Day 71 脅威プロファイリング・プロセス(Step 2)　Threat Profiling Process (Step 2)- Redesigning Judgment: MOM in the Age of AI (Step 2: Extended MOM Analysis)

サイバー判断力によるヒューマン・ハードニング

» 2026/01/08

脅威プロファイリング・プロセス(Step 2 )

― 判断を再設計する：AI時代のMOM (ステップ2: 拡張MOM分析)

ステップ1では、「誰が相手か」を特定した。

ステップ2では、「その相手は、本当にこの資産を狙うか」を判断する。

その判断に使うのが、拡張MOM（Motive・Opportunity・Means）だ。

Day 67で、私たちはMOMを導入した。Motive（動機）・Opportunity（機会）・Means（手段）。これは、ルーティン活動理論から派生した犯罪解読の基本枠組みだ[1][2]。Cohen & Felson (1979) は犯罪成立の3要素（動機ある加害者・適切な標的・守護者の不在）を定義し[1]、Felson & Clarke (1998) はこれを「機会が犯罪者を作る」というフレームワークに発展させた[2]。

今日はこれを、脅威アクターごとに適用していく。

なぜアクターごとにMOMを分析するのか？

それは、同じデジタル資産、システムであっても、攻撃者によって"標的の意味"がまったく変わるからだ。

組織犯罪にとっての「機会」は、国家主体にとっての「機会」ではない。
スクリプトキディが使える「手段」と、国家主体が使える「手段」は、まったく異なる。MOMを各アクターに適用することで、誰に対して防御しているのかが明確になる。

ただし、AIはMOMを根本から変えている。Malatji & Tolah (2024) は、AIが攻撃者の能力を民主化し、従来は国家主体のみが使えた手法を組織犯罪やスクリプトキディにも提供していると指摘する[3]。Abou El Houda (2024) は、AI強化された脅威アクターが全カテゴリーで出現しており、防御側もAI駆動の対策が必須だと警告している[4]。

• Motive（動機）は、依然として人間が主導する
• Opportunity（機会）は拡大する。AIは、人間が見逃す「窓」を見つけ出す
• Means（手段）は民主化される。AIは、技術的な障壁を一気に下げる

同じMOMでも、AIが加わった瞬間、重みも形も変わる。

これから行うのは、防御ではない。

攻撃者の立場に立ち、AIが攻撃を支援する世界で判断する。

「この標的は、攻撃するだけの価値があるのか？」

では、モバイルバンキングアプリケーションを例に見てみよう。

モバイルバンキングアプリケーション

同じアプリ。2つの脅威アクター。まったく異なるMOMプロファイル。

脅威アクター1：組織犯罪

動機（なぜ攻撃するのか）：

• 不正送金による直接的な金銭窃取
• 認証情報販売のためのアカウント乗っ取り
• クレジットカード情報の収集
• 大規模詐欺作戦

機会（いつ攻撃できるか）：

• AIが生成したフィッシングメールやSMSに引っかかるユーザー
• 公衆Wi-Fiでの暗号化されていない通信
• CVE脆弱性の公開直後
• 古いバージョンのアプリを実行しているユーザー
• 弱い多要素認証の実装
• パッチ展開前のAIによって発見されたゼロデイの時間枠

手段（どのように攻撃するか）従来型：

• モバイルマルウェア（CerberusやAnubisなどのバンキング型トロイの木馬）[5]
• 通信への中間者攻撃
• APIの悪用（認証バイパス、パラメータ改ざん）[6]
• 2FAコードを傍受するSIMスワップ攻撃[7]
• カスタマーサービスを標的にしたソーシャルエンジニアリング

手段（どのように攻撃するか） AI強化型：

• 口座保有者になりすましてカスタマーサービスを攻撃するディープフェイク音声。例えば、2024年、香港のエネルギー企業では、AIで生成されたCEOの音声を使った詐欺により$25Mが奪われた[8]。ビデオ会議に登場した「CFO」や「同僚」全員がディープフェイクだった。
• 個々の金融行動パターンに合わせたAI生成のスピアフィッシング
• ユーザー名/パスワードの組み合わせを最適化する機械学習駆動のクレデンシャルスタッフィング
• ビジネスロジックの脆弱性を発見するAI支援アプリケーション耐久テスト（意地悪な入力での動作確認）
• 不正検知システムを回避する自動化された取引パターンの模倣

