AIがサイバー攻撃の実行役に！2025年セキュリティ動向と未来の脅威🛡️（2025年12月18日ニュース）

今日のサイバーセキュリティニュースは、AIが攻撃と防御の両面で主役となりつつある現実を浮き彫りにしています。Googleの専門家が語るAIによる攻撃の実態から、サプライチェーンの深層に潜むランサムウェアのリスクまで、脅威はより巧妙かつ広範囲に及んでいます。また、日本の「スマホ新法」施行に伴うAppleやGoogleの対応は、巨大プラットフォームのセキュリティモデルに大きな変革をもたらすでしょう。さらに、量子コンピューターが現在の暗号を過去のものにする「Q-Day」の脅威や、大規模なパスワード漏洩事件など、未来と現在の両面から備えるべき課題が山積しています。これらの動向は、企業や個人が今すぐセキュリティ戦略を見直す必要性を示唆しています。さっそく、重要度の高いニュースから詳しく見ていきましょう。🕵️‍♂️

AIがサイバー攻撃の実行役になった2025年 攻防の実情をGoogleセキュリティCTOに聞いた

Google Threat Intelligence Group (GTIG)のCTO、シェーン・ハントリー氏は、2025年がAIを悪用したサイバー攻撃が本格化した年であると指摘しています。特に、AnthropicのAIコーディングツールが悪用されマルウェア開発に成功した事例や、ロシア系の攻撃グループAPT28がオープンソースLLMを使い、標的システムから情報を盗むためのコマンドをリアルタイムで生成していた事例（PROMPTSTEAL）が確認されました。しかしハントリー氏は、防御側こそAIの恩恵を大きく受けていると強調。AIによる脆弱性発見やパッチ適用の高速化は、攻撃者の進化スピードを上回る可能性があると述べています。今後のサイバー攻防は、どちらがより速く、より大規模にAIを組織へ実装できるかにかかっていると分析しています。🤖💥

AIがサイバー攻撃の実行役になった2025年　攻防の実情をGoogleセキュリティCTOに聞いた

2025年、量子コンピューターは「ハイプ」の死を迎え「工学的現実」へと覚醒した

2025年、量子コンピューター開発は物理量子ビットの数を競う「量」の時代から、論理量子ビットの信頼性という「質」の時代へと移行しました。特にGoogleのWillowチップが、誤り訂正の「損益分岐点」を突破したことは大きなマイルストーンです。これにより、物理量子ビットの規模拡大が、ついに論理的な信頼性向上に直結する領域に到達しました。この進展は、現在の暗号技術を解読可能にする「Q-Day」の脅威をより現実的なものにしています。企業や国家が「Harvest Now, Decrypt Later（今は収集し、後で解読する）」攻撃に備える必要性が高まっており、量子耐性暗号（PQC）への移行が急務であることを示唆しています。⏳⚛️

2025年、量子コンピューターは「ハイプ」の死を迎え「工学的現実」へと覚醒した

ランサムウェアやDDoSで連鎖被害も？ 再々委託先までのリスク管理が不可欠になった訳

サプライチェーンを狙ったサイバー攻撃が、委託先だけでなく「再委託先」や「再々委託先（Nパーティー）」にまで広がり、深刻な被害を引き起こしています。ある金融機関の事例では、再委託先が提供するクラウドサービスのVPN機器の脆弱性を突かれランサムウェアに感染し、外部ファイル転送システムが停止しました。また、2024年末から2025年初頭にかけて、国内主要金融機関が受けたDDoS攻撃は、IoTボットネットから行われ、サプライチェーン全体に影響が波及しました。これらの事例は、自社だけでなく、サプライチェーン全体のリスクを可視化し、管理する「サードパーティーリスク管理（TPRM）」が不可欠であることを示しています。🔗📉

