自律型AIによる攻撃は始まっている~サイバーセキュリティの新しい現実
AIが自律的にサイバー攻撃を行う時代が到来しつつあります。様々な最新レポートを紐解きながら、脅威の実態と組織が備えるべき対策を解説します。
「攻撃には相応の時間がかかる」。この前提に立って、サイバーセキュリティチームは長年にわたり業務を行ってきました。攻撃者は、標的のシステムを探索し、防御策に応じて戦術を変え、人間の専門知識を要する判断を下す必要がありました。この時間的余裕こそが、防御側に守りを固める機会を与えてきたのです。しかし、その猶予はいま、急速に失われつつあります。
(関連記事)
MITRE ATT&CKとは?~Detection&Responseが効果を発揮するには“攻撃シナリオ”ベースの検知こそ重要~
AIは今や、サイバー攻撃のライフサイクル全体に組み込まれており、しかも補助的なツールとしてではなく、能動的な実行主体として動作しています。偵察、脆弱性の発見、ラテラルムーブメント、データ窃取といった、かつては熟練の攻撃者が何時間もの作業を要したタスクが、人間の関与を最小限に抑え、数分単位にまで圧縮されています。2年前には理論上の議論にすぎなかった事象が、いまや実際のインシデントデータとして観測される段階に到達しました。
世界中の組織のセキュリティチームにとって、この変化は、組織が脅威をどのように検知し、対応し、防御リソースを配分するかという根本的な前提の見直しを迫るものです。
サイバー攻撃におけるAI:補助から自律へ
サイバー攻撃におけるAIの役割は、いくつかの段階を経て進化してきました。初期の用途は「補助」に重点が置かれ、AIはより説得力のあるフィッシングメールの作成、マルウェア亜種の高速生成、ターゲットの大規模な特定などに、悪用されてきました。これにより、技術力の低い攻撃者にとって参入障壁が下がり、その影響はすぐに顕在化しました。フィッシングの件数は増加し、ソーシャルエンジニアリング攻撃の検知は一段と難しくなったのです。
次の段階は「自律」。これは現在進行中です。Check Point Cyber Security Report 2026によれば、AIは既知の攻撃手法の実行を、これまで以上の速度と規模で加速させており、偵察と標的選定の高速化、マルウェア開発の高速化、そして検知可能な兆候をほとんど残さない、より精巧なソーシャルエンジニアリングを実現しているといいます。
2025年11月、Anthropicが公表したところによれば、同社は記録上初となる大規模なAI主導型サイバー諜報キャンペーンを検知し、これを停止させました。このキャンペーンは2025年9月中旬から始まっていたものです。中国の国家支援を受けたと思われる攻撃グループが、Claude Codeを不正に操作し、テクノロジー、金融、化学、政府機関にまたがる約30の組織への攻撃を実行させていました。AIは偵察からデータ窃取に至るまでの作業の80〜90%を自律的に処理しており、Anthropicはその速度を「物理的に追随不可能」と表現しています。人間のオペレーターが介入したのは、攻撃1件あたり4〜6か所の重要な意思決定ポイントに限られていたということです。
(関連記事)
AI主導のサイバー攻撃時代における企業防御の再定義
これはもはや特異な事例ではありません。CrowdStrike 2026 Global Threat Reportによると、サイバー犯罪で初期侵入から横展開までの平均所要時間は、2025年に29分まで短縮されました。これは2024年比で65%の高速化に相当し、最速記録はわずか27秒ということです。AIを活用した攻撃は前年比で89%急増しました。
完全自律型攻撃はいつ実現するのか?原理上はすでに可能
ITインフラサービスプロバイダー、Kyndryl社のKris Lovejoy氏は、Webメディア「TechTarget」の“2026年に注目すべきサイバーセキュリティ動向10選”の中で、2027年までに、完全自律型のAI主導サイバー攻撃が企業に対して成功裏に実行されるようになると予測しています。つまり、人間の直接的な指示を一切受けることなく、初期侵入からデータ窃取に至るまでのキルチェーンを完遂するというわけです。機械のスピードで防御することが唯一実行可能な方法となるとも述べています。
2025年の研究論文(Janjusevic et al., arXiv:2511.15998)によれば、MCP(Model Context Protocol)を用いたAIシステムが、模擬企業ネットワーク上でのドメイン制圧を人間の介入なしに1時間以内で達成し、戦術をリアルタイムで切り替えることでEDR検知を回避したことが確認されています。
人間主導から自律型AI主導へのシフトが特に厄介なのは、攻撃側と防御側のあいだに非対称性を生じさせる点にあります。AIを活用する攻撃者には、疲労もタイムゾーンもありません。防御側が侵入を検知し、内部承認プロセスなどを経て意思決定を終えるころには、AI主導の攻撃はすでにラテラルムーブメントを行い、永続性を確保し、データ持ち出しを終えている可能性があります。攻撃者にとってのスピードは、もはや戦術的な優位性にとどまらず、構造的な優位性になりつつあります。
防御側もAIで対抗。しかしAIガバナンスには依然課題も
防御側もまた、手をこまねいているわけではありません。WEF Global Cybersecurity Outlook 2026によれば、調査対象組織の77%がサイバーセキュリティ目的でAIを導入しています。主な用途は、フィッシング検知の強化 (52%)、侵入および異常への検知・対応(46%)、ユーザ行動分析(40%)です。SOC(セキュリティオペレーションセンター)では、トリアージ、監視、自動化されたインシデント対応へのAI活用が拡大しています。
