最近、証券口座の乗っ取り被害が相次ぎ報道され、大手証券会社でも数千万円規模の不正出金が確認されるなど、大きな社会問題となっています。
相次ぐ証券口座乗っ取り 被害者のパソコン デジタルフォレンジック解析で分かったこと パスワードは限界? | NHK | WEB特集 | サイバー攻撃
被害者の多くは「IDやパスワードを厳重に管理していた」と証言しており、それにもかかわらず攻撃者は何らかの手口で本人になりすまし、株を勝手に売買するなどの被害をもたらしています。
原因としては、フィッシングサイトによってログイン情報をだまし取られたケースが考えられますが、なぜここ最近で被害が急増しているのでしょうか?
それには「生成AIの存在が影響しているのではないか」という指摘も増えてきました。
AIによって日本語の自然な文章を自動生成できるようになったことで、従来は怪しい日本語で送られてきたような不自然な詐欺メールが、今では一見して見分けがつかないほど巧妙になっています。
日本へのサイバー攻撃の約99%は海外からのものだと言われていますが、これまでは「日本語」という言語の壁が、ある種の“ファイアウォール”の役割を果たしていました。
皆さんも一度は見たことがあるのではないでしょうか?不自然な日本語メールや日本語のサイト。この様なメールやサイトは「明らかに怪しい」とすぐに気づいて、被害を未然に防げたという側面もありました。
しかし近年、生成AIの登場によってこの言語の壁がついに崩れつつあります。AIはごく自然な日本語を違和感なく生成できるため、「日本語が変だから怪しい」という判断が通用しなくなってきています。
今後は更に精巧で巧妙な日本語を用いた詐欺メールや詐欺サイトが増加することが予想されます。
かつては個人や中小企業は関係ないと思われていた高度なサイバー攻撃が、いまや誰の元にも届く時代になったのです。
今回は、生成AI時代におけるサイバー攻撃の特徴と、中小企業が取るべき現実的な対策についてお伝えしていきます。
📢【2025年7月11日(金)】無料ウェビナー開催
生成AI時代のサイバーリスクあなたの会社は大丈夫?
中小企業こそ備えるべき!
サイバー攻撃対策とサイバー保険の活用法を
わかりやすく解説します。
目次
生成AIを利用した詐欺で危険性が高まると思われる詐欺の1つが「ロマンス詐欺」です。これはSNSやメールなどを通じて親近感や恋愛感情を抱かせ、最終的に金銭をだまし取る詐欺手法です。
自然な日本語でのやり取り、感情を揺さぶる文章、会話のやり取りの“人間らしさ”すらAIが生成できるようになり、将来的には最初から最後までAIだけで詐欺を成立させる時代が来るかもしれません。
「でもロマンス詐欺は企業には関係ないのでは?」と思われるかもしれません。しかし、このロマンス詐欺が企業向けに変化したとしたらどうでしょうか?
たとえばロマンス(恋愛)ではなくトラスト(信頼)詐欺とでも呼べるような形です。(※トラスト詐欺は本ブログで便宜的に使っている造語です。実際にメディアなどで利用されている言葉ではありません。)
ある日、皆さんの会社に「御社の製品に関心があります」「◯◯の件でお話を伺いたい」と、丁寧で流暢な日本語の問い合わせメールが届いたらどうでしょう?
