Day 73 この脅威は実際どのくらい起こりうるのか? (パート1:現実を理解する)　HOW LIKELY IS THIS THREAT, REALLY? (PART 1: UNDERSTANDING THE REALITY)

サイバー判断力によるヒューマン・ハードニング

» 2026/01/10

この脅威は実際どのくらい起こりうるのか? (パート1:現実を理解する)

前提知識: 脅威モデリングの基礎知識(必要に応じて Day 68 からお読みください)

これまで脅威アクターのプロファイリング、手法の分析、動機の理解を行ってきました(Day 70-72)。では実践的な問いです:実際に我々が攻撃を受ける確率はどのくらいなのか?

サイバー脅威が自然災害と決定的に異なる点がある。マグニチュード9の地震は、毎日起こるものではない。しかし、サイバー攻撃はどうだろうか。

サイバー攻撃は 39秒に1回 発生している（University of Maryland, 2007／2025）。カップラーメンにお湯を注ぎ、3分待つ間に、すでに10回近く、どこかで攻撃が実行されています。

数字が語る、直感を裏切る現実

ロンドンでは、サイバーインシデントは雨よりも頻繁に起きている。
ロンドンは雨の多い都市として知られ、年間の雨天日は約107日（Met Office, 1991-2020年平均）。一方で、英国では 61万2千社 の企業が、わずか12か月間にサイバー侵害を経験した（UK Government Cyber Security Breaches Survey 2025）。
攻撃を受けた組織の数は、雨の日の数を上回っている。

北米では、サイバーインシデントはフライトキャンセルよりも多い。
米国では、1日あたり平均340便がキャンセルされている（CNN / FlightAware, 2024）。一方で、FBIは、毎日2,000件以上 のサイバー犯罪報告を受け取っている（FBI IC3, 2024）。世界全体では1日2,200件以上―39秒に1回 のペースだ（Astra Security, 2025、データ更新2026）。

世界規模で見れば、サイバー攻撃は交通事故さえも凌駕する。
米国では1日に約14,000〜16,000件の自動車事故が発生している（NHTSA, 2025）。
それでも、マイクロソフトの顧客だけで 1日6億件 のサイバー攻撃が観測されている（Microsoft Digital Defense Report 2024）。

一方、統計的に最も安全な移動手段である商業航空は、2009から2017年の間、世界全体で年間170件未満のインシデントしか記録されていない（Aviation Safety Network / ACRO）。近年事故数が増加したとはいえ、サイバー脅威の絶え間ない津波と比べれば、
航空インシデントは例外的な事象にすぎない。

なぜ、ここまで頻発するのか

ハリケーンには特定の大気条件が必要だ。

地震には地殻活動が必要だ。

では、SQLインジェクションやフィッシングは？

必要なのは、ノートパソコンを持った意欲的な攻撃者が一人。そしてその両方は、いくらでも存在している。

OWASP脅威モデリングが示す本質

これこそが、OWASP脅威モデリングにおいて「先例（Prevalence）」が 9点 （１０点満点）を獲得する理由である。

サイバー攻撃は稀な出来事ではない。
それは、絶え間なく、広範囲に、そして加速している。

物理法則や地理に制約される自然災害とは異なり、サイバー脅威を制約するのは 人間の動機と機会だけ だ。そしてその両方は、今まさに増大している。

AIがもたらした決定的な転換点

AIの登場により、発生確率はあらゆる場所で最大値に近づいている。かつては熟練したハッカーを必要とした攻撃が、今では ひとつの ChatGPT プロンプト で開始できる（Charfeddine et al., 2024）。

