英国 NCSC 2027年までのAIがサイバー脅威に与える影響 AIの脅威が生む「デジタルデバイド」でリスク増大

こんにちは、丸山満彦です。

NCSCが、2027年までのAIがサイバー脅威に与える影響について、、、、

AIの脅威が生む「デジタルデバイド」でリスク増大すると警鐘していますね...つまり、攻撃者はAIを活用し、より高度で複雑な攻撃を大量に実施できるようになる。一方、それを踏まえた防御能力を備えない組織は、その攻撃に耐えられなくなる...

つまり、AIを活用した脅威を防御できない組織は、より大きなサイバーリスクにさらされる

私もそう思います...

 

攻撃面でいうとAIを活用することにより、例えば、

・より検知されにくいマルウェアをより早く開発できるようになる

・認証を突破するための情報を入手するためのフィッシングが高度になる

・対応が難しいDDoS攻撃がより簡単に実施できるようになる

といったことが、考えつきます...

 

 

● NCSC

・2025.05.07 UK critical systems at increased risk from 'digital divide' created by AI threats

UK critical systems at increased risk from 'digital divide' created by AI threats	英国の重要システム、AIの脅威が生む「デジタルデバイド」でリスク増大
New report warns that organisations unable to defend AI-enabled threats are exposed to greater cyber risk.	新しい報告書は、AIを活用した脅威を防御できない組織は、より大きなサイバーリスクにさらされると警告している。
・GCHQ’s National Cyber Security Centre warns a ‘digital divide’ between organisations that can keep pace with AI-enabled threats and those that cannot is set to heighten the UK's overall cyber risk.	・GCHQのナショナル・サイバー・セキュリティ・センターは、AIによる脅威に対応できる組織とそうでない組織との間に「デジタル・デバイド」が生じ、英国全体のサイバー・リスクが高まると警告している。
・New report, published day one of CYBERUK conference, says artificial intelligence will almost certainly further reduce time between vulnerabilities being disclosed and being exploited by malicious actors.	・CYBERUK会議の初日に発表された新しい報告書によると、人工知能は脆弱性が公表されてから悪意ある行為者に悪用されるまでの時間をほぼ確実に短縮するという。
・The NCSC urges organisations to follow advice to implement AI tools securely and maintain protective security measures on wider systems.	・NCSCは組織に対し、AIツールを安全に導入し、より広範なシステムで保護的なセキュリティ対策を維持するよう、助言に従うよう促している。
Over the next two years, a growing divide will emerge between organisations that can keep pace with AI-enabled threats and those that fall behind –xposing them to greater risk and intensifying the overall threat to the UK’s digital infrastructure, cyber chiefs have warned today (Wednesday).	今後2年間で、AIを活用した脅威に対応できる組織と対応に遅れをとる組織との間に格差が生じ、組織はより大きなリスクにさらされ、英国のデジタル・インフラに対する全体的な脅威が強まると、サイバー責任者は本日（水曜日）警告した。
A new report, launched by Pat McFadden, the Chancellor of the Duchy of Lancaster at the National Cyber Security Centre’s (NCSC) CYBERUK conference, outlines how artificial intelligence will impact the cyber threat from now to 2027, highlighting how AI will almost certainly continue to make elements of cyber intrusion operations more effective and efficient.	ランカスター公国のパット・マクファデン首相が、ナショナル・サイバー・セキュリティ・センター（NCSC）のCYBERUK会議で発表した新しい報告書は、人工知能が現在から2027年までにサイバー脅威にどのような影響を与えるかを概説しており、AIがサイバー侵入作戦の要素をより効果的かつ効率的にすることはほぼ間違いないと強調している。
It warns that, by 2027, AI-enabled tools are set to enhance threat actors’ ability to exploit known vulnerabilities, adding that whilst the time between the disclosure and exploitation has already shrunk to days, AI will almost certainly reduce this further, posing a challenge for network defenders.	同報告書は、2027年までに、AI対応ツールは既知の脆弱性を悪用する脅威アクターの能力を強化することになると警告し、情報公開から悪用までの時間はすでに数日に短縮されているが、AIはこれをさらに短縮することはほぼ確実であり、ネットワーク防御者にとっての課題となると付け加えている。