メールアドレスも怪しくなく、書かれている内容にも不自然な点がない。そうなれば、疑うことなく返信してしまうのではないでしょうか。
何度かやり取りを重ねて信頼関係ができたタイミングで、「詳しい内容をまとめた資料を添付いたします」とファイルが送られてきたら、これも自然な流れの一部として添付ファイルを開いてしまうかもしれません。
ところがその添付ファイルこそが、ランサムウェアの感染源だとしたら。。。
にわかには信じがたいかもしれませんが、実際にある仮想通貨取引所では、長期間に渡りメールでやり取りを続けて信頼を得た後ににウイルス付きメールを送信、大きな損害を被ったと報じられています。
「そんなのは大企業だけの話でしょ」と思われるかもしれません。
しかし、大企業のセキュリティ体制は年々強化されており、攻撃者にとってはむしろコストがかかる相手です。また、生成AIの活用によって低コストで高クオリティーの詐欺を仕掛けられるようになったため、セキュリティが手薄な中小企業はターゲットとされるリスクが高まっています。
つまり今は、「うちは小さな会社だから関係ない」と思っていては危険です。攻撃者にとって中小企業は、むしろ“狙いやすい”相手だと見なされているのです。
この現実をしっかり受け止め、今できる備えを整えることが、これからの企業経営には欠かせません。
では、私たち中小企業が、この生成AI時代のサイバーリスクにどう立ち向かっていけばよいのでしょうか。
まず大前提として、サイバーセキュリティ対策は、強化すればするほどコストも労力もかかります。万全を期そうとすれば、専門知識を持つ人材の確保や、最新のセキュリティ機器・システムの導入が必要になります。
しかし、これは予算も人手も限られる中小企業にとって、簡単にできることではありません。
そして残念ながら、どんなに対策をしても、リスクを完全にゼロにすることはできません。だからこそ重要なのは、何から優先して対策すべきか(優先度)を見極めることです。
情報セキュリティの基本は、大きく分けて「組織的対策」「人的対策」「物理的対策」「技術的対策」の4つの柱に分類されます。
技術的対策としてAIを活用した高度なセキュリティソリューションも登場しています。たとえば、生成AIによる攻撃を逆にAIで検知・対抗するような仕組みもあります。
※AIを用いたAI攻撃対策や考え方についてはこちらを参照 ⇢ サイバー攻撃への対策: AIでAIを制する – 展望
ただし、これらは初期費用や運用コストが高く、現実的にすぐ導入できる中小企業は限られているかと思います。そこで、小企業でも比較的導入しやすく、効果が出やすいのが人的対策です。
例えば人的対策では以下のような対策です、企業としての“守り”を一歩ずつ固めていくことができます。
このように、中小企業でも取り組めるサイバー対策は確かに存在します。しかも、どれも特別な知識や高価なシステムがなくても始められるものばかりです。
「ITに詳しくないから…」と敬遠するのではなく、できることから一歩ずつ始めていく。その積み重ねが、会社と大切なお客様を守る大きな力になります。
さて、前述の対策のひとつとしてご紹介した「サイバー攻撃に備えた事業継続計画(BCP)の策定」について、皆さまの会社では取り組まれているでしょうか?
最近では、地震や豪雨などの自然災害に備えたBCPを整備する企業も増えてきていますが、サイバー攻撃を想定したBCPとなると、まだまだ十分に浸透していないのが実情ではないかと思います。
実際、警察庁の調査によれば、BCP自体を策定していない企業・団体は全体の約50.9%。さらに、BCPは策定していても「サイバー攻撃」を想定に含んでいない組織も多く、結果としてサイバー攻撃に対応できるBCPを備えていない組織は全体の約83.6%にものぼると報告されています。
警視庁 | 令和6年におけるサイバー空間をめぐる脅威の情勢等について(PDF:12.98MB)
この数字からも分かるとおり、“サイバー攻撃に備える”という視点が、まだまだ後回しにされているのが現状です。
さらに、同レポートには興味深いデータがあります。
ランサムウェアによる被害を受け、調査・復旧に「1,000万円以上」かつ「1か月以上」かかった企業のうち、88.2%がサイバーBCPを策定していなかったというのです。
一方、1週間以内に復旧できた企業の23.1%は、あらかじめBCPを策定していたという結果も出ています。
このことからも、BCPの有無が、被害の拡大を左右する大きな要因になっていることが見てとれます。
