人工知能(AI)技術の急速な発達により、サイバーセキュリティの攻守バランスが根本的に変化している。従来は熟練した研究者が数ヶ月を要した脆弱性の発見と悪用が、AIの支援により数秒で実行可能となり、セキュリティ業界は根本的な戦略見直しを迫られている。
中国政府系ハッカーによるAIの戦術的活用
2025年9月、Anthropicは中国政府系と疑われるハッカーグループ「GTG-1002」がClaude Codeを悪用し、サイバー諜報活動を実施したと発表した。この攻撃では、人間のオペレーターが物理的に不可能な頻度でリクエストを送信し、戦術作戦の80-90%をAIが独立して実行した。AnthropicはこれをAI技術が大部分を担った初のサイバー攻撃事例として位置づけており、人間のハッカーが関与したのは全体の10-20%に過ぎなかったと分析している。
同社によると、約30社の企業と政府機関のコンピューターシステムへの侵入が試みられ、AIエージェントが自動的にコードを記述し、ソフトウェアを操作することで攻撃を遂行した。これは従来のサイバー攻撃パラダイムからの根本的な転換点を示している。
Microsoft Copilotの重大な脆弱性発覚
Microsoft 365 Copilotでは「EchoLeak」と呼ばれるコマンド注入脆弱性(CVE-2025-32711)が発見された。この脆弱性により、攻撃者は単一の電子メールに隠されたプロンプトインジェクション命令を埋め込むだけで、ユーザーの操作なしにAIアシスタントを強制的に操作し、内部ファイルや電子メールを外部サーバーに流出させることが可能となる。
さらに、Varonisのセキュリティ研究者らは、Microsoft Copilot Personalに対する攻撃手法「Reprompt」を発見した。この手法は、AIの内蔵セーフガードを回避し、機密データを2回要求するだけで情報を取得できるという単純な仕組みである。Microsoftは既にパッチを発行しているが、AIシステムの基本的な信頼モデルに対する深刻な問題を浮き彫りにした。
OpenClawプラットフォームでの大規模マルウェア配布
人気オープンソースAIアシスタントのOpenClawでは、一連の脆弱性(CVE-2026-25253等)が発見され、悪意のあるWebサイトが開発者のAIエージェントを完全に制御できる経路が作られた。Picus SecurityのPicus Labs VP、スレイマン・オザースラン博士によると、21,000件以上のこうした事例が検出され、OpenClawプラットフォームのスキルマーケットプレイスの12%がマルウェアを配布していることが確認されている。
AI開発プラットフォームへの攻撃拡大
オープンソース開発プラットフォームのFlowiseでは、CVSSスコア10点の重大な脆弱性CVE-2025-59528が発見され、実際の攻撃での悪用が確認されている。この脆弱性は、外部MCPへの接続設定でユーザー提供のJavaScriptコードが適切に検証されないことにより、攻撃者が任意のコードを実行し、ファイルシステムにアクセスできるというものだ。
VulnCheckの調査によると、12,000から15,000のFlowiseインスタンスが公開されており、脆弱なバージョンを実行している数は不明だが、大企業の多くがこのプラットフォームを使用していることが判明している。同社のセキュリティ研究VP、ケイトリン・コンドン氏は「この脆弱性は6ヶ月以上前から公開されており、防御側には優先順位をつけてパッチを適用する時間があった」と指摘している。
MCP(Model Context Protocol)サーバーへの標的化攻撃
AIエージェントとチャットボットがデータソース、ツール、その他のサービスに接続できるMCPサーバーが、最近様々な持続的な悪意ある攻撃の標的となっている。JozuのCEOブラッド・ミックリー氏は「これはパッケージレジストリの名前乗っ取りのAI版だが、MCPサーバーのIDを検証する中央MCP機関も、MCPサーバーとそれが表す組織との間の暗号学的リンクも存在しない」と警告している。この状況により、MCPが展開される前から信頼モデルが破綻していると分析されている。
暗号資産業界での甚大な被害
AI技術の悪用は暗号資産業界でも深刻な影響を与えている。LedgerのCTO、シャルル・ギルメ氏によると、AIがサイバー攻撃のコストと難易度を劇的に押し下げており、「脆弱性の発見と悪用が本当に、本当に簡単になっている。コストがゼロに向かっている」と警告している。
DefiLlamaのデータによると、過去1年間で暗号資産攻撃により14億ドルの資産が盗まれたか失われている。今週だけでも、SolanaベースのDeFiプロトコルDriftが攻撃され、2億8500万ドル相当のデジタル資産が流出した。これは今年最も深刻な攻撃の一つとなっている。その1週間前には、イールドプロトコルResolvへの攻撃で2500万ドルの損失が発生している。
セキュリティの非対称性の崩壊
従来のセキュリティは、システムをハッキングするよりもシステムを構築・維持する方が安価であるという非対称性に依存してきた。しかし、AIはこの優位性を侵食している。熟練研究者が数ヶ月を要したリバースエンジニアリングやエクスプロイトの連鎖などのタスクが、適切なプロンプトにより数秒で実行できるようになった。特に大量の資金をコントロールするコードが多い暗号資産分野では、この変化がリスクを大幅に押し上げている。
脆弱性発見から悪用までの時間短縮
GoogleのProject ZeroとDeepMindが開発したAIエージェント「Big Sleep」は、SQLiteの悪用可能な脆弱性を発見し、報告されたその日のうちに保守担当者が修正を行った。GoogleのセキュリティチームはまたAI支援ファジング作業について説明し、OpenSSLを含むオープンソース保守担当者に新しい脆弱性を報告している。DARPAのAI Cyber Challengeは、大規模な自動脆弱性発見とパッチ適用という同じ方向性で構築されている。
Rapid7のシニアプリンシパル研究者スティーブン・フューア氏は「イニシャルアクセスブローカーがランサムウェアグループに直接販売することで、新しい脆弱性の武器化、認証情報の収集、アクセスの収益化に明確なインセンティブが生まれている」と分析している。これにより作戦の速度と洗練度の両方が加速している。
エージェント的AIの脅威
エージェント的AIは助言するだけでなく行動できるAIである。目標を与えると、ステップを計画し、実行し、結果から学習し、成功するかハードストップに達するまで調整を続ける。サイバーセキュリティでは、これは自動オペレーターのように見える。アプリケーションを調査し、複数の攻撃パスをテストし、防御が持ちこたえた時に戦術を変更し、人間の再照準を待つことなく反復を続ける。
エージェント的AIはリードタイムを残さないため、リスクを高めている。ほぼ瞬時に弱点を発見し攻撃する。完璧な予防の約束でこのレースに勝つことはできない。露出するものを減らし、侵入者がどこまで移動できるかを制限し、環境が変化する中で制御が依然として機能することを継続的に検証することで勝利できる。