The report also suggests that the growing incorporation of AI models and systems across the UK’s technology base, particularly within critical national infrastructure and where there are insufficient cyber security controls, will almost certainly present an increased attack surface and opportunities for adversaries.	報告書はまた、英国の技術基盤全体、特に重要な国家インフラ内やサイバーセキュリティ制御が不十分な場所で、AIモデルやシステムの組み込みが進むことで、敵対者にとって攻撃対象や機会が増加することはほぼ確実であると指摘している。
As AI technologies become more embedded in business operations, organisations are being urged to act decisively to strengthen cyber resilience and mitigate against AI-enabled cyber threats.	AI技術が事業運営に組み込まれるにつれて、組織はサイバーレジリエンスを強化し、AIを利用したサイバー脅威から緩和するために断固とした行動をとることが求められている。
Paul Chichester, NCSC Director of Operations, said:	NCSCのオペレーション・ディレクターであるポール・チチェスターは、次のように述べている：
"We know AI is transforming the cyber threat landscape, expanding attack surfaces, increasing the volume of threats, and accelerating malicious capabilities.	「AIはサイバー脅威の状況を一変させ、攻撃対象領域を拡大し、脅威の量を増やし、悪意のある能力を加速させている。
"While these risks are real, AI also presents a powerful opportunity to enhance the UK’s resilience and drive growth—making it essential for organisations to act.	「こうしたリスクは現実に存在するが、AIは英国のレジリエンスを強化し、成長を促進する強力な機会でもある。
"Organisations should implement strong cyber security practices across AI systems and their dependencies and ensure up-to-date defences are in place."	「組織は、AIシステムとその依存関係に強力なサイバーセキュリティ対策を実施し、最新の防御体制を確保すべきである。
The integration of AI and connected systems into existing networks requires a renewed focus on fundamental security practices. The NCSC has published a range of advice and guidance to help organisations take action, including by using the Cyber Assessment Framework and 10 Steps to Cyber Security.	AIやコネクテッド・システムを既存のネットワークに統合するには、基本的なセキュリティ対策に改めて焦点を当てる必要がある。NCSCは、サイバーアセスメント枠組みやサイバーセキュリティのための10ステップの活用など、組織が対策を講じるための様々なアドバイスやガイダンスを発表している。
The report also highlights, in the rush to provide new AI models, developers will almost certainly prioritise the speed of developing systems over providing sufficient cyber security, increasing the threat from capable state-linked actors and cyber criminals.	報告書はまた、新しいAIモデルの提供を急ぐあまり、開発者が十分なサイバーセキュリティを提供するよりもシステム開発のスピードを優先することはほぼ確実であり、国家と連携した有能な脅威アクターやサイバー犯罪者からの脅威を増大させることを強調している。
Earlier this year, the UK government announced the new AI Cyber Security Code of Practice, produced by the NCSC and the Department for Science, Innovation and Technology (DSIT), which will help organisations develop and deploy AI systems securely.	今年初め、英国政府はNCSCと科学技術革新省（DSIT）が作成した新しいAIサイバーセキュリティ実践規範を発表した。
The Code of Practice will form the basis of a new global standard for secure AI through the European Telecommunications Standards Institute (ETSI).	この実践規範は、欧州電気通信標準化機構（ETSI）を通じて、安全なAIのための新しい世界標準の基礎となる。
The assessment builds on the NCSC’s previous report, the near-term impact of AI on the cyber threat assessment, published in January 2024 and looks to highlight the most significant impacts on cyber threats to the UK from AI developments over the coming years.	このアセスメントは、2024年1月に発表されたNCSCの前回の報告書「サイバー脅威評価におけるAIの短期的影響」に基づくもので、今後数年間のAIの発展による英国へのサイバー脅威への最も重要な影響を明らかにするものである。
View The Impact of AI on Cyber Threat - From Now to 2027 assessment	AIのサイバー脅威への影響-これから2027年までのアセスメントを見る

 

 

