洩させる脅迫や、身代金が支払われない場合に顧客やパートナーを攻撃するといった脅威が組み合わされます。

これは、事業情報や価値ある知的財産、患者の医療情報などの機密データにとって特に問題です。また、復号のために支払うか他の手段で復号しても、ハッカーのコンピュータから盗まれたデータが削除されるわけではなく、復号後も脅威は残ります。

一般的に、サイバーセキュリティ専門家や法執行機関は、身代金を支払うことはデータ復旧を保証せず、むしろ被害者を次の攻撃の「好ましい」標的とみなす可能性があるため、支払いは推奨しません。

ランサムウェアによる損失は身代金だけでなく、ダウンタイムや事業中断、評判の損傷、高額な復旧手続き、追加のセキュリティ対策なども含まれます。

「ランサムウェアのインシデントを経験した組織は、顧客、投資家、規制当局からのステークホルダーの不信に直面することが多いです。顧客は侵害をデューデリジェンスの失敗と見なし、忠誠心の低下と離脱の増加につながります。投資家は企業のガバナンス成熟度やリスク管理姿勢に疑問を抱き、市場評価の下落に寄与します。」

ランサムウェアの防止方法

本稿で提案された生成AI手法に加えて、ランサムウェア攻撃のリスクと深刻度を低減するためにいくつかの実践が必要です。

まず第一に、サイバーセキュリティのベストプラクティスを広く採用し、ITチームへの十分な資金とサイバーセキュリティスキルの研修を提供することです。

第二に、すべてのソフトウェアを最新の状態に保ち、パッチを適用することです。どこかに脆弱性が残ると、システム全体の脆弱性が高まります。

第三に、セキュアなアクセス管理とヒューマンエラーへの注意を払い、トレーニングでそれらを防止することです。多くのランサムウェア攻撃はソーシャルエンジニアリングで始まり、少なくとも一人のユーザーを騙して侵入口を開かせます。

最後に、バックアップとデータアーカイブに関する厳格なポリシーを策定すれば、ほぼ最新のデータを復旧に利用できるため、ランサムウェア攻撃の影響を大幅に軽減できます。

生成AIを活用したランサムウェア対策

現在のランサムウェア対策は、シグネチャベースのアンチウイルスツールや静的ルールエンジンに焦点を当て、従来の機械学習やディープラーニングモデルを部分的にしか取り入れていません。

「これらのアプローチはラベル付けされたデータセットと事前定義された攻撃シグネチャに大きく依存しており、ゼロデイ攻撃やコードを継続的に変化させて多層検知システムを回避する多形マルウェアに対して組織は脆弱です。」

ChatGPTのようなシステムで使用されている生成AIは、これらの制限を緩和するのに役立ちます。特に、以下の種類の生成AIが利用可能です:

• 大規模言語モデル（LLMs）。
• 生成的敵対的ネットワーク（GANs）。
• 変分オートエンコーダ（VAEs）。
• 拡散モデル。

各GenAIシステムができることは？

LLMは、IT専門家や一般ユーザーが大量のシステムログ、インシデントレポート、脅威インテリジェンスフィードを分析し、新たな攻撃シナリオを特定したり、自動応答の推奨を生成したりするのを支援できます。

GANは「偽」のランサムウェア攻撃を生成し、実際の攻撃に備えることができます。つまり、現実的なランサムウェア変種を合成して、検知アルゴリズムのストレステストや再学習に利用できます。

VAEは潜在的な行動表現を学習し、悪意ある活動と正常なシステム活動を区別するのに役立ちます。

GANとVAEを組み合わせることで、合成ランサムウェアサンプルや正常なプロセスデータを生成し、サイバーセキュリティデータセットにおけるデータ不足とクラス不均衡という永続的な課題に対処できます。

実務では、信頼性と解釈可能性が実際のセキュリティオペレーションセンターでの導入に不可欠です。そのため、GenAIベースのシステムは脅威を特定するだけでなく、出力を人間のアナリストが理解できる形で正当化する必要があります。

実装と追加リスク

これらのシステムを導入するには、データ品質、計算遅延、再学習コストに敏感であるため、適格な専門知識が必要です。

また、これらのシステムは慎重に、適切なガバナンスの保護策を講じて実装すべきであることに留意してください。

追加リスクとして、モデル抽出攻撃、LLM支援セキュリティツールへのプロンプト操作、再学習サイクル中に使用されるテレメトリの敵対的汚染があり、これらはAI支援サイバー防御の信頼性を損なう可能性があります。