ランサムウェアやDDoSで連鎖被害も？　再々委託先までのリスク管理が不可欠になった訳

AppleとGoogleが日本のスマホ新法への対応内容を発表、課金システムの変更やアプリ手数料の減額など

2025年12月18日に施行された日本の「スマートフォンソフトウェア競争促進法（スマホ新法）」を受け、AppleとGoogleがそれぞれ対応策を発表しました。この法律は、アプリストアや決済システムの独占を是正するもので、両社のプラットフォームに大きな変更をもたらします。Appleは、代替アプリマーケットプレイスからのアプリ配信を認め、App Storeの手数料を従来の30%から21%（条件付きで10%）などに引き下げます。Googleも、すべてのアプリでサードパーティー決済の利用を許可し、ユーザーがブラウザや検索エンジンを選ぶ「チョイススクリーン」を導入します。これらの変更は、開発者のビジネスモデルに影響を与えると同時に、マルウェアなどのセキュリティリスクに関する新たな懸念も生み出しています。📱⚖️

AppleとGoogleが日本のスマホ新法への対応内容を発表、課金システムの変更やアプリ手数料の減額など

FBIが6億3000万件のパスワード漏えいを発表。「自分は大丈夫」とは言えない

米連邦捜査局（FBI）は、あるハッカーから押収したデバイスから6億3000万件という前代未聞の数の漏洩パスワードを発見したと報告しました。この膨大なパスワードリストは、著名な漏洩情報確認サービス「Have I Been Pwned」に提供され、ユーザーは自身のパスワードが危険に晒されていないか確認できます。この事件は、ダークウェブなどで収集された情報がいかに大規模であるかを物語っており、パスワードの使い回しがいかに危険であるかを改めて示しています。FBIは、パスワードマネージャーの使用や多要素認証（MFA）の設定など、基本的なセキュリティ対策の徹底を強く呼びかけています。🔑🔓

FBIが6億3000万件のパスワード漏えいを発表。「自分は大丈夫」とは言えない

35年動く巨大システムをどう変える？ 三菱UFJ銀行が挑む「VS Code×生成AI」によるメインフレーム開発革命

三菱UFJインフォメーションテクノロジーは、35年にわたり稼働してきた勘定系メインフレームシステムのモダナイゼーションに、生成AIとモダンな開発ツールを導入する革命的な取り組みを進めています。開発現場では、古いインターフェースやCOBOL、PL/Iといったレガシー言語が若手エンジニアの参入障壁となっていました。この課題を解決するため、開発環境を従来のTSOから「VS Code」へ、ソース管理を「GitLab」へと移行。これにより、オープン系エンジニアがスムーズに参加できるだけでなく、生成AIを活用してプログラム設計やコード生成を自動化し、開発の生産性と品質を向上させることを目指しています。🏦👨‍💻

35年動く巨大システムをどう変える？ 三菱UFJ銀行が挑む「VS Code×生成AI」によるメインフレーム開発革命

EY調査、AI活用と人材戦略のギャップで生産性最大40％損失の可能性 AI導入がマイナス効果を生む？

EYが発表したグローバル意識調査によると、従業員の88％が日常業務でAIを利用しているものの、その多くは基本的な作業にとどまっています。深刻なのは、企業が管理しない「シャドーAI」の利用が増加している点で、世界の従業員の23～58％が自前で選んだAIツールを職場に持ち込んでいる実態が明らかになりました。シャドーAIは、情報漏洩やコンプライアンス違反といった重大なセキュリティリスクを引き起こす可能性があります。この調査は、AI導入を成功させるには、単にツールを提供するだけでなく、従業員への適切な研修や、セキュリティとガバナンスを確保する組織文化の醸成が不可欠であることを示しています。🏢⚠️

[EY調査、AI活用と人材戦略のギャップで生産性最大40％損失の可能性　AI導入がマイナス効果を生む？(https://bizzine.jp/article/detail/12498)

TikTokが利用者のショッピング習慣と出会い系アプリの利用状況を違法に追跡していることが判明

オーストリアのプライバシー団体noybは、TikTokがユーザーの同意なく、アプリ外での行動を追跡しているとして、データ保護当局に苦情を申し立てました。報告によると、TikTokはデータ会社AppsFlyerを介して、ユーザーがGrindr（LGBTQ向け出会い系アプリ）を利用している情報や、他のショッピングアプリで何をカートに入れたかといったセンシティブなデータを収集していたとされています。この行為は、ユーザーの性的指向などを推測可能にするもので、EUの一般データ保護規則（GDPR）に違反する可能性が極めて高いです。大手プラットフォームによるプライバシー侵害の実態が、改めて浮き彫りになりました。🤫🔍