・2025.05.07 Impact of AI on cyber threat from now to 2027

Impact of AI on cyber threat from now to 2027	現在から2027年までのAIがサイバー脅威に与える影響
An NCSC assessment highlighting the impacts on cyber threat from AI developments between now and 2027.	NCSCのアセスメントは、現在から2027年までのAIの発展によるサイバー脅威への影響を強調している。
NCSC assessment	NCSCアセスメント
NCSC Assessment (NCSC-A) is the authoritative voice on the cyber threat to the UK. We combine source information – classified intelligence, industry knowledge, academic material and open source – to provide independent key judgements that inform policy decision making and improve UK cyber security. We work closely with government, industry and international partners for expert input into our assessments.	NCSCアセスメント（NCSC-A）は、英国にとってのサイバー脅威に関する権威ある見解である。機密情報、業界知識、学術材料、オープンソースなどのソース情報を組み合わせて、政策決定に情報を提供し、英国のサイバーセキュリティを改善する独立した重要な判断を提供している。政府、産業界、国際的なパートナーと緊密に協力し、専門家の意見をアセスメントに反映させている。
NCSC-A is part of the Professional Heads of Intelligence Assessment (PHIA). PHIA leads the development of the profession through analytical tradecraft, professional standards, and building and sustaining a cross-government community.	NCSC-Aはプロフェッショナル・ヘッズ・オブ・インテリジェンス・アセスメント（PHIA）の一部である。PHIAは、分析技術、専門標準、政府横断的コミュニティの構築と維持を通じて、専門家の育成を主導している。
This report uses formal probabilistic language (see yardstick) from NCSC-A product to inform readers about the near-term impact on the cyber threat from AI. To find out more about NCSC-A, please contact the NCSC directly.	本レポートは、AIによるサイバー脅威への短期的影響について読者に伝えるために、NCSC-A製品から正式な確率論的言語（ヤードスティックを参照）を使用している。NCSC-Aの詳細については、NCSCに直接お問い合わせいただきたい。
How likely is a 'realistic possibility'?	現実的な可能性」とはどの程度のものなのか？
Professional Head of Intelligence Assessment (PHIA) probability yardstick	プロフェッショナル・ヘッド・オブ・インテリジェンス・アセスメント（PHIA）の確率基準
NCSC Assessment uses the PHIA probability yardstick every time we make an assessment, judgement, or prediction. The terms used correspond to the likelihood ranges below:	NCSCアセスメントは、評価、判断、予測を行うたびにPHIA確率基準を使用している。使用する用語は以下の可能性の範囲に対応している：
Key judgements	主要な判断
・Artificial intelligence (AI) will almost certainly continue to make elements of cyber intrusion operations more effective and efficient, leading to an increase in frequency and intensity of cyber threats.	・人工知能(AI)は、サイバー脅威の頻度と強度の増加につながり、サイバー侵入作戦の要素をより効果的かつ効率的にし続けることはほぼ確実である。
・There will almost certainly be a digital divide between systems keeping pace with AI-enabled threats and a large proportion that are more vulnerable, making cyber security at scale increasingly important to 2027 and beyond.	・AIを活用した脅威と歩調を合わせているシステムと、より脆弱なシステムとの間にデジタルデバイドが生じることはほぼ確実であり、2027年以降、規模に応じたサイバーセキュリティの重要性が高まる。
・Assuming a lag, or no change to cyber security mitigations, there is a realistic possibility of critical systems becoming more vulnerable to advanced threat actors by 2027. Keeping pace with 'frontier AI' capabilities will almost certainly be critical to cyber resilience for the decade to come.	・サイバーセキュリティ緩和策に遅れがある、あるいは変化がないと仮定すると、2027年までに重要なシステムが高度な脅威アクターに対してより脆弱になる現実的な可能性がある。フロンティアAI」の能力と歩調を合わせることが、今後10年間のサイバーレジリエンスにとって重要であることはほぼ間違いない。
・Proliferation of AI-enabled cyber tools will highly likely expand access to AI-enabled intrusion capability to an expanded range of state and non-state actors.	・AI対応サイバー・ツールの普及により、AIを活用した侵入能力へのアクセスが、国家および非国家主体に拡大する可能性が高い。
・The growing incorporation of AI models and systems across the UK’s technology base, and particularly within critical national infrastructure (CNI), almost certainly presents an increased attack surface for adversaries to exploit.	・英国の技術基盤全体、特に重要な国家インフラ（CNI）内でAIモデルやシステムの導入が進むことで、敵対者が悪用する攻撃対象が拡大することはほぼ間違いない。
