生成AIを通じた「情報漏えいリスク」が拡大　CPR調査

チェック・ポイント・ソフトウェア・テクノロジーズ株式会社の脅威インテリジェンス部門であるチェック・ポイント・リサーチ（以下、CPR）は2026年1月19日、2025年12月のグローバルサイバー攻撃統計（Global Cyber Attack Statistics）を発表した。

生成AI活用に伴う「データ漏えいリスク」の上昇

本調査では、サイバー脅威環境の顕著な特徴として、2025年10月から引き続き最も活発な活動を示したQilinを始めとするランサムウェアの拡大を確認。さらに地域集中型のサイバー攻撃、企業の生成AI活用に伴うデータ漏えいリスクの上昇が浮き彫りとなった。

2025年12月、世界中でサイバー攻撃が加速。1組織あたりの、週平均攻撃数は2027件にのぼった。

同時にランサムウェア攻撃も急増し、12月は前年同月比60%増となる945件の攻撃が公表。最も活発な活動を示したのは、日本でも2025年9月に発生した大手飲料企業への攻撃で大きく報じられたQilinとなり、公表された攻撃全体の18%を占めた。

1組織あたり平均11の生成AIツールを使用

企業環境における生成AIツールの急速な普及によって、サイバーセキュリティとデータ保護に関する新たな課題が次々と浮上した。

2025年12月には以下の状況が確認されている。

◆生成AIプロンプト27件中1件で高い機密データ漏えいリスク
◆生成AIツールを使用する組織の91%が高リスクのプロンプト活動を経験
◆25%のプロンプトに機密または機密に関わる可能性のある情報
◆1組織あたり平均11の生成AIツールを使用
◆平均的な企業ユーザーが1カ月に生成するプロンプト数は56

CPRは「従業員が平均11の生成AIツールを使用する中、組織はそれぞれのプラットフォームにどのデータがアップロードされているかを監視し、制限する必要がある」と指摘する。

生成AIが日々の業務の一部として浸透する一方で可視性、コントロール、セキュリティガバナンスが不十分な場合が多く、データ損失やAIを駆使したサイバー攻撃のリスクが高まっていることがうかがえる。

明確な「ガバナンスの実施」が極めて重要

CPRは今後のサイバーセキュリティの展望について、次のようにコメントしている。

「2025年12月のサイバー攻撃に関するデータは、短期的な攻撃数の変動よりも、2026年に向かう中で組織がランサムウェアによる持続的な脅威と、生成AIによる構造的なデータリスクに直面した様子を示しています。2026年にサイバーリスクを低減するには、ランサムウェアに対するレジリエンスの強化と、AIを駆使した防止策の展開、生成AIに関する明確なガバナンスの実施が極めて重要になります」

企業において、生成AIを通じた情報漏えいリスクの拡大が浮き彫りになった。各種業務におけるAIツールの使用管理について、高い優先度で取り組む必要があるだろう。