攻撃コスト5ドル。あなたの会社を狙うのに、もうそれで十分だ。

イリノイ大学の研究チームが2024年に発表した論文が、サイバーセキュリティの常識をひっくり返した。AIエージェントを使った「適応型ワーム」が、GPT-4クラスのモデルとAPI利用料わずか約5ドルで、企業ネットワークに侵入・拡散・情報窃取まで自動で完結する──という実証だ。

5ドル。缶コーヒー5本分。それが、あなたの会社のパスワードや顧客情報を盗む攻撃の「原価」になりつつある。

一方、守る側はどうか。月20万〜50万円かけてファイアウォール、EDR、従業員教育を回す。攻撃と防御のコスト比は 1：1,000以上。この非対称性こそが、今起きている構造変化の本質だ。

従来のワームと何が違うのか──「考えて動く」マルウェアの登場

これまでのワーム（自己増殖型マルウェア）は、既知の脆弱性を突く「決まったパターン」で動いていた。だからパッチを当てれば防げたし、パターンマッチングのウイルス対策ソフトで検出できた。

適応型ワームは根本的に違う。

• 偵察フェーズ：感染先のOS、ネットワーク構成、インストール済みソフトウェアをAIが自動で分析する
• 戦略生成フェーズ：その環境に最適な攻撃コードをLLM（大規模言語モデル）がリアルタイムで生成する
• 実行・拡散フェーズ：攻撃が成功すると、感染先の計算資源を使って次のターゲットへ同じプロセスを繰り返す

つまり「同じ攻撃コードが二度使われない」。シグネチャベースの検知は原理的に効かない。Linux、Windows、IoTデバイスを横断して動き、感染するたびに攻撃者のコストはゼロに近づく。盗んだ計算資源で次の攻撃を回すからだ。

ここが最も怖い点だ。追加コストゼロで攻撃が指数関数的にスケールする。 大企業だけの話じゃない。むしろ、セキュリティ専任者がいない中小企業こそ「割に合うターゲット」になる。

「月いくらで守れるか」──中小企業のリアルな防御コスト

正直に言う。完璧な防御は存在しない。だが、「攻撃者にとってコスパの悪いターゲットにする」ことはできる。泥棒が鍵のかかっていない家から入るのと同じ理屈だ。

以下、従業員10〜50名規模の中小企業を想定した、現実的な防御策とコスト感を整理する。

1. まず塞ぐ：多要素認証（MFA）とパスワード管理【月額1〜3万円】

適応型ワームの最終目的の多くは「認証情報の窃取」だ。パスワードが盗まれても、MFA（多要素認証）が入っていれば突破は格段に難しくなる。

• 1Password Business / Microsoft 365 Business Premium などのパスワード管理＋MFA：月額1人500〜2,000円程度
• 50人規模なら月額2.5万〜10万円

これは「やるかやらないか」の話であって、コストの問題ではない。5ドルの攻撃に対して、最もROIの高い防御がここだ。まだMFAを全社導入していないなら、この記事を読んだ今日やるべきだ。

2. 検知する：EDR／XDR（エンドポイント検知・対応）【月額3〜10万円】

従来のウイルス対策ソフトはパターンマッチングが主体で、適応型ワームには原理的に弱い。振る舞い検知ベースのEDR（Endpoint Detection and Response）が必要になる。

• CrowdStrike Falcon Go / SentinelOne Singularity など：1端末あたり月額500〜1,500円
• 50台で月額2.5万〜7.5万円
• マネージドSOC（監視代行）を付けると＋月額5〜15万円

中小企業にとって現実的な選択肢は、マネージドSOC付きのEDRだ。自社にセキュリティ専任者を置くより圧倒的に安い。24時間365日の監視を「外注」できる。属人化しない。担当者が辞めても止まらない。

3. 制御する：ネットワークセグメンテーションとゼロトラスト【月額3〜8万円】

適応型ワームは「横移動（ラテラルムーブメント）」で被害を拡大する。社内ネットワークがフラット（全部つながっている）だと、1台感染すれば全滅する。

• VLAN分割やマイクロセグメンテーション対応のUTM（統合脅威管理）：月額3〜8万円
• 経理のPCと工場のIoTセンサーが同じネットワークにいる状態を、まず解消する

地方の製造業で実際にあった話だが、工場の温度センサー（IoT）経由で社内ネットワークに侵入されたケースがある。「うちはITの会社じゃないから」は、もう通用しない。

4. 人を鍛える：フィッシング訓練とセキュリティ教育【月額1〜3万円】

AIワームの初期侵入経路として最も多いのは、依然として「人」だ。フィッシングメールのクリック、不審なファイルの実行。AIが生成するフィッシングメールは、従来の「怪しい日本語」ではない。完璧なビジネス日本語で、実在の取引先を装って届く。

• KnowBe4 / Proofpoint Security Awareness などのSaaS型訓練ツール：月額1〜3万円（50人規模）
• 四半期に1回の模擬フィッシング＋結果フィードバックが現実的な運用ライン

合計：月額8〜24万円が現実的なライン

冒頭で「月20〜50万円」と書いたが、実際にはツールの選定と組み合わせ次第で、50人規模なら月額10万円台からでも「最低限の防御ライン」は構築できる。重要なのは、全部を一度にやろうとしないことだ。MFA → EDR → ネットワーク分離 → 教育 の順で、効果の高いものから入れていく。

本当の問題は「コスト」ではなく「構造」にある

ここまで具体的なコストを出してきたが、もっと根本的な話をしたい。

AIによって攻撃コストが劇的に下がった。5ドルで攻撃できる世界では、「うちみたいな小さい会社は狙われない」という前提が崩壊する。攻撃者は「大企業か中小企業か」で選んでいない。「突破しやすいかどうか」で選んでいる。

そして、中小企業のセキュリティ対策の最大のボトルネックは、予算ではなく「誰がやるのか問題」だ。ITに詳しい社員が1人いて、その人が兼務で全部やっている。その人が辞めたら終わり。これが地方の中小企業のリアルだ。

だからこそ、属人化しない仕組みで守る必要がある。マネージドSOC、SaaS型のセキュリティツール、クラウド型のパスワード管理。「詳しい人がいなくても回る」状態を作ることが、最大の防御策だ。

で、結局どうすればいいのか

1. 今日やること：全社アカウントにMFAを有効化する。Google Workspace でも Microsoft 365 でも、管理画面から30分で設定できる。コストはほぼゼロ。
2. 今月やること：EDRの導入を検討する。CrowdStrike、SentinelOne、あるいは国内ならLANSCOPEなど。マネージドSOC付きプランを選ぶ。
3. 今四半期でやること：ネットワーク構成を見直す。特にIoTデバイスと業務PCが同一ネットワークにいないか確認する。
4. 継続的にやること：四半期ごとのフィッシング訓練。「引っかかった人を責める」のではなく「引っかかる率を組織として下げる」運用にする。

攻撃コスト5ドルの時代に、「何もしない」が最も高くつく。情報漏洩1件の平均被害額は、日本の中小企業でも数百万〜数千万円と言われている。月10万円の防御投資は、保険として見れば安い。

AIが攻撃側に回った以上、守る側もAIと仕組みで対抗するしかない。そしてそれは、大企業だけの話ではない。むしろ、身軽に動ける中小企業こそ、SaaS型のセキュリティツールを即日導入できる。稟議に3ヶ月かかる大企業より、今日決めて今日入れられる。それが中小企業の武器だ。

—