攻撃パターン： 大量、可能な限りAI自動化、迅速な実行、検出されたら逃走

合理的選択の計算： AIが「努力」を劇的に削減することで、攻撃は「少ない労力で、大きな見返りが出る」ものになった。

「もうかる・楽・安全」―これがAI時代の"理想的な攻撃ターゲット"だ。 [9]。

防御への示唆： 従来のルールベースの不正検知では不十分。AI駆動の行動分析とリアルタイム異常検知が必要。

脅威アクター2：国家主体

動機（なぜ攻撃するのか）：

• 金融インフラ破壊能力の開発
• 経済インテリジェンスの収集
• 将来の潜在的紛争に向けた戦略的準備
• インテリジェンス分析のための大規模金融データ収集

機会（いつ攻撃できるか）：

• 長期潜入期間（数ヶ月から数年）（AI偵察によって圧縮）
• 主要な地政学的イベント（選挙、サミット、紛争）
• 開発ツールのサプライチェーンの脆弱性
• システム更新の時間枠
• 信頼されたベンダー関係

手段（どのように攻撃するか）従来型：

• ゼロデイ脆弱性（まだ誰も気づいておらず、対策もない欠陥）[11][12]
• サプライチェーン攻撃（開発ツールや部品、作る工程を狙う攻撃）
• 高度な回避機能を備えた持続的標的型攻撃（APT）
• 物理的およびサイバーの組み合わせ作戦
• 内部関係者の勧誘または強制

Mavroeidis et al. (2021) は、国家主体の攻撃が平均18か月間潜伏し、数千の組織を侵害する能力を持つことを実証している[11]

手段（どのように攻撃するか）AI強化型：

• ソースコードとバイナリにおける自律的脆弱性発見
• 心理的最適化を伴うAI駆動のソーシャルエンジニアリング
• AIを使って、ネットワークの中の重要なポイントを特定する仕組み
• 防御の反応を学習しながら動きを変えるマルウェア
• 長期内部者潜入のためのディープフェイクID作成
• サードパーティ依存関係の弱点を特定する自動化されたサプライチェーン分析
• 正規の通信にそっくりな動きをAIで再現するステルス技術

Cohen et al. (2025) は、AI駆動の脅威インテリジェンスが攻撃側と防御側の双方を強化していると指摘する[13]。

攻撃パターン： 緩慢で忍耐強い、AIで加速された潜入。部分的検出後も持続。数年にわたるキャンペーンで、数ヶ月の偵察が数週間に圧縮される。

合理的選択の計算： 戦略的地政学的価値が、長期にわたる無制限のリソース投資を正当化する。AIは比例したコスト増加なしに効果を倍増させる。

防御への示唆： 継続的な脅威ハンティング、AI駆動の異常検知、ゼロトラストアーキテクチャ、侵害の想定が必要。組織犯罪に対しては、AIベースの行動分析とリアルタイム異常検知が必須だ[10]。国家主体に対しては、継続的脅威ハンティング、ゼロトラスト・アーキテクチャ、侵害前提の設計が求められる[14][15]。

同じシステム、異なるAI増幅

組織犯罪は、速さと数を稼ぐためにAIを使う。
侵入し、金銭や情報を奪い、すぐに姿を消す。
その一連の動きが、これまでにない規模と速度で繰り返される。

国家が関与する攻撃は、長く潜み続けるためにAIを使う。
深く入り込み、気づかれないまま内部にとどまり続ける。
AIは、下調べの時間を短縮し、長期間の支配を静かに支える道具になる。

なぜこれが重要か

この違いを理解せずに防御を設計すると、狙うべき脅威そのものを取り違える。

組織犯罪を想定して設計された防御。短時間の異常を検知する仕組み、通信量の制限、即時の不正判定。それでは、国家が関与する攻撃は止められない。

彼らは急がない。
目立たない。
「異常」として検知される速度で動かない。

一方で、国家主体を想定した防御。長期間の行動変化の分析、潜伏の兆候検知、取引先や供給経路の確認。それは、組織犯罪の高速な攻撃に対しては、やり過ぎになることがある。