だから、問題はもはや
「もし起きるか」ではない。「いつ起きるか」なのだ。

指をなめて風向きを見るやり方から、データ駆動型リスク評価へ

この現実を前にして、私たちは問い直さなければなりません。
サイバーリスクの「発生確率」は、いったいどう計算すればよいのでしょうか。

多くの組織では今もなお、指をなめて空に向け、「このくらいだろう」という感覚で数字を割り当てています。確固たるデータや統計がないまま、です。

しかし、サイバーの世界では実際に使える"公式"が存在します。

本シリーズの他の記事では、包括的なサイバーセキュリティ・リスク評価全体を深掘りします。ここでは焦点を絞り、発生確率（Likelihood） に注目します。

発生確率とは、サイバーイベントやインシデントが起こる可能性の度合い のことです。

重要なのは、NIST やOWASP といった業界標準が、この「発生確率」を主観的な推測から、観測可能で再現性のある測定へ移行させるための枠組みを提供している点です。

勘や経験に頼る時代は終わりました。これから必要なのは、データに基づき、説明可能で、判断につながるリスク評価 です。

次に見ていくのは、その第一歩となる「Likelihood」を、どうすれば現実に即した形で捉え直せるのか、です。

業界標準フレームワーク:NISTとOWASP

NISTのリスク管理フレームワーク

NIST Special Publication 800-30 Rev. 1は発生確率をこう定義しています:

「特定の脅威が特定の脆弱性を悪用できる可能性の分析に基づく重み付けされたリスク要因」(NIST SP 800-30, 2012)

私たちがこれまで議論してきた現実―「サイバー攻撃は稀ではなく、常態であり、文脈で変わる」という前提に、驚くほど正確に対応する 5つのレベル に分類しています。

この分類の重要な点は、「どれくらい起きそうか」という感覚的な印象ではなく、
観測可能な事実・先例・環境条件に基づいて整理されていることです。

つまりこれは、指をなめて風向きを見るための尺度ではありません。判断を下すための尺度です。

では、NISTは発生確率をどのように定義しているのでしょうか。以下が、その5つのレベルです。

1. Very High (96-100): 頻繁に発生すると予想される(年に複数回)-- あの1日2,200件以上の攻撃のように
2. High (80-95): しばしば発生すると予想される(少なくとも年1回)　例えば、私たちの公開システム
3. Moderate (21-79): いつか発生すると予想される(数年に1回)　例えば、保護されているが隔離されていないシステム
4. Low (5-20): 稀に発生すると予想される(何年かに1回)　 例えば、 エアギャップシステム
5. Very Low (0-4): 非常に稀か全く発生しないと予想される例えば、 理論的な脅威

NISTは3つの重要な考慮事項を強調しています:

1. 脅威源の特性(能力、意図、ターゲティング) 私たちのMOM分析を覚えていますか?
2. 脆弱性の特性(深刻度、悪用可能性)
3. 組織の感受性(保護措置、検知能力)

聞き覚えがありますね?

これはDay 70-72で構築した脅威アクタープロファイルに直接対応しています。

OWASPの発生確率公式

そして、もう一つ重要な点があります。

OWASP は、私たちがこれまでに学んできたこと―「サイバー攻撃は常態であり、文脈と人間の行動に依存する」という現実を、実際に"使える形"に落とし込むための、
より詳細で運用可能なフレームワーク を提供しています。

NISTが示すのは、判断のための共通言語 です。

一方OWASPは、その言語を使って

• 何を観測するのか
• どの要素を分解するのか
• どう比較し、どう優先順位をつけるのか

を、現場で使えるレベルまで具体化 します。

言い換えれば、NISTが「地図」だとすれば、OWASPは「コンパスと高度計」です。

抽象的なリスク議論を、再現性のある判断プロセスへ変換する。それがOWASPの役割です。

では、OWASPは発生確率（Likelihood）を、どのような要素に分解して捉えているのでしょうか。

発生確率 = 脅威エージェント要因 × 脆弱性要因

この公式は私たちの犯罪学的フレームワークに直接対応します:

• 脅威エージェント要因 = Day 70-72のMOM(動機、機会、手段)分析
• 脆弱性要因 = IRP(インセンティブ、リスク、見返り)評価と攻撃対象領域の現実の組み合わせ