・Insufficient cyber security will almost certainly increase opportunity for capable state-linked actors and cyber criminals to misuse AI to support offensive activities.	・サイバーセキュリティが不十分であれば、国家とつながりのある有能な行為者やサイバー犯罪者が、攻撃活動を支援するためにAIを悪用する機会が増えることはほぼ確実である。
Context	背景
This report builds on NCSC Assessment of near-term impact of AI on cyber threat published in January 2024. It highlights the assessment of the most significant impacts on cyber threat from AI developments between now and 2027. It focuses on the use of AI in cyber intrusion. It does not cover wider threat enabled by AI, such as influence operations. AI and its application to cyber operations is changing fast. Technical surprise is likely.	本レポートは、2024年1月に発表された「AIがサイバー脅威に与える短期的影響に関するNCSCアセスメント」に基づいている。現在から2027年までの間にAIの発展がサイバー脅威に及ぼす最も重要な影響についてのアセスメントに焦点を当てている。サイバー侵入におけるAIの利用に焦点を当てている。影響力の行使など、AIが可能にする広範な脅威はカバーしていない。AIとそのサイバー作戦への応用は急速に変化している。技術的なサプライズが起こる可能性がある。
Note	注
AI offers great potential for efficiency and creativity. However, organisations are strongly encouraged to follow the NCSC's guidance on deploying AI tools securely, and to protect themselves from cyber threats. Please refer to the following douments:	AIは効率性と創造性に大きな可能性を提供する。しかし、組織はAIツールを安全に展開し、サイバー脅威から身を守るために、NCSCのガイダンスに従うことが強く推奨される。以下の資料を参照されたい：
・AI and cyber security: what you need to know	・AIとサイバーセキュリティ：知っておくべきこと
・Guidelines for secure AI system development	・安全なAIシステム開発のためのガイドライン
Assessment	アセスメント
AI will almost certainly continue to make elements of cyber intrusion operations more effective and efficient, leading to an increase in frequency and intensity of cyber threats.	AIは、サイバー脅威の頻度と強度の増加につながり、サイバー侵入作戦の要素をより効果的かつ効率的にし続けることはほぼ確実である。
Cyber threat actors are almost certainly already using AI to enhance existing tactics, techniques and procedures (TTPs) in victim reconnaissance, vulnerability research and exploit development, access to systems through social engineering, basic malware generation and processing exfiltrated data. To 2027, this will highly likely increase the volume and impact of cyber intrusions through evolution and enhancement of existing TTPs, rather than creating novel threat vectors.	サイバー脅威アクターは、被害者偵察、脆弱性調査とエクスプロイト開発、ソーシャル・エンジニアリングによるシステムへのアクセス、基本的なマルウェア生成、流出データの処理において、既存の戦術、技術、手順（TTP）を強化するためにAIを利用していることはほぼ確実である。2027年まで、このことは、新たな脅威のベクトルを生み出すのではなく、既存のTTPの進化と強化を通じて、サイバー侵入の量と影響を増大させる可能性が高い。
In the near-term, only highly capable state actors with access to requisite investment, quality training data and expertise will be able to harness the full potential of AI in advanced cyber operations. The majority of other cyber threat groups are almost certain to focus on the use, or repurposing of commercially available and open-source AI models to uplift their capability. The release of capable open-source models likely lowers the barrier to the building of similar models and narrow AI-enabled tools to enhance capability across both cyber defence and threat.	当面は、必要な投資、質の高い訓練データ、専門知識を利用できる、能力の高い国家主体のみが、高度なサイバー作戦においてAIの可能性をフルに活用できるだろう。その他のサイバー脅威グループの大半は、その能力を向上させるために、市販されているAIモデルやオープンソースのAIモデルの利用や再利用に重点を置くことはほぼ確実である。オープンソースの有能なモデルが公開されたことで、サイバー防衛と脅威の両面で能力を向上させるために、同様のモデルや狭い範囲のAI対応ツールを構築することへの障壁が低くなった可能性が高い。
AI cyber capability is likely to make cyber security at scale increasingly important to 2027 and beyond.	AIサイバー能力は、2027年以降、規模を拡大したサイバーセキュリティの重要性をますます高める可能性が高い。