「BCPは事後対応、つまり実際にサイバー攻撃が起こってしまった後を想定しているから重要度が低い」と勘違いされがちですが、BCPは事前準備と事後対応の両方を網羅し、事業継続性を高めるための重要な仕組みです。
BCPを策定しておけば、被害発生時の初動がスムーズになり、混乱を最小限に抑えることができます。さらに、BCPに沿って訓練や社内周知を行うことで、従業員のセキュリティ意識が高まり、平時のリスク対策にもつながるという大きな副次効果もあります。
サイバー攻撃への対策というと、どうしても技術的なハードルを感じがちですが、BCPのように“人と組織の備え”から始めることも、十分に価値のある取り組みです。
ぜひ一度、自社でどこまで備えができているか、見直してみてはいかがでしょうか。
「サイバーセキュリティリスク」と聞いて、まず思い浮かべるのは「サイバー攻撃」や「ランサムウェア」といった外部からの脅威ではないでしょうか。
しかし、情報セキュリティリスクには以下の通りもっと多様なものが含まれます。
この様なリスク全てに対してどれだけ対策を講じても、サイバーセキュリティのリスクを完全にゼロにすることはできません。
これは、自動車事故や火災、地震といった自然災害と同じで、「いつ起きるか分からないけれど、確実に起きる可能性があるリスク」として備えておくべきものです。
そのような万が一に備える手段として、今注目されているのが「サイバー保険」です。
サイバー保険では情報社会にとりまく多様なリスクを包括的にカバーしております。あまり知られていない補償として「お客様情報が記載されている資料(紙)がカバンの置き忘れによって流出した」「パソコンが盗難されて情報が流出した」この様なリスクもカバーされる商品も登場しております。
これまでご紹介してきた対策(教育・訓練・システム導入など)は、リスクの発生確率を下げることを目的とした「リスク低減型」の対策でした。
一方でサイバー保険は、リスクが発生した後の損失に備える「リスク移転型」の手段です。
つまり、発生頻度が多く・影響度が低いリスクについては、セキュリティツール導入や従業員の教育や訓練を行い直接的な「リスク低減」に取り組む。
そして、発生頻度が低く・影響度が高いリスクについては、サイバー保険で「リスク移転」を検討する。
この様なリスクの発生頻度や影響度で対策を分ける考え方が大切です。
経済産業省が発行している「サイバーセキュリティ経営ガイドライン」でも、サイバー保険の活用が正式に推奨されています。
同ガイドラインの「指示4:サイバーセキュリティリスクの把握とリスク対応に関する計画の策定」では、アクセス制御や端末持ち出し制限などの技術的対策と並んで、サイバー保険への加入が明記されています。
つまり、サイバー保険は単なる念のために入る保険ではなく、企業経営における正しい備えのひとつとして、国もその導入を勧めている手段なのです。
生成AIの進化によって、日本語によるフィッシングメールやなりすまし詐欺はますます巧妙化しており、サイバー攻撃の対象はもはや大企業だけにとどまりません。
中小企業であっても、ある日突然被害に遭うリスクが確実に高まっているのが現実です。
中小企業にとって重要なのは、「完璧に防ぐこと」ではなく、被害を最小限に抑え、速やかに復旧するための備えを持っておくことです。今できる小さな備えが、将来の大きな損失を防ぎます。
私たち株式会社セフティーでは、これまで数多くの企業様にサイバー保険のご提案とご契約のサポートを行ってきました。
実際にご加入いただいていたお客様がサイバー攻撃を受けた際には、事故対応から保険金のお支払いまでを一貫して支援させていただいた実績もあります。
サイバー保険をご検討中の企業様は、ぜひセフティーまでご相談ください。
リモート対応であれば全国どこでも可能ですし、以下の地域においては直接ご訪問も承っております。
【訪問対応エリア】
東京都:葛飾区・足立区・荒川区・台東区・墨田区・江戸川区(23区全域対応可)
埼玉県:八潮市・草加市・三郷市
千葉県:松戸市・市川市・浦安市
東京・首都圏の中小企業様の“もしも”に備えるリスク対策なら、セフティーにお任せください。
【中小企業も標的に】急増するサイバー攻撃に備える!基本的な対策とサイバー保険について
情報セキュリティ対策に必要な「知る・守る・備える」 ~初歩的な知識とサイバー保険の活用方法~【無料Webセミナー】