優れているのは、ここです。脅威アクターについてこれまで学んできたすべてが、この計算にそのまま反映されるのです。

発生確率を運用可能にする:8要因モデル

OWASP のフレームワークは、発生確率（Likelihood）を「議論のための概念」ではなく、実際に評価・比較・判断できるものに変換します。

その理論的な基盤となっているのが、サイバーセキュリティ研究で示された、次のシンプルな洞察です。

「発生確率は、露出（Exposure）と頻度（Frequency）から推測できる」（Talabis & Martin, 2012）

そして私たちは、ここまでの議論で明らかにしてきました。サイバーの世界では、その両方が"桁外れ"であるという事実を。

脅威エージェント要因 = MOMフレームワークの実践

OWASPは、発生確率を 8つの要因 に分解します。そのうち前半は、脅威エージェント要因、すなわち、攻撃者側の現実 です。ここで使われるのが、私たちが Day 70〜72 で学んできた MOM フレームワーク（Motive / Opportunity / Means） です。

覚えていますか？

あのときは、「誰が、なぜ、どの手段で狙うのか」を 質的に 理解しました。

今度は、それを定量化します。

感覚ではなく、
印象ではなく、
スコアとして。

では、OWASPは脅威アクターを、どの8要因で評価しているのでしょうか。

要因	犯罪学との関連	スコアリング例(0-9)
1. スキルレベル	→ 私たちの手段	• スクリプトキディ:3(ただしAIが5-6に引き上げた) • プロフェッショナルハッカー:6 • 国家レベルAPT:9 「試行が成功する確率」
2. 動機	→ 私たちの動機	• 日和見的:3 • 金銭的利益:6(組織犯罪) • 標的型キャンペーン/スパイ活動:9 記憶しておいて:攻撃者はランダムに攻撃しない
3. 機会	→ 私たちの機会	• エアギャップシステム:1 • VPNのみのアクセス:3-5 • パブリックAPI:9(今まさに攻撃を受けているシステムのように) Cohen & Felsonの「適切な標的」
4. 規模/リソース	→ 私たちのIRPリソース	• 個人:2 • 組織犯罪:7 • 国家:9 攻撃者は合理的な費用対効果計算を行う(Cornish & Clarke, 1986; Beebe & Rao, 2005)

つながりが見えますか?

プロファイリングした脅威アクターの特性すべてが、測定可能な発生確率要因に変換されるのです。

脆弱性要因 = 攻撃対象領域の現実

次に標的側を評価します:

要因	犯罪学との関連	スコアリング例(0-9)
5. 発見の容易さ	→ 標的の可視性	• ソースコード監査が必要:3 • 公開CVEデータベース:9 Cohen & Felson(1979):可視的な標的は攻撃を引き付ける あの1日6億回のスキャンを覚えていますか?
6. 悪用の容易さ	→ 攻撃障壁	• カスタム開発が必要:3 • Metasploitモジュールが存在:7 • 自動化された悪用ツールが利用可能:9 ここでAIがすべてを変える
7. 認知度	→ 私たちのIRP先例	• 理論的脆弱性:1 • 既知だが稀:5 • 野生で活発に悪用中:9(SQLインジェクションのように) 過去の行動が将来のリスクを予測する(Cohen & Felson, 1979)
8. 侵入検知	→ 守護者の能力	• EDR + 24時間体制SOC:3(有能な守護者) • 基本的なログ記録:5 • ログ記録/監視なし:9(不在の守護者) Clarke(1995):検知は攻撃を抑止する

私たちが学んだ犯罪学は学術理論ではありません。定量的リスク評価の基盤なのです。

AI乗数効果―なぜ昨日のスコアは、今日には古くなるのか

覚えていますか。AIは、発生確率を「少し上げた」のではありません。前提そのものを変えました。その決定的な証拠が、次に示すものです。

要因	AI以前の時代	AI強化時代	研究例
スキルレベル	7(専門家が必要)	3(ChatGPTが悪用コードを書く)	Charfeddine et al. (2024), IEEE Access
発見の容易さ	3(手動監査、数週間)	7(AIが数時間でスキャン)	Radanliev (2024-2025), Oxford
悪用の容易さ	5(コーディングスキルが必要)	8(AIがペイロードを生成)	ACL 2025 Conference (PwnGPT)
認知度	5(情報拡散が遅い)	9(AIが世界中に瞬時に共有)	Uddin et al. (2025), Springer