TikTokが利用者のショッピング習慣と出会い系アプリの利用状況を違法に追跡していることが判明

JAWS-UG横浜 #92 AWS re:Invent 2025 re:Cap Compute で Nitro Isolation Engine を深堀りしてきました

AWSのセキュリティ基盤の中核をなすNitro Systemが、さらなる進化を遂げています。re:Invent 2025で注目された「Nitro Isolation Engine」は、ハイパーバイザーの下で仮想マシン間の隔離を専門に担当する新しいコンポーネントです。この専門化により、残りのハイパーバイザー機能の権限レベルを下げることが可能になり、セキュリティがさらに強化されます。Arm CCAのような既存のCPU機能に頼らず、AWSが独自に実装を進めている点も特徴です。これは、ブラックボックスを信頼せず、仕様通りの動作を自ら証明するというAWSの徹底したセキュリティ思想を反映しており、クラウドインフラの信頼性を支える重要な技術進化と言えます。☁️🔒

JAWS-UG横浜 #92 AWS re:Invent 2025 re:Cap Compute で Nitro Isolation Engine を深堀りしてきました #jawsug #jawsugyokohama

ISC2、2025年サイバーセキュリティ人材調査──課題は「スキル不足」へ転換か

国際的なサイバーセキュリティ専門家認定団体である(ISC)2が発表した最新の人材調査によると、サイバーセキュリティ分野の課題が「人員不足」から「スキル不足」へと質的に変化していることが明らかになりました。グローバルでは95%の組織が何らかのスキル不足を感じており、特にAI関連スキルの需要が高まっています。日本市場は雇用の安定性という点では世界平均を上回るものの、人材確保や競争力のある給与の面で課題が残ります。AIの導入もグローバルに比べて遅れており、急速に進化する脅威に対応するため、実践的なスキルを持つ人材の育成と確保がこれまで以上に重要になっています。📈🧑‍🏫

ISC2、2025年サイバーセキュリティ人材調査──課題は「スキル不足」へ転換か

考察

AIがサイバーセキュリティの攻防両面で「ゲームチェンジャー」となったことが、今回選択した記事群から鮮明に浮かび上がります。Googleの専門家が指摘するように、AIはもはや単なるツールではなく、自律的に脆弱性を探し、攻撃コードを生成する「実行役」として機能し始めています。この現実に対し、防御側もAIを活用した脆弱性発見やインシデント対応の自動化を急がなければ、攻撃者のスピードに太刀打ちできなくなるでしょう。また、EYの調査が示す「シャドーAI」の問題は、AI時代の新たな内部脅威として組織のガバナンス体制に警鐘を鳴らしています。従業員が善意で利用するAIツールが、意図せずして情報漏洩の温床となり得るのです。これは、技術的な対策だけでなく、全社的なAIリテラシー教育と明確なガイドライン策定が急務であることを示唆しています。⚙️🧠

一方で、脅威の土台となるプラットフォームやサプライチェーンそのものの脆弱性も深刻化しています。日本の「スマホ新法」は、AppleやGoogleといった巨大プラットフォームにセキュリティモデルの変更を迫り、アプリの配布や決済における新たなリスクを生み出します。また、委託先から再々委託先へと連鎖するサプライチェーン攻撃は、もはや自社だけの対策では防ぎきれないレベルに達しており、エコシステム全体でのリスク管理が不可欠です。FBIが警告する大規模なパスワード漏洩や口座乗っ取り詐欺は、基本的なセキュリティ対策の重要性を改めて我々に突きつけています。これらは、技術の進化と同時に、人間の心理的な隙を突く古典的な手法が依然として有効であることを示しています。🌐⛓️

未来に目を向ければ、「Q-Day」すなわち量子コンピューターによる現行暗号の解読リスクが、もはやSFではなく、具体的な技術ロードマップとして語られ始めました。これは、現在のセキュリティパラダイムを根底から覆す可能性を秘めており、国家レベルでの長期的な戦略が求められます。足元では、(ISC)2の調査が示すように、セキュリティ人材の課題が「数」から「質」へとシフトしています。AIを使いこなし、複雑化する脅威に対応できる高度なスキルを持つ人材の育成が、企業の競争力を左右する時代に突入したと言えるでしょう。未来の脅威と現在の課題、その両方に対応していく複眼的な視点が、これからのサイバーセキュリティ戦略の鍵となります。🚀✨