中小企業庁が提供する「中小企業BCP策定運用指針」に関する情報を掲載。また、事業継続力強化計画のガイドブック。事業継続力強化は中小企業向けの取り組みやすい簡易BCPとして位置づけられており、自然災害だけでなく感染症やサイバー攻撃への対策も盛り込むことが求められています。サイバー攻撃のリスク想定と対処策の記載例も含まれており、計画策定時の参考になります。
中小企業BCP策定運用指針
中小企業庁「事業継続力強化計画」公式ページ
サイバー攻撃による「情報漏えい」「ウイルス感染」「システム停止」など緊急時に、被害を最小限に抑えて早期復旧するための手順を示したガイドラインです。インシデント発生時の対応を(1)検知・初動対応、(2)報告・公表、(3)復旧・再発防止の3段階に分けて解説し、ウイルス感染・ランサムウェア被害・情報漏えい等のケース別対応例も示しています。中小企業でも実践しやすい具体策がまとまっており、いざという時のBCP策定・対応に役立ちます。
経産省「サイバー攻撃の被害に遭ってしまったら御活用を!」
「中小企業の情報セキュリティ対策ガイドライン第3.1版 付録8:中小企業のためのセキュリティインシデント対応の手引き」
日本ネットワークセキュリティ協会(JNSA)西日本支部が2025年5月に公開した、中小製造業向けのサイバーBCP策定支援ガイドブックです。工場に特化し、サイバー攻撃の検知から被害発生時の復旧までITシステム面の事業継続計画ノウハウを解説しており、BCPひな型や自社向け計画を作成できるチェックツールも含まれていますサイバーリスクが高まる製造業での具体的な対策事例とともに、ひな形を使った計画策定方法が学べます。
今すぐ実践できる工場セキュリティハンドブック・サイバー対応IT-BCP編JNSA西日本支部| NPO日本ネットワークセキュリティ協会
九州経産局が地域の中小企業の事例をまとめたBCP事例集(2025年3月更新)です。自然災害やパンデミックに限らず様々な危機に備える取組事例をテーマ別に紹介しており、その中には「サイバーセキュリティ対策を通じた事業継続」に成功した企業のケーススタディも含まれます。平時からの対策や社員教育によってサイバー攻撃に強い事業継続力を確保した実例は、中小企業が自社のBCPにサイバー対策を組み込む際の参考になります。
「大切なビジネスを守るBCP事例集」(METI/経済産業省)
厚労省が定める医療機関向けサイバーセキュリティ指針(2023年改訂版)です。第6.0版ガイドラインでは「医療サービスを提供し続けるための事業継続計画(BCP)」としてサイバー攻撃を想定したBCP策定が求められており、その遵守が強く促されています。さらに令和6年6月には、各医療機関がBCPを策定する際に参考となる「サイバー攻撃を想定したBCP策定の確認表」および詳細手引き、BCPひな形が公表されました。この確認表では平時の対策から攻撃検知、初動対応、復旧対応、事後検証に至る一連のプロセスをBCPに盛り込むことがチェックでき、各項目の解説付き手引きとフォーマットによって医療機関のBCP策定を具体的に支援しています。
医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)|厚生労働省
健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ|厚生労働省
日本薬剤師会が作成した薬局向けのサイバー攻撃対策BCPひな形です。薬局でも2023年以降サイバーセキュリティ対策が法令上義務化されたことを受け、各薬局が主体的に必要措置を講じるための支援ツールとして提供されています。システム運用状況やベンダー契約状況に即して項目を埋めることで、自社に合ったBCPを策定できる構成になっており、医療機関以外の関連事業者(薬局)の事業継続対策事例として参考になります。
医療情報システムの安全管理について 薬剤師向け | 日本薬剤師会オフィシャルWebサイト
リスクマネジメント情報誌のコラム記事。2021年に国内医療機関で相次いだランサムウェア攻撃によって電子カルテが数ヶ月使用不能となり診療が長期停止した事例などが紹介されており、その教訓を踏まえたBCP策定上の留意点が解説されています。医療機関は規模に関わらず攻撃対象になり得ること、既存の災害対策BCPでは不十分な点などが指摘されており、具体的な被害例からサイバーBCPの必要性を学べる資料です。ガイドラインの概要だけでなく現場目線の対策ポイントを知ることができます。
医療機関におけるサイバー攻撃を想定したBCP策定のポイント【RMFOCUS 第90号】 | RM NAVI
