生成AIの台頭により、漏洩した認証情報を利用したサイバー攻撃が劇的に効率化しつつある。Verizonの報告では、昨年の攻撃の約80%が盗まれた資格情報を起点にしており、既に150億件以上の漏洩データがネット上に流通しているという。

Appleの「セキュリティに関する推奨事項」ツールは、こうした脅威に対抗する重要な手段の一つであり、特にSafariユーザーは放置されたパスワードの脆弱性を見逃すべきではない。生成AIは個人や企業を狙った巧妙なフィッシング攻撃や予測型総当たり攻撃にも活用されつつあり、もはや従来の認識では防ぎきれない。

パスワードの使い回しは即刻やめるべきであり、2要素認証やPasskeyの導入は必須事項となった。セキュリティ警告を軽視することは、情報漏洩を現実の損失へと変える危険な引き金となり得る。

生成AIが変えた攻撃の構図とパスワード漏洩の現実

2025年現在、生成AIの普及により、漏洩済みの認証情報を悪用した攻撃が質・量ともに新たな段階へ突入している。Verizonの調査によれば、昨年発生したセキュリティインシデントの約8割が、既に流出していたIDとパスワードの組み合わせを起点としていた。

ダークウェブ上では、これらの認証情報が約10ドルで取引されており、攻撃者はそれを使って無数のサービスへのアクセスを試みている。特筆すべきは、成功率が低くとも、大量処理によって利益が成り立つという点にある。このような環境下で、Appleの「セキュリティに関する推奨事項」が果たす役割は極めて大きい。

Safariや「Passwords」アプリを通じて、危険性のある認証情報が即座に警告される仕組みは、流出の連鎖を断ち切る第一歩となる。特に「Iworkatthisbusiness.com」のような社用アドレスと、軽視されがちな第三者サイトへのパスワード使い回しは、企業侵入の抜け道として利用されかねない。個人のセキュリティ判断が、企業全体の命運を左右する局面が増している。

このような構図の変化に対して、すでに「自分には関係ない」とする姿勢は通用しない。生成AIが与えるのは、攻撃者の知識や技術力に依存しない“拡張された実行力”であり、かつて脅威と見なされなかったような情報までもが攻撃資源となり得る。

フィッシング攻撃の進化とAIによる標的化の危機

従来のフィッシングメールは広範囲にばらまかれる単純な手法が主流だったが、生成AIの登場により、その様相は劇的に変貌した。公開SNSデータなどからターゲットの趣味嗜好や職務、行動パターンを抽出し、それに即したメール文面を作成する「Spear AI」と呼ばれる攻撃手法が現れつつある。これは、従来の“数打てば当たる”型ではなく、“一撃必中”の設計に近い。

こうした攻撃では、単にメールが巧妙というだけではなく、文中のリンクやファイル名、送信者情報に至るまでが完全にカスタマイズされており、受信者が“自分宛の重要な連絡”と誤認する確率が高まる。特に、企業の経営層や情報システム部門が標的にされる場面が増えており、損失額は数百万ドル規模にも及ぶ。

Appleが提唱する二要素認証やPasskeyの活用は、こうした「なりすまし」の被害軽減には有効とされるが、攻撃手段の進化速度はそれを上回る勢いを見せている。AIによる攻撃は、もはや従来の「技術的弱点」を突くだけの時代を終え、人間の心理や判断をも標的とする段階にある。

今後は、セキュリティ教育の有無や日常的な警戒心といった“人の習慣”こそが、企業防衛の最大のボトルネックとなる可能性がある。

セキュリティ対策の基本に立ち返る重要性

攻撃手法が巧妙化する一方で、防御の基本が疎かになっている現実も見過ごせない。Appleが強調するように、まずはすべてのサービスでパスワードの使い回しを避けることが肝要である。また、使っていないアカウントは速やかに削除し、支払い情報や個人データが残っていないかを点検する習慣を持つべきだ。

多くの攻撃は、複雑な経路をたどるのではなく、こうした初歩的なミスを起点としている。特に、Appleの「セキュリティに関する推奨事項」に表示される警告を無視する行為は、自らの情報を危険にさらす行動に他ならない。今後のAI攻撃では、漏洩済みパスワードの再使用すら「高確率の成功ルート」として組み込まれる可能性が高く、再使用によるリスクは飛躍的に高まる。

企業ユーザーであれば、漏洩の検知と対応策を盛り込んだBCP(事業継続計画)の策定が急務である。高度なAI技術に対抗するための手段は、最先端のセキュリティツールだけではない。まずは日々の情報衛生を見直し、基本に忠実な対策を徹底することが、最大の盾となる。最新のツールを使うことと同じくらい、日常的な油断の排除こそが求められている。

Source:Computerworld