The most significant AI cyber development will highly likely come from AI-assisted vulnerability research and exploit development (VRED) that enables access to systems through the discovery and exploitation of flaws in the underlying code or configuration.	最も重要なAIサイバー開発は、基礎となるコードまたは構成の欠陥の発見と悪用を通じてシステムへのアクセスを可能にするAI支援脆弱性調査と悪用開発（VRED）からもたらされる可能性が高い。
By 2027, AI-enabled tools will almost certainly enhance threat actors’ capability to exploit known vulnerabilities, increasing the volume of attacks against systems that have not been updated with security fixes. System owners already face a race in identifying and mitigating disclosed vulnerabilities before threat actors can exploit them. The time between disclosure and exploitation has shrunk to days and AI will almost certainly reduce this further. This will highly likely contribute to an increased threat to CNI or CNI supply chains, particularly any operational technology with lower levels of security.	2027年までに、AI対応ツールは、既知の脆弱性を悪用する脅威アクターの能力をほぼ確実に強化し、セキュリティ修正プログラムが更新されていないシステムに対する攻撃の量を増加させるだろう。システム所有者はすでに、脅威アクターに悪用される前に、公表された脆弱性を特定し緩和する競争に直面している。情報開示から悪用までの時間は数日にまで短縮されており、AIがこれをさらに短縮することはほぼ間違いない。このことは、CNIやCNIサプライチェーン、特にセキュリティレベルの低い運用技術に対する脅威を増大させる可能性が高い。
However, AI will also aid system owners and software developers in securing systems. As there is a remote chance of universal access to AI for cyber security defence by 2027, there will almost certainly be a digital divide between systems keeping pace with AI-enabled threat, and a large proportion that are more vulnerable.	しかし、AIは、システム所有者やソフトウェア開発者がシステムを安全に保護するための助けにもなる。2027年までにサイバーセキュリティ防衛のためにAIが普遍的に利用される可能性はほとんどないため、AIを利用した脅威と歩調を合わせているシステムと、より脆弱性の高いシステムの間には、ほぼ間違いなくデジタルデバイドが存在することになる。
Keeping pace with frontier AI cyber developments will almost certainly be critical to cyber resilience for the decade to come.	フロンティアAIのサイバー開発に歩調を合わせることが、今後10年間のサイバーレジリエンスにとって極めて重要になることはほぼ間違いない。
For skilled cyber actors with the ability to fine-tune AI models or build sovereign AI systems dedicated to vulnerability exploitation, AI will highly likely enhance zero-day discovery and exploitation techniques to 2027. Zero-days are unpatched, and likely unknown, vulnerabilities in systems that threat actors can exploit in the knowledge their targets will likely be vulnerable. Assuming a lag, or no change to cyber security mitigations, there is a realistic possibility of critical systems becoming more vulnerable to advanced threat actors by 2027.	AIモデルを微調整したり、脆弱性の悪用に特化した主権AIシステムを構築したりする能力を持つ熟練したサイバーアクターにとって、AIは2027年までゼロデイを発見し悪用する技術を強化する可能性が高い。ゼロデイとはパッチが適用されていない、おそらく未知のシステムの脆弱性のことで、脅威アクターはターゲットが脆弱である可能性が高いことを認識した上で、これを悪用することができる。サイバーセキュリティ緩和策に遅れがある、または変更がないと仮定すると、2027年までに重要システムが高度な脅威アクターに対してより脆弱になる現実的な可能性がある。
By 2027, skilled cyber actors will highly likely be using AI-enabled automation to aid evasion and scalability.	2027年までに、熟練したサイバー・アクターは、回避と拡張性を支援するためにAI対応の自動化を利用する可能性が高い。
The development of fully automated, end-to-end advanced cyber attacks is unlikely to 2027. Skilled cyber actors will need to remain in the loop. But skilled cyber actors will almost certainly continue to experiment with automation of elements of the attack chain such as identification and exploitation of vulnerabilities, rapid changes to malware and supporting infrastructure to evade detection. This human-machine teaming will highly likely make the identification, tracking and mitigation of threat activity more challenging without the development of effective AI assistance for defence.	完全に自動化されたエンド・ツー・エンドの高度なサイバー攻撃が開発される可能性は2027年まで低い。熟練したサイバー行為者は、その輪の中にとどまる必要がある。しかし、熟練したサイバー・アクターは、脆弱性の特定と悪用、マルウェアの迅速な変更、検知を回避するためのインフラ支援など、攻撃チェーンの要素の自動化をほぼ確実に試行し続けるだろう。このような人間と機械の連携は、防衛のための効果的なAI支援が開発されない限り、脅威活動の特定、追跡、緩和をより困難なものにする可能性が高い。
