パスワードがなくなる? AIが守る——5〜10年後のサイバーセキュリティ完全解説

最新サイバー攻撃・ニュース

「5年後のセキュリティはどう変わるのか」を一言で言うなら、「守られていることに気づかない時代」が来ます。

今は、セキュリティのために「パスワードを複雑にしろ」「二段階認証を設定しろ」「怪しいメールを見分けろ」と言われます。でも、それを完璧にこなせる人はほとんどいません。専門家でも難しいことを一般ユーザーに求めるのは、設計として間違っているのです。

そこで世界の技術企業は、方針をこう転換しました。
「ユーザーに何もさせずに、最初から安全な状態にする」

この記事では、その具体的な5つの変化を、実際のデータと事例を交えながら深掘りします。

⚠ 注意

この記事で紹介する技術の多くはすでに始まっています。「将来の話」ではなく「今まさに移行中」の話として読んでください。5〜10年後には、これらが完全に標準になっているという予測です。

  1. 【第1章】パスワードが消える日——パスキー革命の現実
    1. パスワードはなぜ根本的に欠陥があるのか
    2. パスキー(Passkey)が解決策になる理由
    3. 5〜10年後の姿:「パスワードを作る」という概念がなくなる
  2. 【第2章】AIがメール・メッセージの「悪意」を自動判別する
    1. フィッシング攻撃の現在地
    2. 防御側のAIはどこまで進んでいるか
    3. SMSとSNSへの拡大
    4. 5〜10年後の姿:「怪しいかどうか自分で判断する」必要がなくなる
  3. 【第3章】OSが「標準装備」で防御する時代
    1. ウイルス対策ソフトは必要なくなるのか
    2. スマートフォンはPCよりも安全な理由
    3. 5〜10年後の姿:「セキュリティソフトを買う」という行為がなくなる
  4. 【第4章】AIがリアルタイムで「これは詐欺です」と教えてくれる
    1. 電話詐欺の規模感を知る
    2. Googleが始めたリアルタイム詐欺検出
    3. SNS上の詐欺広告との戦い
    4. 「声」「顔」も信用できなくなる時代の防御策
  5. 【第5章】「買ったままで安全」への道——ゼロトラストとデフォルトセキュア
    1. 「デフォルトセキュア」という設計思想
    2. ゼロトラストとは何か
    3. 量子コンピュータが暗号を「壊す」日への備え
  6. 【第6章】それでも消えない「人間の弱点」——AIでも防げないもの
    1. 技術で防げない攻撃:ソーシャルエンジニアリング
    2. AIが攻撃側でも使われている現実
  7. 【まとめ】「気づかず守られる時代」のために、今やることは3つだけ
    1. 今すぐできる3つのこと

【第1章】パスワードが消える日——パスキー革命の現実

パスワードはなぜ根本的に欠陥があるのか

まず現実のデータを見てください。

Verizonが毎年発表している「データ侵害調査報告書(DBIR)」の2023年版によると、情報漏えいの原因の74%が、パスワードや認証情報の窃取に関係しています。つまり、不正アクセスの4件中3件は、パスワードが盗まれたことが原因です。

なぜパスワードは盗まれやすいのか。理由は構造的なものです。

  • パスワードはサーバー側にも保存されているため、サーバーが攻撃されれば流出する
  • フィッシングサイトで入力させることで、そのまま盗める
  • 人間が覚えやすいパスワードは推測されやすい
  • 複数サービスで使い回すと、一つの漏えいが全サービスに波及する

パスワードそのものが、設計として時代遅れになっているのです。

パスキー(Passkey)が解決策になる理由

「パスキー」は、Apple・Google・Microsoftが共同で推進している次世代の認証技術です。FIDO(Fast Identity Online)アライアンスという国際標準化団体が仕様を定めており、すでに世界中に普及が始まっています。

パスキーの仕組みをわかりやすく言うと、こうです。

あなたのスマホの中に「鍵」と「鍵穴」があります。ログインするときに、スマホが顔認証や指紋でそれが本人であることを確認し、「鍵」を使って自動的に認証します。このとき、パスワードという「文字列」はどこにも送られません。鍵はスマホの外に出ないので、フィッシングサイトに入力することも、サーバーから盗まれることも、物理的に不可能です。

