生成AIやAIエージェントがすさまじい速度で発展している。今まで使っているツールが日々進化を遂げ機能が次々と加わっていくその様は、まるで同じ業務に就く仲間がどんどん成長し手腕を上げていくように見える。その一方、高度化するAIが犯罪に悪用されるリスクも高まっている。最近ではAIを利用したサイバー攻撃が増加傾向にあり、それに対抗するのもまたAI、というSFのような状況が生まれつつある。欧米のサイバーセキュリティ分野でいま何が起こっているのかを見てみよう。

AIを使った半自動ハッキングが本格化

　中国政府系のハッカーグループが自律型ソフトウェア開発エージェント「Claude Code」を使い、グローバルの大手テック企業や金融機関、政府機関など約30の組織に対して2025年9月半ばからサイバースパイ活動を仕掛けた――。大規模言語モデル（LLM）「Claude」を提供するAnthropicは同年11月半ばに、衝撃的な報告を発表した。この攻撃では、対象や領域の設定、脆弱性の発見、認証情報の収集、そしてデータ窃盗といった一連のハッキングプロセスのうち、80～90％を人間の介入なしに処理したという。同社は発見後すぐにその規模や性質などを分析し、10日間にわたってスパイ活動の全容を調査。その後、これらのアカウントを順次停止し、対象の企業や当局に連絡した。

　同社はこれを史上初の大規模な「AI自律型サイバースパイ作戦」と呼び、Claude Codeを使ったソフトウェア開発を意味する言葉「バイブコーディング（Vibe Coding）」になぞらえて「バイブハッキング（Vibe Hacking）」と名付けている。

　ハッキングの報告から約4カ月が経過した2026年3月半ば、新たな衝撃が世界を駆け巡った。コンテンツ管理システムの設定不備によりAnthropicの未公開ブログの下書きや内部資料が一時的に外部から閲覧可能になり、最上級AIモデル「Opus」を上回る次世代モデル「Mythos」の存在が明らかになったのだ。そのブログでは、Mythosは単にLLMとして優秀なだけでなく、他のどのAIモデルよりもソフトウェアの脆弱性を見つけるサイバー能力が高いと語っている。

　ブログによると、現実世界におけるソフトウェアの脆弱性をどの程度特定・再現できるかを測定する「CyberGym」のスコアで、従来の最良モデル「Opus4.6」が66.6％であったのに対し、Mythosは83.1％を記録している。また、非常に高い安全性を誇るオープンソースOSの「OpenBSD」に27年前から存在していた欠陥を発見し、その脆弱性を攻撃するコードを自動で作成した。それ以外にも、主要なOSやWebブラウザで数千件のゼロデイ脆弱性を見つけるなど、トップクラスのセキュリティ研究者を上回るパフォーマンスを見せたという。

　これらの内容が明らかになった後、攻撃に悪用された場合の影響があまりに大きいことからサイバーセキュリティに支障を来す恐れがあるとして、同社はMythosを一般公開せず、サイバーセキュリティ関連企業や政府機関のみに早期アクセスで提供するとした。また、AWSやApple、Cisco、CrowdStrike、Google、Microsoft、NVIDIA、Palo Alto Networks、Linux財団など40以上の組織とともに、セキュリティプロジェクト「Project Glasswing」を実施すると発表。Anthropicは1億ドル分のMythos Previewの利用クレジットを提供し、オープンソースセキュリティ組織へ400万ドルの寄付をすることにしている。

2026年はサイバーセキュリティの転換期に

　世界経済フォーラムは2026年1月、99カ国のサイバーセキュリティ関連企業幹部や学識者、公共部門担当者804人を対象に、セキュリティの今後の動向を調査した「Global Cybersecurity Outlook 2026」を公開した。その中で、サイバーセキュリティにおける“AI対AI”の状況を報告している。前段の概要部分では「2026年のサイバーセキュリティは、増大する脅威、地政学的な分断、そして拡大する技術格差が加速しつつある。人工知能（AI）は攻守両面でサイバー空間を変革しており、防御を強化する一方で、より高度な攻撃をも可能にしている」と語っている。また、回答者の94％が「AIは今後1年でサイバーセキュリティに最も大きな変化をもたらす原動力になると予測する」と答えており、2026年はサイバーセキュリティにおいて大きな転換期になると見られている。

　CrowdStrikeの「2026 Global Threat Report」によると、AIを駆使したサイバー攻撃は2025年に前年比で89％増加した。90以上の組織で自社の正規AIツールが乗っ取られるだけでなく、AIエージェントが機密データの窃取に利用されるという2つのアプローチでAIの脅威が存在することが明らかになっている。同レポートによれば、サイバー脅威の侵入から他のシステムへ移動する速度を示す「平均ブレイクアウト時間」は前年比65％増となっており、具体的には約29分まで短くなったという。

著名人なりすましや埋め込みなど多様化するAIの攻撃

　それ以外にもAIサイバー攻撃の手法は存在する。

　その1つが、AIシステムに不正な命令を出してユーザーが意図しない行動をさせる「プロンプト・インジェクション（Prompt Injection）」である。これはWebサイトやPDFファイルの中に、人間には見えない形でAIシステムに密かに不正な指示を出すプロンプトを含める手法で攻撃を仕掛ける。

