日本人のサイバーセキュリティ意識は低い？生成AIの安全な活用ポイントを解説

皆さんは、自国のサイバーセキュリティに対する意識はどの程度の水準なのか、考えてみたことがありますか？（ここでいう「自国」とは、国としての日本ではなく、日本人のセキュリティ意識を指しています。）

昨今、世界規模のサイバー攻撃が後を絶たず、日本もその例外ではありません。そんな矢先に、このようなタイトルの記事を見つけました。

「日本人のサイバーセキュリティ知識は世界最下位」

海外のとあるネットワークサービスプロバイダが2024年に実施した、「サイバーセキュリティやデジタルプライバシーに対する意識調査」の最新結果とのことです。 世界ワースト１位とは、一体どういうことなのでしょうか？

本記事では、この調査結果を読み解きながら「日本人のサイバーセキュリティ意識の実態」に注目し、その背後にあるサイバーセキュリティの課題や、特に日本人が苦手だと分析されている「AIの安全な利用」についてお話したいと思います。

サイバーセキュリティに対する意識調査で、日本がワースト1位に？

ネットワークサービスプロバイダの「NordVPN」が実施した、サイバーセキュリティやデジタルプライバシーに対する世界の人々の意識を評価するための国際的な調査「ナショナル・プライバシー・テスト（NPT）」の最新結果をもとに、今回のテーマである「日本人のサイバーセキュリティ意識の実態」について、考えていきたいと思います。

このテストでは、受験者に対して主に下記3つの分野から全22問が出題されます。

• 日々のデジタル習慣

• プライバシー意識

• リスク許容度

最新版の2024年度の結果では、日本参加者のスコアが韓国と並んで世界ワースト１位に下落したとのことでした。

調査元のNordVPNによる解説を読み解くと、日本人がサイバーセキュリティについて理解できている項目と、まだまだ不十分で学ぶべき項目が、それぞれ明らかになっています。

出典：ナショナル・プライバシー・テストの結果：
日本は世界ワースト1位に転落（NordVPNブログ）

解説によると、日本人は「強力なパスワードの作成方法」や「SNS上で共有を避けるべき機密データの取り扱い」については参加者の9割が理解できている一方、「AIを仕事で活用する際に考慮すべきプライバシーの問題」や、「安全にパスワードを保管する場所」などについては、理解が不足していることがわかりました。

この調査結果がすべてとは言い切れませんが、世界の人々との比較によって私たち日本人の傾向が明らかになっており、今後身に付けるべきサイバーセキュリティの習慣や知識の検討に、役立てることができるかと思います。

個々人がサイバー空間におけるリスクを、より深く理解し、日頃のデジタル習慣を見直すこと。また、企業・組織であれば、業務時のセキュリティポリシーを策定し、従業員に対してルールの周知やセキュリティ教育を行い、セキュリティ意識の向上を目指すことの重要性を改めて実感しました。

以降では、このテストで特に日本の参加者の正答率が低かったとされている「AIを仕事で活用する際に考慮すべきプライバシーの問題」について、実際の設問も交えながら詳しく見ていきたいと思います。

AIを仕事で活用するとき、考慮すべきプライバシーの課題とは

以下は、実際にテストで出題された「AI」に関する質問です。
皆さん、正解がわかりますか？

Q. AIを仕事に役立てる場合、プライバシーに関わるどのような問題を考慮すべきでしょうか？

• データ漏えい

• データの不正利用

• AIアルゴリズムにおけるバイアス（偏り）

• 透明性の欠如

• あなたの機密情報がモデルトレーニングに使用される

出典：ナショナル・プライバシー・テスト

正解は、「データ漏えい」「データの不正利用」「透明性の欠如」「あなたの機密情報がモデルトレーニングに使用される」の4つです（「AIアルゴリズムにおけるバイアス」は、AI利用時の問題に挙げられることはあるものの、プライバシーに関わる問題とは異なるため、ここでは不正解となります）。

AIと言えば、やはり注目されるのは「生成AI」です。近年、ChatGPTをはじめとする様々な生成AIサービスが急速に普及し始めています。業務に生成AIを活用する企業も増えていますが、その利便性と引き換えに、生成AIに起因するセキュリティリスクも高まっています。

それでは、生成AIを利用することで、どのようなセキュリティリスクが考えられるのでしょうか？

1．機密情報や個人情報の漏洩

生成AIサービスの中には、ユーザーとAI間の質問・回答の対話を学習するものもあるため、機密情報や個人情報をAIへの質問として入力すると、サービス提供事業者にその情報が流出し、別の回答の生成にその情報が活用される可能性があります。結果、意図しない形で関係のない第三者に情報が流出してしまうなどの、情報漏洩のリスクが懸念されます。 

2．著作権侵害や誤情報の可能性

生成AIが作成した回答は常に正確な情報とは限らないため、内容の正確性はユーザー自身で確認することが必要です。生成AIで作成した文章をそのまま利用することで、意図せず誤情報を発信する、あるいは他者の著作権を侵害してしまう可能性があります。 