具体的な普及状況を見てみましょう。

  • Apple:2022年のiOS 16・macOS Venturaからパスキーを標準搭載。iCloud経由で複数のAppleデバイス間で自動同期。
  • Google:2023年5月、Googleアカウントでパスキーをデフォルトの認証方法として提供開始。同年、Android端末でのパスキー管理をGoogle パスワードマネージャーに統合。
  • Microsoft:Windows Helloとパスキーを統合。2024年にMicrosoftアカウントのパスキーログインを本格展開。
  • 主要サービス:Amazon、PayPal、GitHub、Shopify、ヤフー、NTTドコモなどが対応済み。
✅ 対策済み確認

Googleは2023年の発表で、パスキーを使ったログインはパスワードよりも40%速く、フィッシング攻撃への耐性は100%(パスキーはフィッシングサイトに対して物理的に機能しない)と報告しています。

5〜10年後の姿:「パスワードを作る」という概念がなくなる

FIDOアライアンスの目標は明確です。「すべてのデバイス・サービスでパスワードを廃止する」というものです。

10年後には、新しいサービスに登録するとき「パスワードを決めてください」という画面が存在しなくなるでしょう。スマホをかざして顔か指紋を認証するだけで、アカウント作成とログインが完了します。子どもたちは「パスワード」という概念を学校で習わない世代になるかもしれません。

【第2章】AIがメール・メッセージの「悪意」を自動判別する

フィッシング攻撃の現在地

Anti-Phishing Working Group(APWG)の2023年レポートによると、世界で検出されたフィッシングサイトの数は年間480万件を超えています。1日あたり1万3,000件以上が新たに作られている計算です。

さらに深刻なのが、AIを使った「精巧な詐欺」の増加です。以前の詐欺メールは「おかしな日本語」ですぐ見分けられました。しかし今は、AIが正確な日本語で、あなたの名前・会社名・取引先の情報まで入れて送ってくる「スピアフィッシング(標的型攻撃)」が一般人にも届くようになっています。

防御側のAIはどこまで進んでいるか

Googleは、Gmailのスパム・フィッシングフィルターについて「99.9%以上の精度でブロックしている」と公表しています。1日に3,300億通以上のメールが処理される中で、この精度を維持するのは人間には不可能であり、AIのみが実現できる数字です。

技術的には、次のような仕組みが組み合わさっています。

  • 送信元評価(レピュテーション分析):そのメールアドレスやIPアドレスが過去に詐欺に使われた実績があるかをリアルタイムで照合
  • 自然言語処理(NLP):メール本文の言い回し・緊急性を煽る表現・不自然な敬語などをAIが分析
  • URLスキャン:本文中のリンクが本物のサイトかを瞬時に判定
  • 画像認識:メール内の画像がブランドロゴを偽造していないかを検出

Microsoftも、Defender for Office 365というサービスで、AIによるリアルタイム脅威分析を提供しています。Microsoftのセキュリティチームは毎日7,800億件以上のメールを分析し、そのデータがAIの学習に使われています(Microsoft Digital Defense Report 2023)。

SMSとSNSへの拡大

詐欺はメールだけではありません。SMS(ショートメッセージ)経由の「スミッシング」と、SNSを使った詐欺が急増しています。

AppleはiOS 17から、不明な送信者からのSMSに含まれるリンクを自動的に非表示にする機能を追加しました。クリックするには意図的に操作が必要になり、うっかりタップしてしまう事故を防ぎます。

Googleも、Pixel端末向けに「メッセージ」アプリのスパム検出AIを強化。2024年には、詐欺的な内容のSMSをリアルタイムで検出し、警告を表示する機能を展開しています。

5〜10年後の姿:「怪しいかどうか自分で判断する」必要がなくなる

今後、メール・SMS・SNSのメッセージには、AIによる「信頼スコア」が自動的に付与されるようになるでしょう。「このメッセージは高リスク」という警告が、メッセージを開く前に表示される。そして危険なリンクは、クリックする前に自動ブロックされる。ユーザーが「これは詐欺かな?」と考える必要がなくなります。