効率改善の効果は数値で測ることができます。IBMのCost of a Data Breach Report 2025によれば、AIと自動化を本格的に活用している組織の平均侵害コストは362万ドルであるのに対し、活用していない組織では552万ドルに達します。この190万ドルの差は、投資判断を後押しする根拠として十分に明確です。
このように、AIをサイバーセキュリティの対策強化に活用する明るい兆しがある一方で、AIが新たなセキュリティリスクにもなっている側面も看過できません。
同レポートによれば、承認なく使われる「シャドーAI」が大きなリスク要因として浮上しています。
調査組織の20%がシャドーAIに起因する侵害を経験しています(正規AIの侵害より7ポイント高)。シャドーAIが存在する組織は、ない組織と比べて侵害コストが平均67万ドル高く(474万ドル 対 407万ドル)、封じ込めにかかる時間も約1週間長いことが読み取れます。
また、侵害されたデータの筆頭は顧客の個人識別情報(PII)で65%、次いで知的財産(IP)が40%という結果になりました。シャドーAIに関連するインシデントは、データ侵害(44%)、セキュリティコストの増大(41%)、業務停止(39%)といった幅広い影響をもたらしています。
さらに、AIガバナンスに関しては、次の調査結果も示しています。
・63%の組織がAIガバナンスポリシーを持っていないか、策定中の段階
・ガバナンスポリシーがある組織でも、AIデプロイへの承認プロセスを持つのは45%にとどまり、シャドーAIの定期監査を実施しているのはわずか34%
・87%の組織がAIリスクを軽減するためのガバナンス方針やプロセスを持っていない
・AIモデルの定期監査を実施しているのは32%、敵対的テストを行っているのはわずか23%
これらの結果から、AIの導入速度がガバナンス整備を大きく上回っている実状が伺えます。このままでは、AIによってセキュリティを強化しつつも、他方ではセキュリティリスクが生み出されるという矛盾した状態に陥ってしまいます。
エンタープライズセキュリティ戦略への示唆
自律型AI主導の攻撃への移行は、既存のセキュリティ実務を一夜にして陳腐化させるものではありません。しかし、組織が早急に対処すべき具体的なギャップを浮き彫りにしています。
・人間の意思決定サイクルを前提としたインシデント対応のタイムラインは、もはや成立しません。セキュリティチームは、AI支援のトリアージと自動封じ込めをどこに適用すれば、対応時間を攻撃速度に合わせて短縮できるかを検討する必要があります。初期侵入から横展開までの最速記録が27秒という現状において、封じ込めの前に人間によるエスカレーションを必須とするプロセスは、構造的に脅威と噛み合っていないと言わざるを得ません。
・AIガバナンスはAI導入から遅れずに。社内でエージェント型AIを導入する組織は、対外向けインフラに適用しているのと同等の厳格さで、これらのシステムのセキュリティ態勢を評価する必要があります。広範な権限を持ち、監視されていないエージェントは、いつ攻撃されてもおかしくないアタックサーフェスです。
・リスクをはらんだサプライチェーンこそが、攻撃側にとって格好のアタックサーフェスです。2025年のセキュリティインシデントにおいて、アタックサーフェスで最も多いのは「他組織」でした。データ管理や作業を委託していた組織がセキュリティインシデントに見舞われ、委託元の組織が「二次被害」を公表する「データ・サプライチェーン」のリスクが顕在化しています。サプライチェーンの可視性は、もはや任意の対策ではありません。
・継続的なモニタリングが不可欠です。Brinqaの「2025 State of Exposure Management」では、200名以上のセキュリティ意思決定者へのアンケートの結果、回答者の93%が脆弱性の優先順位付けと軽減の説明責任を、経営上の最優先課題と認識していると報告しており、脆弱性管理の重要性が浸透していることが伺えます。ただし、組織のIT環境は刻々と変化するものであり、それにしたがって脆弱性のあるIT資産も変化します。ある一時点で実施する侵入テストでは、AI主導攻撃の動的かつ適応的な性質を捉えることはできません。継続的なモニタリングが必要なのはそのためです。
サイバー攻撃は速度を増し、状況に応じて変化し、人間のオペレーターへの依存度を下げ続けています。この変化を乗り越える組織とは、機械と同じスピードの防御に今から投資し、AIガバナンスのギャップを埋め、自律型AIによるサイバー攻撃という脅威を、すでに現実のものとして受け止めている組織ではないでしょうか。
(参考文献)
Check Point Cyber Security Report 2026
TechTarget: 10 Cybersecurity Trends to Watch in 2026
WEF Global Cybersecurity Outlook 2026
Cybersecurity Dive: Autonomous Attacks Ushered Cybercrime into AI Era in 2025
CrowdStrike 2026 Global Threat Report
Anthropic: Disrupting the First AI-Orchestrated Cyber Espionage Campaign
IBM Cost of a Data Breach Report 2025
(関連記事)
・AIの悪用が徐々に顕在化:2025年1年間の国内脅威動向を総括
・エージェント型ガバナンス:いま重要な理由
・Agentic AIとは?汎用人工知能(Artificial General Intelligence)へのマイルストーン
Security GO新着記事
フィッシングメール訓練の進め方は何から?攻撃手口の把握と訓練の考え方
(2026年5月15日)
サプライチェーンを脅かす開発者・エンジニアに対するサイバー攻撃:手口と対策を徹底解説
(2026年4月24日)