ランサムウェア攻撃に対抗できる同じ技術は、フィッシングキャンペーンの自動化、多形マルウェアの作成、正規システムの挙動を模倣して検知を回避するために悪用される可能性もあります。

政策提言

サイバーセキュリティにおける生成AIの活用は、企業・機関レベルと国家レベルの両方で、AI政策の広範な枠組みに組み込む必要があります。

これには倫理的監視と政策の整合性が含まれ、AIの使用がプライバシー、セキュリティ、説明責任の基準に準拠することを保証します。

技術的には、復旧テスト、バックアップポリシー、システム冗長性など、レジリエンス計画にも注意を払うべきです。

既存のフレームワーク（ISO/IEC 42001、NIST AIリスク管理フレームワーク、EU AI法のコンプライアンスガイドラインなど）は、GenAIをランサムウェアや広範なサイバーセキュリティ対策に導入する際の指針となります。

組織の能力も考慮すべきで、特定の組織に存在するサイバーセキュリティ専門知識のレベルに応じて、生成AIを段階的に統合することが主な制約要因となります。

全体として、理想的な戦略は継続的学習であり、インシデントから得た組織的知見をAIの再学習パイプラインに統合することです。

出典: Journal of Information Security and Applications

投資家への要点

AI技術が進化し、デジタル化がますます普及するにつれて、脅威とそれに対抗するツールも同様に進化しています。

全体として、ランサムウェア防御はエンドポイント検知を超えて、検知、シミュレーション、ガバナンス、人間が関与する応答を組み合わせた、より広範なAI対応レジリエンスプラットフォームへと移行しています。

これにより、AIツールをスムーズに統合でき、AIモデルに最大限活用できるデータと環境を提供できる、統合的で包括的なサイバーセキュリティシステムが促進されるはずです。

AIベースのサイバーセキュリティへの投資

Crowdstrike

CrowdStrike は設立されました 2012年 クラウドファーストのサイバーセキュリティアプローチで、B2B（企業間）市場に強く焦点を当てています。

CrowdStrikeの早期のクラウド移行により、この種のデータ保護で先行でき、自己管理型のオンプレミスサーバーからクラウドサーバーへ移行する企業が増える中、成長を支える大きな競争優位性となりました。

CrowdStrikeの提供の重要なポイントは、以前は極めて分散したセキュリティソリューション群を統合する必要があったものを、クラウド環境で一元化したことです。同社は個々のデバイスから企業全体のITインフラまで、組織のすべてのレベルにセキュリティを提供できます。

出典: CrowdStrike

サイバーセキュリティは企業の業務に深く統合される必要があるため、サイバーセキュリティプロバイダーの選択は長期的な決定となります。

その結果、CrowdStrikeの収益は非常に予測可能で、ユーザーアカウントの総保持率は98％です。2026年上半期には、純新規ARR（年間定期収益）が40％成長すると見込まれています。

同社は現在、AIエージェント駆動のサイバーセキュリティにおいても早期参入者であり、過去にクラウドベースのサイバーセキュリティで早期参入したのと同様に、システム全層でエージェント防御を組み込んでいます。

出典: CrowdStrike

重要な要素の一つは、ユーザーが個人や業務で使用するAIエージェントに対してもセキュリティを提供することです。生産性を向上させる一方で、これらのエージェントはハッカーやマルウェアにとって新たな攻撃ベクトルとなり、CrowdStrikeのようなシステムはAIエージェントの利用を安全に保つためにますます必須となります。

全体として、同社はクラウドサイバーセキュリティ領域で支配的な地位を持ち、生成AIやその他のAI技術をデジタル安全のために有用に展開するために必要な規模と質のデータを提供できる最も有望なセグメントであるため、巨大な成長機会を得ています。

出典: CrowdStrike

最新 CrowdStrike (CRWD) 株式ニュースと動向

参照研究

^{1. Nelly Elsayed. Rethinking ransomware defense in the age of generative AI. Journal of Information Security and Applications. 巻 101, 2026年9月, 104547. https://doi.org/10.1016/j.jisa.2026.104547}