私たちが 2019年に「低確率（スコア2-3）」 と評価していた脅威は、2026年には「高確率（スコア7-8）」 の脅威へと変化しています。

これは推測ではありません。査読済み研究によって示された事実です。

かつて私たちが軽視してきたスクリプトキディ。AIは、彼らに 国家レベルの能力 を与えました。以前はカスタムの悪用コード開発を必要とした脆弱性も、今では AI生成ツールが自動で補完 します。

スキルの壁は崩れ、
参入コストは消え、
攻撃能力は一気に底上げされたのです。

つまり、変わったのは「脅威の数」ではありません。脅威の質と到達範囲です。

OWASPスコアリング:現実に数字を当てはめる

スケール:

• 0-3: 低確率
• 3-6: 中確率
• 6-9: 高確率

公式:

発生確率 = (脅威エージェント要因平均 + 脆弱性要因平均) / 2

シンプルな計算です。しかし最初に、先例優先ルールを適用しましょう。

先例優先ルール:計算が重要でなくなる時

IF: 動機(9) + 機会(9) + 先例(9)
THEN: 発生確率 = HIGH (8-9) -- 他の要因に関係なく

なぜ?

攻撃者は最も簡単な道を選ぶからです(Cornish & Clarke, 1986)。

考えてみてください:

• 3社の競合企業が18ヶ月以内に同じ手法で侵害された場合(先例 = 9)
• そして攻撃者の動機が高い--金銭的利益、スパイ活動(動機 = 9)
• そして私たちのシステムがアクセス可能--インターネット接続、パブリックAPI(機会 = 9)

次の番は私たちです。計算は無関係です。これは高確率です。それだけの話です。

「過去の犯罪パターンは将来の被害を予測する」-- Cohen & Felson (1979)

これが業界侵害の追跡(Day 72のIRP先例)が重要な理由です。これは単なる情報収集ではありません。私たちの発生確率スコアを直接決定するのです。

今日の振り返り

今日、発生確率を計算するための基盤を確立しました:

現実:サイバー攻撃は雨、交通事故、フライトキャンセルよりも頻繁に発生する

フレームワーク:NISTとOWASPは業界標準の方法論を提供する

8要因:脅威エージェント(4) + 脆弱性(4) = 測定可能な発生確率

AIの影響:昨日の低スキル脅威は今日の高確率攻撃

優先ルール:動機 + 機会 + 先例がすべて9の時、発生確率は自動的にHIGH

明日は、このフレームワークを実践に移し、経営会議で発生確率スコアを正確に議論する方法を示します。

―――

HOW LIKELY IS THIS THREAT, REALLY? (PART 1: UNDERSTANDING THE REALITY)

We've profiled threat actors, analyzed their methods, and understood their motives (Days 70-72). Now the practical question: What's the actual probability this happens to us?

The Cybersecurity Paradox

Here's what makes cyber threats different from natural disasters: A magnitude 9 earthquake can't happen every day. But a cyber-attack? It happens every 39 seconds (University of Maryland, 2007, widely cited 2025).

The numbers tell a striking story:

In London, cyber incidents occur more frequently than rain and London is famously rainy. While the city experiences approximately 107 rainy days per year (Met Office, 1991-2020 average), 612,000 UK businesses faced cyber breaches in just 12 months (UK Government Cyber Security Breaches Survey 2025) that's more organizations attacked than days of rain.

In North America, cyber incidents surpass US flight cancellations. The US sees an average of 340 cancelled flights daily (CNN FlightAware, 2024), but the FBI receives over 2,000 cybercrime reports every single day (FBI IC3, 2024), and globally, 2,200+ cyberattacks occur daily one attack every 39 seconds (Astra Security, 2025, data updated 2026).

