MIT SloanとSafe Securityが共同で執筆した論文は、2024年のランサムウェア攻撃の80.83%がAIを利用する脅威行為者によるものだと主張していた。この論文は2025年4月に完成し、同年9月にMIT Sloanのブログで「ランサムウェア攻撃の80%がAIを使用している」というタイトルで引用された。
セキュリティ研究者Kevin Beaumontは、論文が証拠もなく主要なランサムウェアグループを「AI駆動」と分類していると批判し、かつて活動していたマルウェアEmotetまでその中に含めている点を問題視した。なお、Emotetは2021年に国際共同作戦で摘発された後も一部で再活動が報告されている。
マーカス・ハッチンスを含む複数の専門家も同様に批判しており、一部メディアは、Googleのセキュリティ研究チームを含む複数の専門家がこの主張を裏付けるデータは現時点で存在しないと指摘していると報じた。ただし、Google公式としての見解や声明は確認されていない。
これらの批判を受けてMIT Sloanは論文を撤回したと報じられているが、実際には現在URL先には「更新版を作成中である」とするメッセージが表示されている。
MIT Sloanのサイバーセキュリティディレクターであるマイケル・シーゲルは、最近のコメントを受けて更新版を提供するために迅速に対応していると述べている。
From: 
MIT Sloan shelves paper about AI-driven ransomware
【編集部解説】
今年も終わりに近づく中、AI業界における「信頼の危機」が浮き彫りになっています。MIT Sloanが発表した「ランサムウェア攻撃の80%がAI駆動」という論文の撤回は、単なる学術的な誤りではなく、テクノロジー分野全体に関わる深刻な問題を提示しています。
「何がAI」なのかの定義崩壊
この論文の最大の問題は、「AI使用」の定義が極めて曖昧だったという点です。研究チームは、ランダムナンバージェネレータを使用してIPアドレスを生成する行為すら「AI駆動」と分類していました。つまり、「AIが関わるあらゆる技術的なプロセス=AI駆動」という拡大解釈が行われていたわけです。結果として、テクノロジーへの理解が深い読者ほど、この数字の信憑性に疑問を持つのは当然だったのです。
ベンダー主導の「学術スローピング」
より深刻な点は、この論文がサイバーセキュリティベンダーのSafe Securityと共同執筆されていたことです。Safe SecurityはサイバーセキュリティソリューションにAIを組み込むことで利益を得ている企業です。つまり、AI関連の脅威を大きく見せることで、自社製品の需要を創出しようとしていた可能性があります。セキュリティ研究者たちはこれを「cyberslop」と呼び、「信頼できる機関が根拠のない主張を使用して利益を得ている」と指摘しました。こうした行為は、テックメディアや読者が最も警戒すべき「学術装甲を纏ったマーケティング」の典型例です。
サイバーセキュリティ業界への不信感
セキュリティ研究者Kevin BeaumontやMarcus Hutchinsらから出された批判の本質は、「ベンダーが誇張された脅威統計を流布することで、業界全体への信頼が損なわれる」という懸念にあります。特にHutchinsは論文に関して、グラマティカルエラー、根拠のない引用、方法論の欠如を指摘し、「学術的不正行為の教科書例である」とまで述べています。こうした事態が繰り返されると、本当に重要なセキュリティ脅威に対する社会の警戒心が薄れてしまうのです。
テクノロジー業界全体への波及効果
このような事案が起きると、ステークホルダーたち—CISOs(最高情報セキュリティ責任者)、企業意思決定者、規制当局—が不正確な情報に基づいて判断を下す羽目になります。実際には対策が必要な真実の脅威が見過ごされ、一方で過度に誇張された脅威に対して資源が浪費される危険があります。
透明性と方法論の重要性
innovaTopiaの読者層であるアーリーアダプターたちは、テクノロジーの本質を理解し、過度な期待値と現実的なリスクを冷静に見分ける能力を持っています。だからこそ、このような事案は、メディアと企業が「データの出所」「研究方法論」「利益相反」を明確に開示することの重要性を改めて示しています。
【用語解説】
ランサムウェア
コンピュータやネットワークをロック、あるいはデータを暗号化して使用不能にし、復旧と引き換えに金銭を要求するマルウェアである。企業や組織に対する重大なサイバー脅威であり、多くの場合、脅迫と身代金要求を伴います。
Safe Security
サイバーセキュリティソリューションを提供する企業。AIを組み込んだ脅威検知・対応ツールを開発し、ランサムウェア対策製品も提供している。今回の論文の共著者となっていたことで、利益相反の問題が指摘されています。
脅威行為者(Threat Actor)
サイバー攻撃を実行する個人、グループ、または組織の総称。ハッカー、サイバー犯罪組織、国家支援の攻撃者などが含まれます。
Emotet
2014年から2020年代初期にかけて活動していたトロイの木馬型マルウェア。主にスパムメール経由で配布されていた。2021年に執行機関により主要インフラが制御下に置かれ、その後は活動していません。
CISOs(最高情報セキュリティ責任者)
Chief Information Security Officer。企業や組織のセキュリティ戦略と実装を統括する最高責任者である。セキュリティに関する経営判断に大きな影響を持ちます。
【参考リンク】
MIT Sloan School of Management(外部)
マサチューセッツ工科大学のビジネススクール。経営学、情報システム、サイバーセキュリティに関する研究を実施している権威ある学術機関。
Kevin Beaumont(外部)
セキュリティ研究者。ランサムウェアおよびボットネットの監視・分析を専門とし、業界内で高く信頼されている。
The Register(外部)
IT業界、サイバーセキュリティ、テクノロジーに関する調査報道を行う英語ニュースメディア。
【参考記事】
Rethinking the Cybersecurity Arms Race(外部)
撤回される前のMIT Sloan論文のPDF。「AI駆動」の定義と分類方法が記載された一次資料。
AI ransomware panic – exposing the inflated “80%” claim(外部)
MIT論文の統計根拠が曖昧であることを指摘。セキュリティコミュニティからの批判の詳細が記述されている。
Security Community Slams MIT-linked Report(外部)
セキュリティコミュニティの詳細な批判を集約。Marcus Hutchinsを含む複数専門家の指摘を記述。
When Ransomware Meets AI: Study Shows Alarming Trends(外部)
MIT論文が発表当初どのように報道されたかを示す記事。ベンダーとメディアの関係性を記述。
【編集部後記】
この事案は、テクノロジーの「信頼」について改めて考えさせてくれます。AIが日常に浸透する中、データや統計がどこから来たのか、誰がそれを発表しているのかを確認するクセをつけることは、これからの必須スキルではないでしょうか。
セキュリティ脅威の現実、ベンダーのマーケティング、学術的な厳密さ—その境界線を自分たちで見極める力を一緒に磨いていきたいです。みなさんはどんな情報源を信頼していますか?