　例えば、クラウドネットワークセキュリティ企業Cato Networksの傘下であるAim Securityの研究部門が、Microsoft 365 Copilotでの脆弱性「Echo Leak」を発見している。これは、攻撃者が特定の形式のメールを企業のMicrosoft 365ユーザーに送信し、そのメールが受信トレイ内に存在するだけで、後にCopilotが業務上の質問に応答する過程で当該メールを参照し、埋め込まれた命令を実行してしまうというものである。その結果、ユーザーや企業の機密情報などが外部に漏えいしてしまう。ユーザーが受信したメールやメール内のリンクをクリックせずとも攻撃が可能なため、Aim Securityではこれを「ゼロクリック攻撃」と呼んでいる。その後、Microsoftはパッチを公開している。

　プロンプト・インジェクションはすでにサイバー攻撃に利用され始めている。セキュリティ企業Palo Alto Networks傘下のサイバーセキュリティチーム「Unit 42」が、AIエージェントを悪用し詐欺広告を送り込む攻撃が実際に確認されていることを、2025年12月に公表した。具体的には、デジタル広告の内容を審査するAIエージェントに対し、審査をしないように指示するプロンプトを広告商品のWebページ上に隠して埋め込むことで、審査を回避して詐欺広告を送り込むものである。フォントのサイズを視認できないほど小さくしたり、HTML特有の指示用語を使ったり、多言語のプロンプトやアルファベットを使用するなど、攻撃成功率を高めるための策が施されていた。

　直近では、暗号通貨が盗まれる事件も起きている。xAI「Grok」にX上でモールスコードを解読させることで、17万5千ドル（約2500万円）相当の暗号通貨が自動的に攻撃者のウォレットに送られた。攻撃者は事前に暗号通貨自動管理AIエージェント「Bankrbot」とGrokを連携させた上でモールスコードを用いてプロンプトを投稿し、これを解読したGrokが、その内容をBankrbotに対する送金指示として出力し、Bankrbotが送金を実行したというものだ。

　生成AIを利用したなりすまし攻撃も起こっている。2025年2月、アルマーニやプラダなどイタリアの大手企業トップ数人へ、イタリアの防衛大臣Guido Crosetto氏とそのスタッフを名乗る者から、中東で誘拐されたイタリアのジャーナリストを助けるために100万ユーロの送金を求める電話があった。防衛大臣本人が他のビジネスマンから聞いて明らかになった事件だが、Crosetto氏らの声はAI生成されたものと見られ、イタリア当局が調査中だ。

　また、自己進化するマルウェアも発見されている。2025年11月にGoogleの脅威インテリジェンスグループが発見した2つのマルウェアは、同社の「Gemini」を利用し、攻撃の途中で検知されるのを避けたり、AI生成した機能を作成したりと行動を変化させるものであるという。こうした手法はまだ初期段階で実害が出ていないようだが、Googleではより高度化すると考えて警戒している。

守備側もAIで対抗するのが当たり前の時代に

　これらAIを使ったサイバー攻撃に対抗するのも、またAIとなりつつある。サイバーセキュリティ企業はAI機能などを駆使して、脅威への対応を始めている。

　OpenAIの新しいAIモデル「GPT 5.4 Cyber」は防衛用途に特化したもので、現時点ではAnthropicのMythosと同様、セキュリティ研究者や企業にのみ公開している。同社はセキュリティベンダー、企業・組織、セキュリティ研究者、インフラでのセキュリティ責任者などに向けたフレームワーク「Trusted Access for Cyber」を発表している。

　Reality Defenderをはじめ、ビデオ会議や電話会議などにおけるAIでのディープフェイクを検知するプラットフォームを開発・提供する企業も複数出てきている。

　MicrosoftやCrowdStrike、Palo Alto Networksなどサイバーセキュリティ企業もプラットフォームに自律型AIエージェントを取り込み、これらのエージェントがAIシステムへの攻撃を防いだり、フィッシングメールやメッセージなどに対応して侵害アカウントを自動隔離したりする機能の提供を徐々に始めている。社内で許可なく使われているAIツールの把握を進めるツールなども普及し始めている。

　今回まとめたのは主に欧米におけるAIサイバー攻撃を巡る動向だが、もちろん日本企業にとっても他人事ではない。AIを使った攻撃のリスクがあるのは日本企業も例外ではなく、サイバーセキュリティ対策はすでに重要な経営課題となっている。それにもかかわらず日本企業ではIT部門の問題として捉えられることが少なくなく、経営レベルで対応できていないケースが見受けられる。

　大手企業では、ITやシステムの開発を外部ベンダーと協力して進めることが多いだろう。そのため、ソフトウェアやシステムのサプライチェーン全体におけるセキュリティまで検討する必要があり、SaaSベンダーや協力会社企業、取引先と足並みをそろえた体制の構築が不可欠だ。セキュリティやAIエンジニアの不足にも対応することが求められる。

　生産性向上や業務改革のために生成AIやAIエージェント導入を推進していくのは今や当然の動きだが、それと同時に周辺のリスクを考慮してセキュリティ面でも可能な限りAIを活用しながら協力会社などと防御対策のためのロードマップを作っていく――。これが、日本企業が取り組むべき喫緊の課題ではないだろうか。