精密だが、重い。
時間がかかる。
そして、その間に価値はすでに奪われている。

適切な防御 = 適切な脅威アクター + 適切なMOMプロファイル

では、なぜ一般的な「ベストプラクティス」は失敗するのか

ベストプラクティスが失敗する理由は一つ。
誰とも戦っていないからだ。

一般的なセキュリティのベストプラクティスは、次の前提を考慮していない。

• 誰に対して防御しているのか
• その相手の動機は何か
• どのような機会が悪用されるのか
• AIが、その手段をどのように変えてしまったのか

その結果、何が起きるか。

一般的な防御は、特定の脅威に対しては機能しない。

それは「弱い」からではない。
相手を想定していないからだ。

だから、アクター別MOMに戻る。

実践演習

あなたにとって最も重要なデジタル資産、システム、またはデータを一つ選んでください。種類は問いません。それについて、以下の問いに答えていきましょう。

1. トップ2の脅威アクターは誰ですか（Day 70で整理した 5つのカテゴリーから選ぶ）
2. アクター1について分析する
3. 動機（Motive）
   なぜ、このシステムを攻撃するのか？
4. 機会（Opportunity）
   いつ、どのような条件でアクセスできるのか？
5. 手段（従来型 Means）
   どのようなツールや手法が使われるか？
6. 手段（AI強化型 Means）
   AIは、彼らの能力をどのように増幅するか？
7. アクター2について分析する（同じ問いを繰り返す）
8. 両者の攻撃パターンは、どのように異なるか　速度、継続性、目立ち方、狙う価値の違いに注目してください。
9. 現在の防御は、適切なアクター向けに設計されていますか「どの脅威を止める設計なのか」を明確にしてください。

強い防御とは、「多くを守ること」ではなく、正しい相手を止めることです。

今日、各脅威アクターがどのように攻撃するか、MOMプロファイル、AI増幅を分析しました。明日はさらに深く掘り下げます。意図、前例、リソース（IPR）。これらが、質的脅威アクタープロファイルを完成させます。

また明日。

-----

Threat Profiling Process (Step 2)- Redesigning Judgment: MOM in the Age of AI (Step 2: Extended MOM Analysis)

In Step 1, we identified who the attacker is.

In Step 2, we ask a different question:

Does this attacker actually see this asset as worth targeting?

To answer that, we use extended MOM: Motive, Opportunity, and Means.

We first introduced MOM on Day 67. Derived from routine activity theory (Cohen & Felson, 1979; Felson & Clarke, 1998) [1, 2], it is a foundational framework for understanding crime:

• Motive- why the attacker would act
• Opportunity- when and where the attack becomes possible
• Means- how the attack can be carried out

Today, we apply this framework to each threat actor individually.

Why analyze MOM by actor?

Because the same system can represent very different targets to different attackers.

An "opportunity" for organized crime is not an opportunity for a nation-state.

The "means" available to a script kiddie are fundamentally different from those available to a state actor.

Applying MOM per actor makes one thing clear: who you are actually defending against.

The assumption has changed.

AI has fundamentally reshaped MOM [3, 4]:

• Motiveremains human-driven
• Opportunityexpands - AI discovers windows humans miss [3]
• Meansare democratized - AI dramatically lowers technical barriers [4]

The framework is the same, but in the presence of AI, its weight and shape change completely.

What we are about to do is step into the attacker's perspective and ask:

Is this target worth attacking?

With that question in mind, let's look at a concrete example- a mobile banking application.

Same app. Two threat actors. Completely different MOM profiles.

