はじめに
こんにちは、ディオゲネスです。
今回は、ディオゲネースのセキュリティ事故大予言と称して、2026年に、日本企業・日本組織に起きるサイバーセキュリティ事故を予想してみたいと思います。
なお、予言したからと言って、私がそうなることを望んでいるわけではありません。この予言を元に、多くの企業や組織がそれを回避して欲しいと願っております。
予言1:静かなる退職者が会社を揺るがす
「静かなる退職者」という言葉をご存知でしょうか?
仕事に対して冷めきっていて、「出世などしたくない」、「求められた以上のことはしない」、「残業はしない」、「言われた事だけを、なるべく楽にすます」という、いわば新型ぶら下がり社員とでも呼ぶべき存在を指すそうです。
こうした社員にとっても、生成AIは魅力的な革新技術です。ある報道番組では、大手企業所属の若手「静かなる退職者」が、チャットツールで上司とやりとりしていました。
その若手社員は、すべての上司からの問いかけを生成AIにコピーして考えさせ、その「代返」に対し、更なる問いかけを繰り返す上司に「なかなか頑張っちゃってますね」などと冷ややかにコメントしていました。
本当の退職はしないというのが「静かなる退職者」の特徴です。「静かなる退職者」も、その品格やプライドは人それぞれだとは思いますが、こうなるとむしろ本当の退職より困りものです。
というのも、この社員の場合には、資料の読み込みを指示されれば資料をこっそりアップロードしてAIに要約を指示し、議事録作成は音声ファイルをこっそりアップロードして記録生成を指示する、ということになると思うからです。
シャドーITならぬ、「シャドーAI」という言葉があるそうですが、静かなる退職者によるものに限るかどうかはともかく、生成AIサービスに「こっそり」アップロードされる企業の社外秘書類、機密音声データ等はかなりの量にのぼると考えられます。これらのファイルの保持期間は、例えばChatGPTで半永久、Geminiで18カ月です(ChatGPTやGemini自身の回答による情報、ちなみに削除しても1カ月~数カ月内部システムには残るとのこと)。そしてそれらが、サービス運営側から漏えいするような事故が起きるのは時間の問題だ、と私は考えています。
生成AIの漏えいリスクというと、学習データとしての再利用ばかり議論されますが、アップロードされたファイルそのものの漏えいこそ恐ろしいと思います。そろそろ、生成AIにも自然淘汰の波が訪れる頃合いです。破産や買収等といったイベント前後では、管理の行き届かない部分も必ず出てきます。2026年は、生成AIに知らずアップロードされた様々な企業のデータの漏えいが発生する、これが第一の予言です。
予言2:止まらないランサム被害、そして遂に・・
2025年は、いや2025年も相変わらずランサムウェアの被害が続きました。
むしろ、被害はより大規模かつ深刻になっているように感じられます。
IPAの発行する2025年の重大脅威ランキングでは、「10年連続10回目」の登場と記載されています。甲子園なら優勝常連校クラスでしょう。
さすがに各社も対策を強化して、ランサムウェアについて聞く機会は減っていくでしょうか? 残念ながら、ほぼ間違いなくそうはなりません。「ウチなど狙われない」と考えている企業はまだまだ残っていると思うからです。
RaaS(Ransomware As a Service)と呼ばれる代行サービスまで存在している昨今、金銭目的の攻撃者にとってランサムウェア攻撃は「資金運用方法のひとつ」くらいの感覚だと思います。間違いないのは、10年続く間に、攻撃者にとってその遂行コストは確実に下がっている事です。そこまで高い身代金要求が見込めなくても、攻撃はペイする可能性が高い環境と言えます。
大企業では、さすがにランサムウェアに対してノーガードという企業は無くなっていくでしょうし、大企業だからこそ、安易に対価を支払うこともできないでしょう。しかしそうなれば、中堅企業に被害は降りていきます。
