Day 62 すべてを変えた数字 The Numbers That Changed Everything
Day 62 すべてを変えた数字
なぜ昨日の画期的研究はすでに過去のものなのか
昨日、コペンハーゲンの研究についてお話ししました。理論ではありません。シミュレーションでもありません。彼らは実際のシステムに侵入したのです。
参加者の89%は、侵害が深刻であることを"知った"のではなく、感じました。
自分の手で。リアルタイムで。
そして視点が変わる瞬間が、まるで音として聞こえてくるようでした。
これは誇大広告ではありません。
マーケティングでも、恐怖の演出でもありません。
ハードサイエンスです。理論ではなく実証です。
この先に続く話は、推測でも、恐怖を煽る言葉でも、ベンダーの都合でもない、記録された現実です。
あの画期的だった2023年の研究は、もはや時代遅れになりつつあります。今こちらに向かってくる攻撃には対応できていない。
今日、私はここから先に、あなたと一緒に見ていきたいのは、
「今、何が起きているのか」。
データは私たちの「安心」など気にしない
この一年、私は無視できない研究を集めてきました。見出しではなく、カンファレンスのスライドでもなく。読んだ瞬間に静かに部屋の空気を変えるような種類のデータです。
2024年後半に認証情報フィッシングが703%増加(SlashNext、フィッシングインテリジェンスレポート)。
2022年以降、AI支援侵入が前年比220%増加(American Security Project、Cloud of War)。
2022年以降、ディープフェイク攻撃が2,137%増加(Signicat、独立検証済み)。
IT専門家の51%が、成功した侵害をChatGPTのようなツールに関連付けている(ZeroThreat AI)。
2024年のフィッシングメールの82.6%がAIの痕跡を示している。
これらの数字を最初に見たとき、私は恐怖を感じませんでした。私は認識を感じました。今まで使ってきた地図が、もはや足元の地形と一致していないことに気づくような。
出典を共有しているのは、信頼が重要だからです。なぜなら、これらの数字はパニックではなく、明晰さの中で私たちの注意に値するからです。
もしそれらが重く感じられるなら、それで構いません。それは私たちがこの瞬間に目覚めているということです。
そしてその場所から、興奮ではなく、「意識」。アドレナリンではなく、深呼吸。
真の変化が可能になるのです。
何が変わったか
私たちのトレーニングが進化している間に、攻撃者はより速く進化しました。
今日の脅威アクターは、Nmapを実行して最善を期待してはいません。彼らはチャットウィンドウを開いてこう尋ねます。
「シグネチャベースの検出を回避する多態性マルウェアの亜種を書いて。」
そして彼らは、お湯が沸くよりも短い時間でそれを手に入れます。
彼らはAPIドキュメントをClaudeに入力して弱点を特定しています。Midjourneyを使って経営幹部を偽造する絵を描いています。ElevenLabsを使って30秒のオーディオから声をクローンしています。Stable Diffusionを使って存在しない文書を生成しています。
ラボはありません。資金もありません。
これらのほとんどはNetflixサブスクリプションよりも安価です。
参入障壁は低くなっただけではありません。消滅したのです。
好奇心旺盛なティーンエイジャーが、基本的な英語、あるいはAI翻訳機さえあれば、かつてはチームを必要とした攻撃を今や実践できるのです。
これが誇張であればよかったのですが。そうではありません。
IBMが示したこと
昨年7月、IBMのデータ侵害コストレポートが私の机に届きました。私は全82ページを読みました。一つの数字が私の心に残りました。
488万ドル。侵害の新しいグローバル平均コスト。1年で10%の跳ね上がり。パンデミック以降最大です。
そして2025年の更新が届きました:
- AI関連インシデントの影響を受けた組織の97%が、AIアクセスコントロールを持っていませんでした。
- 63%は、AIガバナンスを全く持っていませんでした。
ポリシーなし。境界なし。「安全なAI使用」のための共通言語なし。
それなのに、AIセキュリティに投資した組織は平均して190万ドルを節約しました。
これは技術のギャップではありません。
準備のギャップです。
私たちは、守るよりも速くAIを展開しています。そして攻撃者は窓の隙間、そこから吹く隙間風を感じることができるのです。
見晴らし台からの眺め
世界経済フォーラムの2025年アウトルックは、現実をそのまま伝えています。
- 2021年Q2:組織あたり週818回の攻撃
- 2025年Q2:組織あたり週1,984回の攻撃
これは142%の増加です。
サイバーセキュリティ予算は?