Proliferation of AI-enabled cyber tools will highly likely increase access to AI-enabled intrusion capability to an expanded range of state and non-state actors.	AI対応サイバー・ツールの普及により、国家および非国家主体によるAI対応侵入能力へのアクセスが拡大する可能性が高い。
The commercial cyber intrusion sector will almost certainly incorporate AI into products on offer. It is highly likely criminal use of AI will increase by 2027 as AI becomes more widely adopted in society. Skilled cyber criminals will highly likely focus on getting around safeguards on available AI models and AI-enabled commercial penetration testing tools to make AI-enabled cyber tools available 'as a service'. This will uplift (from a low base) novice cyber criminals, hackers for hire and hacktivists in conducting opportunistic information gathering and disruptive operations.	商業的なサイバー侵入の分野では、提供される製品にAIが組み込まれることはほぼ確実である。AIが社会に広く普及するにつれて、2027年までにAIの犯罪利用が増加する可能性が高い。熟練したサイバー犯罪者は、利用可能なAIモデルのセーフガードを回避することや、AI対応の商用侵入テストツールに焦点を当て、AI対応のサイバーツールを「サービスとして」利用できるようにする可能性が高い。これによって、初心者のサイバー犯罪者、雇われハッカー、ハクティビストは、日和見主義的な情報収集や破壊活動を行うことができるようになる。
The growing incorporation of AI models and systems across the UK’s technology base, and particularly within CNI, almost certainly presents an increased attack surface for adversaries to exploit.	英国の技術基盤全体、特にCNIにおいて、AIモデルやシステムの導入が進んでいることは、敵対者にとって攻撃対象の拡大を意味する。
AI systems include data, methods for teaching and evaluating AI, and the necessary technology to use them. AI technology is increasingly connected to company systems, data, and operational technology for tasks. Threat actors will almost certainly exploit this additional threat vector. Techniques such as direct prompt injection, software vulnerabilities, indirect prompt injection and supply chain attack are already capable of enabling exploitation of AI systems to facilitate access to wider systems.	AIシステムには、データ、AIを教育・評価する方法、それらを使用するために必要な技術が含まれる。AI技術は、企業のシステム、データ、業務技術にますます接続されるようになっている。脅威アクターはほぼ間違いなく、この新たな脅威ベクトルを悪用するだろう。直接的プロンプト・インジェクション、ソフトウェアの脆弱性、間接的プロンプト・インジェクション、サプライチェーン攻撃などの手法は、より広範なシステムへのアクセスを容易にするためにAIシステムを悪用することを可能にすることがすでに可能である。
Insufficient cyber security will almost certainly increase opportunity for capable state-linked actors and cyber criminals to misuse AI systems for cyber threat.	サイバーセキュリティが不十分であれば、国家と結びついた有能な脅威アクターやサイバー犯罪者がAIシステムをサイバー脅威のために悪用する機会が増えることはほぼ間違いない。
In the rush to provide a market-leading AI model (or applications that are more advanced than competitors) there is a risk that developers will prioritise an accelerated release schedule over security considerations, increasing the cyber threat from compromised or insecure systems.	市場をリードするAIモデル（または競合他社よりも先進的なアプリケーション）のプロバイダを急ぐあまり、開発者がセキュリティへの配慮よりもリリーススケジュールの前倒しを優先し、侵害されたシステムや安全でないシステムによるサイバー脅威が増大するリスクがある。
The threat will also be enabled by insecure data handling processes and configuration, which includes	この脅威は、安全でないデータ処理プロセスや設定によってももたらされる。これには、
・transmitting data with weak encryption making it vulnerable to interception and manipulation	・データを脆弱な暗号化で送信し、傍受や操作に対して脆弱にすることが含まれる。
・poor identity management and storage increasing the risk of credential theft, particularly those with privileged access or reused across multiple systems	・IDマネジメントや保管が不十分で、クレデンシャル盗難のリスクが高まる。特に、特権的なアクセス権を持つクレデンシャルや、複数のシステムで再利用されるクレデンシャル。
・collecting extensive user data, increasing the risk of de-anonymising users and enabling targeted attack	・膨大なユーザーデータを収集し、ユーザーの匿名化を解除し、標的型攻撃を可能にするリスクを高める。