Worldwide, cyberattacks dwarf even traffic accidents and massively exceed aviation disasters. While the US experiences approximately 14,386-16,817 car crashes daily (NHTSA, 2025), the global cyber threat operates on an entirely different scale: 600 million cyberattacks hit Microsoft customers alone each day (Microsoft Digital Defense Report 2024). Meanwhile, commercial aviation statistically the safest form of travel saw fewer than 170 incidents annually worldwide during 2009-2017 (Aviation Safety Network, ACRO data), or less than one incident per day globally. Even with recent increases to 30-39 accidents annually in 2023-2024, aviation incidents remain microscopically rare compared to the relentless tsunami of cyber threats.

Hurricanes need atmospheric conditions. But SQL injection? Phishing? They just need one motivated attacker with a laptop and there are plenty of both.

This is the essence of the "precedent" factor scoring a 9 in OWASP threat modeling: cyberattacks aren't rare events--they're constant, pervasive, and accelerating. Unlike natural disasters constrained by physics and geography, cyber threats are constrained only by human motivation and opportunity both of which are abundant and growing.

With AI in the picture, likelihood is approaching its maximum everywhere.
What once required skilled hackers can now be initiated with a single ChatGPT prompt (Charfeddine et al., 2024).

The question is no longer if but when.

From Finger-in-the-Air to Data-Driven Risk Assessment

So with this reality, how can we calculate likelihood? We tend to put our finger in the air and just assign a number without much solid data and statistics. However, in the cyber world, we have formulas that can actually be used.

In other blog series, I'll dive deeper into comprehensive cybersecurity risk assessment. But here, let's focus on likelihood--the probability of a cyber event or incident occurring--and how industry standards like NIST and OWASP help us move from subjective guesswork to objective measurement.

Industry-Standard Frameworks: NIST and OWASP

NIST's Risk Management Framework

NIST Special Publication 800-30 Rev. 1 defines likelihood as:

"A weighted risk factor based on an analysis of the probability that a given threat is capable of exploiting a given vulnerability" (NIST SP 800-30, 2012)

NIST categorizes likelihood into five levels that map perfectly to what we just discussed:

• Very High (96-100): Expected to occur frequently (multiple times per year) -- Like those 2,200+ daily attacks
• High (80-95): Expected to occur often (at least once per year) -- Our public-facing systems
• Moderate (21-79): Expected to occur sometime (once every few years) -- Protected but not isolated systems
• Low (5-20): Expected to occur rarely (once in many years) -- Air-gapped systems
• Very Low (0-4): Expected to occur very rarely or not at all -- Theoretical threats

NIST emphasizes three key considerations:

1. Threat source characteristics (capability, intent, targeting) -- Remember our MOM analysis?
2. Vulnerability characteristics (severity, exploitability)
3. Organizational susceptibility (safeguards, detection capability)

Sound familiar? This maps directly to the threat actor profiles we built in Days 70-72.

OWASP's Likelihood Formula

OWASP provides a more granular framework that operationalizes what we've learned:

Likelihood = Threat Agent Factors × Vulnerability Factors

This formula maps directly to our criminological frameworks:

• Threat Agent Factors = Our MOM (Motive, Opportunity, Means) analysis from Days 70-72
• Vulnerability Factors = Our IRP (Incentive, Risk, Payoff) assessment combined with attack surface reality

The beauty? Everything we've learned about threat actors flows directly into this calculation.

Operationalizing Likelihood: The 8-Factor Model

Building on OWASP's framework and informed by cybersecurity research (Talabis & Martin, 2012):

"Likelihood can be deduced from exposure and frequency" (Talabis & Martin, 2012)

And we just proved both are off the charts.