- 2022年:+17%
- 2025年:+4%
嵐は増えています。土嚢は減っています。
優しく伝えたいのに、うまく言葉が見つからない時があります。
台風は強まっているのに、私たちは窓の半分にしか板を打ち付けられていないのです。
世界第3位の経済
Cybersecurity Venturesは、グローバルサイバー犯罪経済を年間9.5兆ドルと推定しています。
日本よりも大きい。ドイツよりも大きい。地球上で第3位の「経済」です。
これは犯罪の波ではありません。ひとつの産業です。
私たちの侵害、身代金、盗まれた認証情報の上に築かれた、自己資金調達型のシステム。
すべてのインシデントが燃料になり、
すべての支払いが研究開発(R&D)に変わり、
すべての侵害が次の攻撃への滑走路になります。
そして、あなたの組織の中にあるわずかな隙間でさえ、彼らの成長源になります。
そのエンジンは、いまも止まることなく回っています。
今、ここにこの場所に立つ。
これが、私たちがいる場所です。恐怖の中ではなく、認識の中に。
地図は変わりました。地形も変わりました。
答えは、より速く走ることでも、より大声で叫ぶことでも、ユーザーを責めることでもありません。
違う方法で、ナビゲートすることです。
私たちが"思い出している世界"ではなく、私たちが"実際に生きている世界"のために設計すること。
コペンハーゲンの研究は、体験学習が機能することを証明しました。彼らのデータが、その事実を示しました。
しかし、あの研究が認識させようとした脅威は、もはや、私たちのドアをノックしません。ドアを通る必要さえなく、背後から、気づかない場所から、静かに忍び寄るのです。
明日、私は一緒に見ていきたいと思います。
新しい脅威が、実際にどのような姿をしているのか。
実際の会社。
実際の攻撃。
実際に失われたお金。
今日は、このへんで。
また明日。
――――
The Numbers That Changed Everything
Why Yesterday's Breakthrough Is Already Behind
Yesterday, we talked about the Copenhagen study.
Not theory. Not simulation. They broke into real systems.
89% of participants didn't just know breaches were serious, they felt it. In their hands. In real time.
The moment their perspective shifted, you could almost hear it.
This wasn't hype. NDSS 2023. Peer-reviewed. Large effect sizes (r = .593-.612). Hard science.
I share this because what comes next isn't speculation or vendor marketing. It's not fear-mongering either.
It's documented reality.
And here's the part we rarely say out loud: That groundbreaking 2023 study? It's already outdated.
It prepared people for attacks that are no longer the ones coming for us.
So today, I want to explore with you, what is.
The Data Doesn't Care About Our Comfort
Over the past year, I've been collecting research I couldn't ignore -- not headlines, not conference slides -- the kind of data that quietly changes the room the moment you read it.
703% increase in credential phishing in late 2024 (SlashNext, Phishing Intelligence Report).
220% year-over-year rise in AI-assisted infiltrations since 2022 (American Security Project, Cloud of War).
2,137% growth in deepfake attacks since 2022 (Signicat, independently verified).
51% of IT professionals now link successful breaches to tools like ChatGPT (ZeroThreat AI).
82.6% of phishing emails in 2024 show AI signatures.
When I first saw these numbers, I didn't feel fear.
I felt recognition like realizing the map we've been using no longer matches the terrain beneath our feet.
I'm sharing the sources because trust matters. Because these numbers deserve our attention not in panic, but in clarity.
If they feel heavy, that's okay. It means we're awake to the moment.
And from that place -- awareness, not adrenaline -- real change becomes possible.