このように考えると、逆に「ウチは狙われないだろう」と考えている中堅・または中小企業こそ「利回りはこれまで程ではないが、ペイする可能性は高そうだから狙われる」という状態になっていくことが考えられます。
資金力に十分な余裕の無い規模の企業が企業ネットワークの大半を乗っ取られるような致命的な被害にあえば、倒産に至る可能性があります。
2026年は日本企業の「ランサムウェア倒産」が発生する、これが第二の予言です。
予言3:国境線はどこに
自動運転バス・船舶・航空機・ドローンなど、GPS位置情報を制御に役立てている機器は少なくありません。
ところが、GPS信号を偽装するのはそう難しくなく、機器の位置認識誤認を引き起こします。実際、ドローンが戦争の道具として使われているロシアとウクライナの間の戦線地帯では、ドローンの軌道を乱すために相互に偽のGPS信号やGPS妨害電波が日常的に発信されているとの情報があり、「GPSスプーフィング」はすっかり有名になりました。
この軍事関連技術や手法は、当然別の国々も注視しているはずです。
日本がこうした手法による攻撃または嫌がらせを受けるとしたら、どこでどのような形が考えられるでしょうか。
私は、領海の境界線上で、船舶の航行システム妨害という形を取ると思います。島国である日本において、地政学的緊張の発火点となりやすいのは、海上における諸外国との接点、とりわけ領土・領海に関する意見相違のある場所周辺です。
海の上には、チョークで線が引いてあるわけではありません。位置が分からなくなれば、仮に警備等をしていても、相手の船舶が領海や排他的経済水域内に入ったのかどうかさえ判断できなくなってしまうかもしれません。相手国からすれば、仮に実利がないケースでも痛快と感じる事もあるでしょう。
GPSスプーフィングを用いた、なんらかの嫌がらせが地政学的緊張を背景として発生する、これが第三の予言です。
予言4:オレオレ詐欺の超進化
先日、私の携帯電話に詐欺電話が掛かってきました。電話の相手は、「まるで作られたように」非常に深みのある落ち着いたバリトンボイスで「警視庁本庁のサカモト」を名乗り、「〇〇〇〇さんのお電話でお間違いありませんか?」と切り出しました。私は、(知らない番号だったので)警戒して名乗っていないのに、です。どこからか、電話番号と名前が漏れてしまったのでしょう。
「秋田県警から〇〇さんに、任意の捜査協力依頼があって・・」と続ける相手に、「確認を取る」と返答して切りました。会話を続けていたら、おとり捜査とでも理由を付けて、振り込み操作などに誘導されたのでしょうか。
こうした「ばらまき型」の詐欺に対して、特定の人物になりすましてその周辺を狙う、「標的型詐欺」とでもいうべきものがあり、日本でも被害はないものの、発生はしています。(AI悪用か、社長の偽音声で指示 部下に電話、不正送金命じる(共同通信) - Yahoo!ニュース)
典型的なパターンは、社長など組織で権限のある人物になりすまし、「緊急の資金移動」などを指示するというものです。
特定の人物の録画や、音声録音から、その人物になりすますための音声や動画生成AIを作るために必要な学習データ時間は、3秒分あれば足りるそうで、外部の講演データなどがあれば、模倣は容易でしょう。
2026年は、この手の音声変換等を用いたなりすましによる不正送金の実被害が日本で発生する、これが第四の予言です。
おわりに
如何でしたでしょうか。独断と偏見により、2026年に確実に多分起きるサイバーセキュリティ事故を想像してみました。
当たるも八卦、当たらぬも八卦ではありますが、独断と偏見、そして想像をある程度取り入れた言説こそ、生成AI時代に差別化要素のあるものになり得るようにも感じています。
今回の記事では、対策については敢えて全く触れませんでした。
生成AIに相談すれば、よく言われるような一般論的対策ならいくらでも出てくるからです。
一般論ではなく個別具体的な状況の分析ができ、さらにその状況に実際に変化を起こす力こそ、私たちプロに残された存在意義なのかもしれません。
それではプロの力と生成AIの力をうまく使い分けて、2026年を安全にお過ごしください。