【第3章】OSが「標準装備」で防御する時代

ウイルス対策ソフトは必要なくなるのか

かつて、パソコンのセキュリティといえば「ウイルス対策ソフトを別途購入してインストールする」ものでした。しかし現在、その常識は大きく変わっています。

Microsoftは、Windows 10から「Windows Defender(現:Microsoft Defender)」をOSに標準搭載しました。このDefenderは、現在では独立した有料ウイルス対策ソフトと同等かそれ以上の検出率を持つと評価されています。ドイツの独立テスト機関AV-TESTの2023年評価では、Microsoft Defenderは満点評価を複数回獲得しています。

macOSも同様です。AppleのGatekeeperとXProtectは、App Store以外からダウンロードされたソフトウェアを自動スキャンし、既知のマルウェアと一致した場合は自動ブロックします。

スマートフォンはPCよりも安全な理由

実は、スマートフォン(特にiPhone)は、設計からしてPCよりもはるかに安全です。

その最大の理由が「サンドボックス」という仕組みです。iPhoneでは、各アプリが完全に隔離された環境(サンドボックス)で動作します。あるアプリが他のアプリのデータを勝手に読み取ることは、OSレベルで禁止されています。

さらにiPhoneには「セキュアエンクレーブ」というチップが搭載されており、顔認証・指紋データ・パスキーの秘密鍵はここに格納されます。このチップはメインのCPUとも通信を遮断した設計になっており、ハッキングで取り出すことは事実上不可能とされています。

Androidも、Android 10以降でセキュリティが大幅に強化されています。Googleは「Android Enterprise」という仕組みで、企業向けだけでなく個人向けデバイスにも、強固なセキュリティポリシーを自動適用する仕組みを展開しています。

⚠ 注意

ただし、OSのセキュリティ機能が有効なのは「OSが最新の状態」のときだけです。アップデートが未適用のデバイスは、修正済みの脆弱性が残ったままになります。「自動アップデートをオンにする」は、今すぐできる最も重要な設定の一つです。

5〜10年後の姿:「セキュリティソフトを買う」という行為がなくなる

OS自体が、AI搭載のリアルタイム防御システムになっていきます。怪しい動作をするアプリは、実行前にAIが検知してブロック。新種のウイルスが発見されれば、クラウド経由で全デバイスにパターンが共有され、数分以内に対策が配布されます。

箱から出して電源を入れた瞬間から、プロ仕様のセキュリティが動いている。それが普通になります。

【第4章】AIがリアルタイムで「これは詐欺です」と教えてくれる

電話詐欺の規模感を知る

日本の警察庁の統計では、特殊詐欺(いわゆる「おれおれ詐欺」などの電話詐欺)の被害額は2023年に441億円に達しました。件数にして1万9,000件以上。被害者の多くが「まさか自分が引っかかるとは思わなかった」と話しています。

AI音声合成技術の進化により、「家族の声を模倣した詐欺電話」が現実の脅威になっています。数秒間の音声サンプルがあれば、その人物の声を高精度に再現できるツールが、すでに悪用されています。

Googleが始めたリアルタイム詐欺検出

Googleは2024年に、Google Pixel端末向けに「詐欺電話検出(Scam Detection)」機能を発表しました。これは通話中にAIがリアルタイムで会話を分析し、詐欺的なパターン(「今すぐ銀行に行って」「誰にも言わないで」「ATMで操作して」など)を検知した場合に、スマホの画面で警告を表示する機能です。

重要なのは、この音声分析がすべてデバイス上で行われるという点です。会話の内容がGoogleのサーバーに送られることはなく、プライバシーを保ちながら保護が機能します。

Appleも同様のアプローチを進めています。iOS 18以降では、通話中の字幕表示機能が搭載されており、会話の内容を視覚的に確認できるようになっています。今後これにAI分析が加わることは、技術的には既定路線とされています。

SNS上の詐欺広告との戦い

FacebookやInstagramを利用した投資詐欺・ショッピング詐欺も深刻です。Meta(Facebookの親会社)は2023年に、AIを使って詐欺的な広告を検出・削除するシステムを強化したと発表。しかし欺くための手法も同時に進化しており、いたちごっこが続いています。