Threat Actor 1: Organized Crime

Motive (Why they attack):

• Direct financial theft through unauthorized transfers
• Account takeover for credential sales
• Credit card information harvesting
• Large-scale fraud operations

Opportunity (When they can attack):

• Users falling for AI-generated phishing emails or SMS
• Unencrypted communications on public Wi-Fi
• Moments after CVE vulnerability disclosures
• Users running outdated app versions
• Weak multi-factor authentication implementations
• AI-discovered zero-day windows before patches deploy

Means (How they attack) Traditional:

• Mobile malware (banking Trojans like Cerberus, Anubis) [5]
• Man-in-the-middle attacks on communications
• API exploitation (authentication bypass, parameter tampering) [6]
• SIM swap attacks to intercept 2FA codes [7]
• Social engineering targeting customer service

Means (How they attack) AI-Enhanced [3, 4]:

• Deepfake voice attacks impersonating account holders to customer service [8]
• LLM-generated spear-phishing tailored to individual financial behavior patterns
• ML-powered credential stuffing optimizing username/password combinations
• AI-assisted API fuzzing discovering business logic vulnerabilities
• Automated transaction pattern mimicry evading fraud detection systems

Attack Pattern: High volume, AI-automated where possible, rapid execution, flee when detected

Rational Choice Calculus [9]:

High expected financial reward × Dramatically reduced effort through AI automation × Relatively low risk with proper operational security = Extremely attractive target

Defense Implication: Traditional rule-based fraud detection is insufficient. Requires AI-powered behavioral analytics and real-time anomaly detection [10].

Threat Actor 2: Nation-State

Motive (Why they attack):

• Financial infrastructure disruption capability development
• Economic intelligence gathering
• Strategic preparation for potential future conflicts
• Large-scale financial data collection for intelligence analysis

Opportunity (When they can attack):

• Long-term infiltration periods (months to years) (compressed by AI reconnaissance) [11]
• Major geopolitical events (elections, summits, conflicts)
• Supply chain vulnerabilities in development tools [12]
• System update windows • Trusted vendor relationships

Means (How they attack) Traditional [11, 12]:

• Zero-day vulnerabilities (previously unknown exploits)
• Supply chain attacks (compromising development tools, libraries, build processes) [12]
• Advanced Persistent Threats with sophisticated evasion [11]
• Physical and cyber combined operations • Insider recruitment or coercion

Means (How they attack) AI-Enhanced [3, 4, 13]:

• Autonomous vulnerability discovery in source code and binaries
• LLM-powered social engineering with psychological optimization
• AI-driven network mapping identifying critical infrastructure nodes
• ML-based malware adapting behavior based on defensive responses [13]
• Deepfake identity creation for long-term insider infiltration
• Automated supply chain analysis identifying weak points in third-party dependencies
• AI-assisted stealth techniques mimicking legitimate traffic patterns

Attack Pattern: Slow, patient, AI-accelerated infiltration. Persistence even after partial detection. Years-long campaigns with months-long reconnaissance compressed to weeks [11].

Rational Choice Calculus [9]:Strategic geopolitical value justifies unlimited resource investment over extended timeframes. AI multiplies effectiveness without proportional cost increase.

Defense Implication: Requires continuous threat hunting, AI-powered anomaly detection, zero-trust architecture [14], and assumption of breach [15].

Same System, Different AI Amplification

Organized crime uses AI for speed and volume--get in, extract value, get out, all at unprecedented scale.

Nation-states use AI for persistence and stealth--infiltrate deeply, remain undetected, maintain long-term access, while compressing reconnaissance phases [11].

Why This Matters

If you design defense without understanding this difference, you're defending against the wrong threat.

Example:

Defenses designed for organized crime (velocity detection, rate limiting, real-time fraud scoring) won't stop nation-states.

Defenses designed for nation-states (long-term behavioral analytics, persistence detection, supply chain validation) may be overkill for organized crime's high-speed attacks.

Right defense = Right threat actor + Right MOM profile

Why Generic "Best Practices" Fail

Generic security best practices don't account for:

1. Who you're defending against
2. Their motivation
3. The opportunities they exploit
4. How AI has transformed their means [3, 4]

Result: Generic defenses are ineffective against specific threats.

Practical Exercise

For your most critical system, answer:

1. Who are the top 2 threat actors?(From Day 70's five categories)
2. For Actor 1: • Motive: Why would they attack? • Opportunity: When/how can they access? • Means (Traditional): What tools? • Means (AI-Enhanced): How does AI amplify them?
3. For Actor 2: • (Same questions)
4. How do their attack patterns differ?
5. Are your current defenses designed for the right actor?