Threat Agent Factors = Our MOM Framework in Action

Remember our threat actor profiles from Days 70-72? Now we quantify them:

Factor	Criminology Link	Scoring Examples (0-9)
1. Skill Level	→ Our Means	• Script kiddie: 3 (but AI boosted them to 5-6) • Professional hacker: 6 • Nation-state APT: 9 "Probability of success given attempt"
2. Motive	→ Our Motive	• Opportunistic: 3 • Financial gain: 6 (organized crime) • Targeted campaign/espionage: 9 Remember: attackers don't attack randomly
3. Opportunity	→ Our Opportunity	• Air-gapped system: 1 • VPN-only access: 3-5 • Public API: 9 (like those systems getting hit right now) Cohen & Felson's "suitable target"
4. Size/Resources	→ Our IRP Resources	• Individual: 2 • Organized crime: 7 • Nation-state: 9 Attackers make rational cost-benefit calculations (Cornish & Clarke, 1986; Beebe & Rao, 2005)

See the connection? Every threat actor characteristic we profiled translates to a measurable likelihood factor.

Vulnerability Factors = Attack Surface Reality

Now we assess the target side:

Factor	Criminology Link	Scoring Examples (0-9)
5. Ease of Discovery	→ Target Visibility	• Requires source code audit: 3 • Public CVE database: 9 Cohen & Felson (1979): visible targets attract attacks Remember those 600M daily scans?
6. Ease of Exploit	→ Attack Barrier	• Requires custom development: 3 • Metasploit module exists: 7 • Automated exploit available: 9 This is where AI changes everything
7. Awareness	→ Our IRP Precedence	• Theoretical vulnerability: 1 • Known but rare: 5 • Active exploitation in wild: 9 (like SQL injection) Past behavior predicts future risk (Cohen & Felson, 1979)
8. Intrusion Detection	→ Guardian Capability	• EDR + 24/7 SOC: 3 (capable guardian) • Basic logging: 5 • No logging/monitoring: 9 (absent guardian) Clarke (1995): detection deters attacks

The criminology we learned isn't academic theory. It's the foundation of quantitative risk assessment.

The AI Multiplier Effect: Why Yesterday's Scores Don't Apply Today

Remember when I said AI changes likelihood everywhere? Here's the proof:

Factor	Pre-AI Era	AI-Enhanced Era	Research Evidence
Skill Level	7 (expert required)	3 (ChatGPT writes exploits)	Charfeddine et al. (2024), IEEE Access
Ease of Discovery	3 (manual audit, weeks)	7 (AI scans in hours)	Radanliev (2024-2025), Oxford
Ease of Exploit	5 (requires coding skills)	8 (AI generates payloads)	ACL 2025 Conference (PwnGPT)
Awareness	5 (slow information spread)	9 (AI shares globally instantly)	Uddin et al. (2025), Springer

Critical Reality: Our 2019 "Low likelihood" (score 2-3) threats are now 2026 "High likelihood" (score 7-8) threats. This isn't speculation--it's peer-reviewed research.

That script kiddie we dismissed? AI just gave them nation-state capabilities. The vulnerability that required custom exploit development? There's now an AI-generated tool for that.

OWASP Scoring: Putting Numbers to Reality

The Scale:

• 0-3: Low likelihood
• 3-6: Medium likelihood
• 6-9: High likelihood

The Formula:

Likelihood = (Threat Agent Factors Average + Vulnerability Factors Average) / 2

Simple math. But first, let's apply the Precedence Override Rule.

The Precedence Override Rule: When the Math Doesn't Matter

IF: Motive(9) + Opportunity(9) + Precedence(9)
THEN: Likelihood = HIGH (8-9) -- regardless of other factors

Why? Because attackers choose the easiest path (Cornish & Clarke, 1986).

Think about it:

• If three competitors got breached using the same technique in 18 months (Precedence = 9)
• And the attacker is highly motivated--financial gain, espionage (Motive = 9)
• And our system is accessible--internet-facing, public API (Opportunity = 9)

We're next. The math is irrelevant. This is High likelihood. Period.

"Past crime patterns predict future victimization." - Cohen & Felson (1979)

This is why tracking industry breaches (IRP Precedence from Day 72) is critical. It's not just intelligence gathering--it directly determines our likelihood score.

