2025年、思わず息をのむ数字が公表されました。日本の中小企業のおよそ80%がサイバー詐欺の被害を経験し、AIを活用した攻撃が全体の半数近くを占めたと伝えられています。現時点の公表資料は総括にとどまり、個別事例や詳細な手口には踏み込んでいません。本稿では、公開情報の要点をやさしく整理し、背景と実務的な対策をわかりやすくお伝えします。

まずは数字を受け止める

80%という数字は、単なる統計以上の意味を持ちます。これは「多くの企業がすき間だらけのフェンスを抱えている」ことの表れかもしれません。規模や業種を問わず、基本的な防御が行き届いていない例が少なくないと推測されます。ただし、現時点では原因の断定はできません。今後の追加公表を待ちながら、まずは事実を整理することが重要です。

AIとは何か、そして攻撃で何が起きているのか

AIは人工知能の略で、データから学んで判断や生成をする技術です。攻撃側はこれを使い、メール文面を自然に作る、偽の音声で信頼を得る、侵入のパターンを自動で試すなど、効率と巧妙さを増しています。具体的な手口の詳細は未公開ですが、AIが“量と質”の両方で攻撃を強化している可能性が高いと考えられます。

例をひとつ挙げると、AIが社内の過去メールを学習して経営陣になりすます『なりすましメール』が増えると想像してください。見分けがつきにくく、対策が遅れると被害が広がります。

業界や地域ごとの内訳はまだ不明だが…

現時点で業界別や地域別の詳細は公開されていません。とはいえ、影響は広範囲に及ぶ可能性があります。小売の決済系、製造業のサプライチェーン、サービス業の顧客情報など、それぞれの弱点が狙われやすいです。被害が一企業にとどまらず連鎖するリスクも意識してください。

今すぐ取り組める実務的な対策(すぐ実行できる5項目)

  1. 基本の“ふた”を固める(パッチ適用とバックアップ)
    短い例: ソフトウェア更新をためずに適用し、定期的にバックアップを取るだけで被害を大幅に減らせます。

  2. 多要素認証(MFA)を全社導入する
    理由: パスワードだけで守る時代は終わりつつあります。スマホのワンタイムコードや鍵を追加するだけで不正アクセスが激減します。

  3. フィッシング訓練と社内教育を習慣化する
    ポイント: 実践的な演習で、従業員の“見抜く力”を養ってください。AIが作った巧妙な文面にも慌てず対応する訓練が有効です。

  4. 監視とログ収集を整備する
    なぜ必要か: 異常を早期に見つけるには、挙動を記録しておくことが不可欠です。初動対応の速度が被害拡大を左右します。

  5. インシデント対応計画を作る(実訓練を含む)
    効果: 誰が何をするかを明確にし、実際に訓練しておくことで被害時の混乱を減らせます。

これらは大規模投資を伴わない項目も多く、段階的に取り組めます。まずは一つ、実行してみてください。

今後の見通しと期待

公表資料は総括が中心ですが、これから詳細な事例や手口の報告が出るはずです。政府や業界団体からのガイドライン整備も期待されます。大切なのは、情報を待つだけでなく自ら動く姿勢です。少しの備えが被害を大きく減らします。

最後に一言。サイバー防御はマラソンのようなものです。一度に全てを完璧にする必要はありません。まずは小さな一歩を踏み出し、継続して強化していきましょう。私たちも新しい情報が出次第、実践的な事例と対策をお届けします。ぜひご一緒に備えていきましょう。