Looking Ahead

Today, we analyzed how each threat actor attacks: MOM profiles, AI amplification.

Tomorrow, we dig deeper: Step 3: Intent, Precedence, Resources (IPR)

• Intent: What are they trying to achieve?
• Precedence: Have similar systems been attacked?
• Resources: How much can they invest?

These three dimensions complete our qualitative threat actor profile.

See you tomorrow.

-----

References 参照・出典文献

[1] Cohen, L. E., & Felson, M. (1979). "Social Change and Crime Rate Trends: A Routine Activity Approach." American Sociological Review, 44(4), 588-608. DOI: 10.2307/2094589

[2] Felson, M., & Clarke, R. V. (1998). Opportunity Makes the Thief: Practical theory for crime prevention. Police Research Series, Paper 98. Home Office, London.

[3] Malatji, M., & Tolah, A. (2024). "Artificial Intelligence (AI) Cybersecurity Dimensions: A Comprehensive Framework for Understanding Adversarial and Offensive AI." AI and Ethics. Springer. DOI: 10.1007/s43681-024-00427-4

[4] Abou El Houda, Z. (2024). "Cyber Threat Actors Review: Examining the Tactics and Motivations of Adversaries in the Cyber Landscape." In Cyber Security for Next-Generation Computing Technologies. Taylor & Francis. DOI: 10.1201/9781003404361-5

[5] Kaspersky. (2020). "Financial Cyberthreats in 2020." Kaspersky Security Bulletin. https://securelist.com/financial-cyberthreats-in-2020/99424/

[6] OWASP Foundation. (2023). "OWASP API Security Top 10 - 2023." https://owasp.org/API-Security/editions/2023/en/0x11-t10/

[7] NIST. (2017). "Digital Identity Guidelines: Authentication and Lifecycle Management." NIST Special Publication 800-63B. DOI: 10.6028/NIST.SP.800-63b

[8] CNN Business. (2024, February 4). "Finance Worker Pays Out $25 Million After Video Call with Deepfake 'Chief Financial Officer'." https://www.cnn.com/2024/02/04/asia/deepfake-cfo-scam-hong-kong-intl-hnk/index.html
[See also Day 70 for detailed analysis]

[9] Cornish, D. B., & Clarke, R. V. (1987). "Understanding Crime Displacement: An Application of Rational Choice Theory." Criminology, 25(4), 933-948. DOI: 10.1111/j.1745-9125.1987.tb00826.x

[10] NIST. (2018). "Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1." National Institute of Standards and Technology. DOI: 10.6028/NIST.CSWP.04162018

[11] Mavroeidis, V., Hohimer, R., & Casey, T. (2021). "Threat Actor Type Inference and Characterization Within Cyber Threat Intelligence." 2021 13th International Conference on Cyber Conflict (CyCon), 1-18. IEEE. DOI: 10.1109/CyCon51956.2021.9468305

[12] Mandiant. (2021). "M-Trends 2021: SolarWinds Supply Chain Attack." Mandiant Threat Intelligence Report. https://www.mandiant.com/resources/blog/m-trends-2021
[See also Day 70 for SolarWinds case study]

[13] Cohen, D., Te'eni, D., Yahav, I., Zagalsky, A., Schwartz, D., Silverman, G., Mann, Y., Elalouf, A., & Makowski, J. (2025). "Human-AI Enhancement of Cyber Threat Intelligence." International Journal of Information Security, 24:99. DOI: 10.1007/s10207-025-01004-4

[14] NIST. (2020). "Zero Trust Architecture." NIST Special Publication 800-207. DOI: 10.6028/NIST.SP.800-207

[15] Microsoft Security. (2021). "Embrace Proactive Security with Zero Trust." Microsoft Security Best Practices. https://www.microsoft.com/en-us/security/business/zero-trust

Note on References

This analysis builds upon the threat actor taxonomy and AI impact framework established in Day 70. Several references (particularly [4], [8], [11], [13]) draw from Day 70's established bibliography to maintain series consistency and avoid redundant citations. Readers seeking deeper background on specific threat actors should refer to Day 70's comprehensive analysis.