新しいアプローチとして注目されているのが「デジタル署名」です。本物の企業や人物が発信した情報には、偽造不可能なデジタル証明書が付与される。受け取った側のデバイスが自動でその証明書を確認し、「これは本物の発信者からのコンテンツです」と表示する仕組みです。Adobeが主導する「Content Authenticity Initiative(CAI)」がこの規格化を進めており、すでに主要メディア企業が参加しています。

「声」「顔」も信用できなくなる時代の防御策

ディープフェイク技術(AIによる顔・声の偽造)は、すでに詐欺に使われ始めています。2024年には、香港でAIが役員の顔と声を偽造したビデオ会議で25億円以上の詐欺が起きた事例が報告されました。

🚨 重要

「見た目が本物らしい」「声が家族と同じ」は、もはやその情報が本物であることの証明になりません。本人確認の手段そのものを、AIが偽造できる時代になっています。これは現在進行形の脅威です。

これへの対抗策として、「ライブネス検出(Liveness Detection)」技術が進化しています。ビデオ通話や顔認証の際に、相手が本当にリアルタイムの人間かどうかを、表情の微細な変化・光の反射・瞬き・血流による皮膚色変化などで判定するAIです。銀行のオンライン本人確認などで先行して使われており、今後スマホの標準機能になっていく見込みです。

【第5章】「買ったままで安全」への道——ゼロトラストとデフォルトセキュア

「デフォルトセキュア」という設計思想

セキュリティの世界では、「デフォルトセキュア(Secure by Default)」という考え方が広まっています。これは「何も設定しない状態が最も安全」になるよう設計するという思想です。

今まではその逆でした。機能を最大限使えるよう設定されたデバイスが出荷され、必要に応じてユーザーがセキュリティを「追加」する考え方でした。しかしこの設計では、設定を知らないユーザーがリスクにさらされ続けます。

デフォルトセキュアの代表例は、iPhoneです。iPhoneはアプリのインストールをApp Storeだけに限定し(サイドローディングを標準では禁止)、マイク・カメラ・位置情報へのアクセスはすべてユーザーの許可が必要で、追加のセキュリティ設定をしなくても一定水準以上の安全が保たれています。

ゼロトラストとは何か

「ゼロトラスト(Zero Trust)」は、もとは企業向けのセキュリティ概念ですが、個人向けにも広がりつつあります。

従来のセキュリティは「社内(または自宅ネットワーク)は安全、外部は危険」という考え方でした。しかしゼロトラストは「どんなネットワークも信用しない。誰がどこからアクセスしても、毎回本人確認をする」という考え方です。

個人レベルで言うと、カフェのWi-Fiも、家のWi-Fiも、どちらも「危ない可能性がある」として扱い、通信を常に暗号化し、接続先を常に正規のものか確認するということです。この考え方が、OSやアプリの設計に組み込まれていきます。

量子コンピュータが暗号を「壊す」日への備え

少し先の話ですが、10年後のセキュリティを語る上で避けられないのが「量子コンピュータの脅威」です。

現在のインターネットの通信暗号化(HTTPS)は、「RSA暗号」という数学的な難問に基づいています。これは現在のコンピュータでは解読に数百万年かかるため安全です。しかし理論上、十分に高性能な量子コンピュータがあれば、この暗号は短時間で解読できてしまいます。

この脅威に備えて、米国国立標準技術研究所(NIST)は2024年に「耐量子暗号(Post-Quantum Cryptography)」の標準規格を正式に公表しました。量子コンピュータでも解読できない新しい暗号方式です。GoogleやMicrosoftはすでにこの新暗号方式のテスト実装を進めており、10年以内に現在の暗号方式との切り替えが行われる見込みです。

ユーザーが何かをする必要はありません。OSやブラウザが自動的に対応するため、気づかないうちに新しい暗号で守られることになります。

✅ 対策済み確認

ChromeブラウザはすでにGoogleのサービスとの通信に耐量子暗号のテストを開始しています(2023年〜)。あなたがGmailやGoogle検索を使っているなら、すでに量子コンピュータ対策の実験的な保護の恩恵を受けています。