What We've Learned Today

Today, we established the foundation for calculating likelihood:

The Reality: Cyberattacks happen more frequently than rain, traffic accidents, or flight cancellations

The Frameworks: NIST and OWASP provide industry-standard methodologies

The 8 Factors: Threat Agent (4) + Vulnerability (4) = measurable likelihood

The AI Impact: Yesterday's low-skill threats are today's high-probability attacks

The Override Rule: When Motive + Opportunity + Precedence all score 9, likelihood is automatically HIGH

Tomorrow, we'll put this framework into action with real-world examples and show exactly how to defend our likelihood scores to the executive board.

-----

References (Part 1) このパートだけの出典・参照・出典

Industry Standards

NIST. (2012). SP 800-30 Rev. 1: Guide for conducting risk assessments. National Institute of Standards and Technology. https://csrc.nist.gov/pubs/sp/800/30/r1/final

OWASP Foundation. (n.d.). OWASP risk rating methodology. https://owasp.org/www-community/OWASP_Risk_Rating_Methodology

Cybersecurity Research

Beebe, N. L., & Rao, V. S. (2005). Using situational crime prevention theory to explain the effectiveness of information systems security. Proceedings of the 2005 SoftWars Conference.

Talabis, M. R. M., & Martin, J. (2012). Information security risk assessment toolkit: Practical assessments through data collection and data analysis. Syngress/Elsevier.

Criminology Theory

Clarke, R. V. (1995). Situational crime prevention. Crime and Justice, 19, 91-150. https://doi.org/10.1086/449230

Cohen, L. E., & Felson, M. (1979). Social change and crime rate trends: A routine activity approach. American Sociological Review, 44(4), 588-608.

Cornish, D. B., & Clarke, R. V. (1986). The reasoning criminal: Rational choice perspectives on offending. Springer-Verlag.

AI and Cybersecurity Research

ACL. (2025). PwnGPT: Automatic exploit generation based on large language models. Proceedings of the 63rd Annual Meeting of the Association for Computational Linguistics. https://aclanthology.org/2025.acl-long.562/

Charfeddine, M., Kammoun, H. M., Hamdaoui, B., & Guizani, M. (2024). ChatGPT's security risks and benefits: Offensive and defensive use-cases, mitigation measures, and future implications. IEEE Access, 12, 23166-23194. https://doi.org/10.1109/ACCESS.2024.3364719

Radanliev, P. (2024-2025). AI security and cyber risk research. University of Oxford, Department of Computer Science.

Uddin, M., Irshad, M. S., Kandhro, I. A., & Alanazi, F. (2025). Generative AI revolution in cybersecurity: A comprehensive review of threat intelligence and operations. Artificial Intelligence Review, 58(1). https://doi.org/10.1007/s10462-025-11219-5

Cyber Statistics Sources

Astra Security. (2025, data updated 2026). Global cyberattack frequency statistics. https://www.getastra.com/blog/security-audit/cyber-security-statistics/

Aviation Safety Network / ACRO. (2009-2017). Commercial aviation accident statistics. https://aviation-safety.net/

CNN. (2024). US flight cancellations tracker [Data set]. Based on FlightAware data. https://www.cnn.com/us/flight-delays-cancellations-tracker-vis

Federal Bureau of Investigation, Internet Crime Complaint Center (IC3). (2024). 2024 Internet crime report. https://www.ic3.gov/

Met Office UK. (n.d.). Climate data: London rainfall statistics (1991-2020 average). https://www.metoffice.gov.uk/research/climate/maps-and-data/regional-values

Microsoft. (2024). Digital defense report 2024. https://www.microsoft.com/en-us/security/security-insider/threat-landscape/microsoft-digital-defense-report-2024

National Highway Traffic Safety Administration (NHTSA). (2025). Motor vehicle traffic crash statistics. https://crashstats.nhtsa.dot.gov/

UK Government. (2025). Cyber security breaches survey 2025. https://www.gov.uk/government/statistics/cyber-security-breaches-survey-2025

University of Maryland. (2007, widely cited 2025). Cybersecurity attack statistics: Hackers attack every 39 seconds. A. James Clark School of Engineering. https://eng.umd.edu/news/story/study-hackers-attack-every-39-seconds