Here's What Changed
While our training evolved, attackers evolved faster.
Today's threat actors aren't running Nmap and hoping for the best. They're opening a chat window and asking:
"Write a polymorphic malware variant that evades signature-based detection."
And they get it in less time than it takes to boil water.
They're feeding API docs to Claude to locate weak points. Using Midjourney to fabricate executives. ElevenLabs to clone voices from 30 seconds of audio. Stable Diffusion to generate documents that never existed.
No lab. No funding.
Most of this costs less than a Netflix subscription.
The barrier to entry didn't just lower. It vanished.
A curious teenager, with basic English or just an AI translator, can now launch attacks that used to require a coordinated team.
I wish that were an exaggeration. It's not.
What IBM Showed Us
Last July, IBM's Cost of a Data Breach Report landed on my desk. I read all 82 pages.
One number stayed with me.
$4.88 million -- the new global average cost of a breach. A 10% jump in one year. The largest since the pandemic.
Then the 2025 update arrived:
- 97% of organizations impacted by AI-related incidents had no AI access controls.
- 63% had no AI governance at all.
No policies. No boundaries. No shared language for "secure AI use."
And yet -- organizations that did invest in AI security saved $1.9 million on average.
This isn't a technology gap.
It's a preparation gap.
We're deploying AI faster than we're securing it. And attackers can feel the draft through the windows.
The View From 30,000 Feet
The World Economic Forum's 2025 outlook is blunt:
- Q2 2021: 818 attacks/week per organization
- Q2 2025: 1,984 attacks/week per organization
That's a 142% increase.
Cybersecurity budgets?
- 2022: +17%
- 2025: +4%
More storms. Fewer sandbags.
Sometimes I struggle to say it gently: The hurricane is strengthening, and we're boarding up half our windows.
The Third-Largest Economy
Cybersecurity Ventures estimates the global cybercrime economy at $9.5 trillion a year.
Larger than Japan. Larger than Germany. The third-largest "economy" on the planet.
Not a crime wave. An industry.
A self-funding system built on our breaches, our ransoms, our stolen credentials.
Every incident becomes fuel. Every payout becomes R&D. Every compromise becomes runway for the next attack.
Where We Are Now
This is where we are. Not in fear, in recognition.
The map has changed. The terrain has changed.
The answer is not to run faster or shout louder or blame the users again.
It's to navigate differently.
To design for the world we're actually in. Not the one we remember.
The Copenhagen study proved experiential learning works. Their data showed it.
But the threats they taught people to recognize? Those aren't the ones knocking at our door anymore.
Tomorrow, I'm going to show you exactly what the new threats look like.
Real companies. Real attacks. Real money lost.
And tomorrow, I'll show you why I say,
"I thought I understood the battlefield. I didn't."
See you tomorrow.
-------------
References 出典・参考文献
American Security Project. (2025). Cloud of war: The AI cyber threat to U.S. critical infrastructure. https://www.americansecurityproject.org/wp-content/uploads/2025/10/Cloud-of-War.pdf
Dalgaard, J. C., Janssen, N. A., Kulyk, O., & Schürmann, C. (2023). Security awareness training through experiencing the adversarial mindset. In Proceedings of the USEC 2023 Symposium. NDSS. https://www.ndss-symposium.org/wp-content/uploads/2023/02/usec2023-237300-paper.pdf
IBM Security & Ponemon Institute. (2024). Cost of a data breach report 2024. IBM Corporation.
IBM Security & Ponemon Institute. (2025). Cost of a data breach report 2025: The AI oversight gap. IBM Corporation.
SlashNext. (2024). 2024 phishing intelligence report. SlashNext Security.
World Economic Forum. (2025). Global cybersecurity outlook 2025. https://www.weforum.org/stories/2025/09/cybersecurity-awareness-month-cybercrime-ai-threats-2025/
ZeroThreat AI. (2025). AI in cybersecurity: Key stats & insights. https://zerothreat.ai/blog/ai-in-cybersecurity-statistics