【第6章】それでも消えない「人間の弱点」——AIでも防げないもの

技術で防げない攻撃:ソーシャルエンジニアリング

ここまで明るい未来の話を続けてきましたが、現実も伝えなければなりません。

どれだけAIが進化しても、「人間の心理を操る攻撃」は防ぎにくいのです。これを「ソーシャルエンジニアリング」と呼びます。

たとえば、攻撃者があなたの会社のIT担当者を名乗って電話をかけ、「緊急メンテナンスが必要なので、今から送るURLにアクセスして認証コードを教えてください」と言う。技術的には何も不正なことは起きておらず、あなたが自分の意志で情報を渡してしまうのです。AIはあなたの「行動」は監視できますが、「判断」には介入できません。

セキュリティの世界では「人間は最大の脆弱性(ぜいじゃくせい)」と言われることがあります。これは批判ではなく、人間の心理(親切心・権威への服従・緊急事態への反応)を悪用する攻撃は、技術的な防御の外側にあるということです。

AIが攻撃側でも使われている現実

防御側にAIが使われているのと同様に、攻撃側にもAIが使われています。

Googleのセキュリティ部門が2024年に報告した内容では、攻撃者はAIを使って次のことを行っています。

  • フィッシングメールを何百万通も、ターゲット個別にカスタマイズして自動生成
  • ソフトウェアの脆弱性を自動で発見するコードの作成
  • セキュリティ製品の検出を回避するためのマルウェア変種の自動生成

これは「AIの軍拡競争」です。防御側が強くなれば攻撃側も強くなる。ただし、防御側には一つ有利な点があります。攻撃は「当たれば成功」ですが、防御は「一つ当たってもゼロではない」という構造的な差です。AIによる自動防御は、大量の攻撃を大量にブロックすることが得意です。

🚨 重要

「AIが守ってくれるから何もしなくていい」という考えは危険です。AIの防御は「確率的に安全」であって「絶対的に安全」ではありません。特に、AIが苦手とする「人間心理への攻撃」に対しては、最終的に自分の判断が最後の砦になります。

【まとめ】「気づかず守られる時代」のために、今やることは3つだけ

5〜10年後のセキュリティの姿を整理すると、こうなります。

脅威5〜10年後
パスワード流出自分で管理・変更が必要パスキーでパスワード自体が消える
フィッシングメール自分で見分ける必要ありAIが届く前に99%以上をブロック
マルウェア・ウイルス別途ソフトが必要な場合もOS標準のAIが自動リアルタイム防御
電話詐欺自分で判断するしかないAIがリアルタイムで警告を表示
新しい暗号への移行知識が必要OS・ブラウザが自動で対応

ただし、「完全自動」になるのは技術の話であって、人間の判断を狙う攻撃は残り続けます。

だからこそ今、やっておくべきことはたった3つに絞られます。

今すぐできる3つのこと

  1. OSを常に最新にする(自動アップデートをオン)
    これだけで既知の攻撃の大半を防げます。iPhoneは「設定 → 一般 → ソフトウェアアップデート → 自動アップデートをオン」。Androidは「設定 → システム → ソフトウェアアップデート → 自動更新をオン」。
  2. パスキー対応サービスはパスキーに切り替える
    「パスキーで登録しますか?」と聞かれたら「はい」を選ぶだけです。Google、Apple ID、Amazon、LINE、ヤフーなど、主要サービスはほぼ対応済みです。
  3. 知らない番号からの電話・SMSには、その場で応じない
    技術がどれだけ進歩しても、「緊急だから今すぐ」と焦らせる手口は残ります。まず電話を切り、公式サイトや公式アプリから自分でアクセスして確認する習慣をつけましょう。
✅ 対策済み確認

上の3つは、全部スマホの画面の指示に従うだけで完了します。セキュリティ知識や専門用語は不要です。テクノロジーは確実に「気づかず守られる世界」に向かっています。今できる3つをやっておけば、その恩恵をフルに受けられます。

【参考・引用データ出典】
Verizon Data Breach Investigations Report 2023 / Anti-Phishing Working Group (APWG) 2023 / Microsoft Digital Defense Report 2023 / Google Security Blog 2023-2024 / NIST Post-Quantum Cryptography Standards 2024 / AV-TEST Institute 2023 / 警察庁「令和5年における特殊詐欺の認知・検挙状況等について」/ FIDO Alliance 公式発表

コメント