3．サイバー攻撃への悪用

今やサイバー攻撃にAIが悪用されるケースも存在します。 ChatGPTなどの「広く一般の人が利用できる生成AIツール」では、悪意のある利用においては、回答を生成しないよう制限が設けられています。 

しかし世の中には、悪意を持ったユーザー向けの生成AIサービスも誕生しており、フィッシングメールの文章作成や攻撃用のコードを、簡単に生成することができてしまいます。

以降では、AIを使ったサイバー攻撃について、実際の例を挙げてご紹介します。

Case1. 動画配信サービスの担当者を装ったフィッシング攻撃

出典：Uncovering AI-Generated Email Attacks: Real-World Examples from 2023
（Abnormal社サイト）

1つ目は、生成AIでメール文章を作成したフィッシング攻撃の例です。

昨今では、サイバー犯罪向けの生成AIツール「WormGPT」なるものが登場しています。WormGPTでは悪意のある巧妙な文章を、制限なく簡単に生成できてしまうため、しばしばフィッシングメールの作成などに悪用されています。

こちらも、WormGPTを使用して悪意あるメールを生成した事例です。攻撃者は、動画配信サービスのカスタマーサービス担当者を装い、「サブスクリプションの有効期限切れ」を告知する内容でフィッシングメールを攻撃対象に配信。メールには機密情報が危険に晒される、有害なWebサイトに誘導するリンクが記載されていました。

このフィッシングメールを、AIが書いた文章を識別できる「検出ツール（AI検出ツール）」で識別した結果を見てみましょう。

出典：Uncovering AI-Generated Email Attacks: Real-World Examples from 2023
（Abnormal社サイト）

緑色でハイライトされた箇所は、AIによって生成された可能性が高いことを示唆しています。この結果からも、攻撃者は生成AIを活用してメール文面を生成することで、サイバー攻撃の効率化を図っている実態がうかがえます。

Case2. ディープフェイク上司による詐欺事件

2つ目は、実在の上司を騙って送金を指示する巧妙な詐欺の例です。

この事件は、従業員が自身が所属する企業の最高財務責任者（CFO）から、緊急の機密取引を求めるメッセージを受け取ったことから始まりました。
従業員はメッセージを受け取った後、ビデオ会議でCFOと会話し、約2,500万米ドル（約38億円）を指定口座に送金。しかし、実際には詐欺グループの犯行であり、ビデオ会議も彼らがディープフェイク技術を悪用して、企業の最高財務責任者（CFO）になりすました映像でした。

本件は、ビデオ会議でのCFOの映像や音声にAI技術が悪用されたケースであり、詐欺グループは実際に公開されている企業のビデオや音声から、CFOの外見や声を再現したと推測されます。

このように本物だと信じているものが、「実はAIによって作られた偽物」かもしれないと考えるとゾッとしますね。しかし実際のところ、目に見えるものがすべて真実とは限りません。

この2つのケースは生成AIが悪用された事例ですが、前述の通り、企業・組織で生成AIを業務利用する際のセキュリティリスクにも注意が必要です。知らないうちに情報漏洩を引き起こしていたり、誤情報を発信したり、著作権を侵害していたりといった可能性があります。

個々人が安全な生成AIの利用に配慮すべきなのはもちろん、企業・組織では情報システムやITマネジメント・ガバナンスの担当者が、生成AIを利用する際は社内ルールやガイドラインに従って適切に使用するよう、従業員に呼びかける必要があります。

エムオーテックス（MOTEX）でも、企業・組織が生成AIなどのAIサービスを安全に運用できるよう、「AIサービス利用ガイドライン」を提供しています。

MOTEX - エムオーテックス - Webセキュリティ専門家 徳丸 浩 監修『AIサービス利用ガイドライン』をリリース〜 AIサービス業務利用時の注意点・確認事項を分かりやすく解説〜

また、自社でセキュリティを考慮した社内生成AIサービスを構築し、組織で1,000時間の業務効率化を実現したレポートも公開していますので、ぜひそちらもご覧ください。

生成AIの正しい利用方法をはじめ、日々のサイバーセキュリティ習慣を見直してみましょう！

今回のnoteでは、前半では「ナショナル・プライバシー・テスト」の最新結果をもとに日本人のサイバーセキュリティ意識の課題について、後半では、特に日本人のセキュリティ意識が不足しているとされる「AIの安全な利用」という部分から、生成AIを業務利用する際のセキュリティリスクや、昨今発生している生成AIを悪用したサイバー攻撃の事例について解説しました。

ちなみに、この「ナショナル・プライバシー・テスト」は、公式サイトから誰でも受験することができます。皆さまもぜひ、自分のサイバーセキュリティ理解の力試しとして受けてみてはいかがでしょうか？

National Privacy Test: Check your online privacy and security IQ

（意外と難しいです。私自身、サイバーセキュリティを生業にする立場ですが、自信のない問題もありました。恥ずかしい・・・）

これからも、皆さまにサイバーセキュリティの重要性に関する情報を、なるべくわかりやすい内容でお届けできればと思いますので、引き続きよろしくお願いいたします！