Fundamental cyber security practices in the integration and configuration of AI and connected systems will be key to mitigating threats. Organisations that use AI systems will almost certainly need to maintain up-to-date cyber security measures on their AI systems and their dependencies.	AIと接続されたシステムの統合と構成における基本的なサイバーセキュリティの実践が、脅威緩和の鍵となる。AIシステムを使用する組織は、AIシステムとその依存関係について、ほぼ間違いなく最新のサイバーセキュリティ対策を維持する必要がある。
Implications	意味
AI will almost certainly pose cyber resilience challenges to 2027 and beyond, across critical systems and economy and society. These will range from responding to an increased volume of attacks, managing an expanded attack surface and keeping pace with unpredictable advancements and proliferation of AI-cyber capability.	AIは、2027年以降、重要なシステムや経済社会全体にサイバーレジリエンスの課題をもたらすことはほぼ確実である。これらは、増加する攻撃量への対応、拡大する攻撃対象の管理、AIサイバー能力の予測不能な進歩と拡散への対応など、多岐にわたるだろう。
Glossaary	用語解説
Artificial intelligence (AI)	人工知能（AI）
Artificial intelligence encompasses systems able to perform tasks that would normally require human intelligence. It includes machine learning  (a type of AI by which computers find patterns in data or solve problems automatically without having to be explicitly programmed) and generative AI (AI tools that can produce different types of content, including text, images and video).	人工知能は、通常は人間の知性を必要とするタスクを実行できるシステムを包含する。機械学習（コンピュータが明示的にプログラムすることなく、データのパターンを見つけたり、自動的に問題を解決したりするAIの一種）や生成的AI（テキスト、画像、ビデオなど、さまざまな種類のコンテンツを生成できるAIツール）も含まれる。
Frontier AI	フロンティアAI。
Frontier AI refers to AI systems that can provide a wide variety of tasks that match or exceed the capabilities present in today’s most advanced systems.	フロンティアAIとは、今日の最先端システムに存在する能力と同等か、それ以上の多様なタスクを提供できるAIシステムを指す。
AI system	AIシステム
An AI system comprises the host infrastructure, management systems, access control systems and programming interface and can comprise multiple AI designs and models.	AIシステムは、ホスト・インフラ、管理システム、アクセス管理システム、プログラミング・インターフェースで構成され、複数のAI設計とモデルで構成される。
AI design	AI設計
AI design refers to the mathematical and algorithmic processes and constraints that are used to convert inputs into outputs. These can vary widely from narrow linear functions to execute single tasks to interconnected functionality to execute complex, decision-orientated tasks.	AI設計とは、入力を出力に変換するために使用される数学的およびアルゴリズム的プロセスと制約を指す。これらは、単一のタスクを実行するための狭い線形機能から、複雑な意思決定指向のタスクを実行するための相互接続された機能まで、幅広く変化する可能性がある。
Vulnerability	脆弱性
A vulnerability is a weakness, or flaw in a system or process in a computer system or process. An attacker may seek to exploit a vulnerability to gain access to a system. The code developed to do this is known as an exploit. A zero-day exploit exploits a vulnerability where there are no security fixes available. A zero-day becomes a 'known' (or n-day vulnerability) once a security fix has been issued by the vendor. Exploitation of known vulnerabilities rely on finding systems that have not been updated.	脆弱性とは、コンピュータ・システムやプロセスにおける弱点、または欠陥のことである。攻撃者は脆弱性を悪用してシステムにアクセスしようとすることがある。そのために開発されたコードがエクスプロイトと呼ばれる。ゼロデイ攻撃は、利用可能なセキュリティ修正がない脆弱性を悪用する。ゼロデイ脆弱性は、ベンダ ーからセキュリティ修正プログラムが発行されると、「既知の」（あるいはn-day脆弱性）脆弱性となる。既知の脆弱性の悪用は、アップデートされていないシステムを見つけることに依存する。

 

● まるちゃんの情報セキュリティ気まぐれ日記

このレポートの元になった報告書を紹介している私のブログはこちら...

↓

・2024.02.06 英国 NCSC AIによるサイバー脅威への短期的影響 - ランサムウェアの脅威はAIによって増加すると警告 (2024.01.24)

・2025.02.02 英国 科学・イノベーション・技術省 AIサイバーセキュリティ実践規範 (2025.01.31)

 

AIのセキュリティリスク

・2024.06.27 英国 国家サイバーセキュリティセンター 人工知能 (AI) のサイバーセキュリティに関する研究 (2024.05.15)

 

 

AIについてのセキュリティリスクの全体感は、私が2020年にサイバー犯罪に関する白浜シンポジウムで説明した資料がわかりやすいとおもいます...

・2020.10.25 『スマートサイバー AI活用時代のサイバーリスク管理』第24回 サイバー犯罪に関する白浜シンポジウムの発表資料