AIによるサイバー攻撃の複合危機が迫っています。あなたの組織は侵害への備えができていますか?
ここ数日、全くニュースを見ていないというのでなければ、サイバーセキュリティの見出しが「ハッカーが人工知能エージェントを欺き、大企業への侵入を自動化させた」という報道に覆われているのを目にしたことでしょう。
人工知能(AI)チャットボットClaudeを開発したAnthropic社は、中国政府が支援するAI主導のサイバー諜報活動(GTG-1002)が、同社のLLMツールであるClaudeを欺き、主要な実行エンジンとして機能させた件について調査を進めていると主張しています。
この攻撃では、限定的な人間の監督のもとで、Claudeが自動的に偵察、脆弱性の発見、悪用、認証情報の収集、ラテラルムーブメント(横展開)、およびデータの持ち出しを大規模に実行したとされています。
Anthropic社の調査によると、これは画期的な出来事であり、攻撃者が用意したClaudeのエージェントインスタンスが、サイバーセキュリティ研究を装って自動タスクを実行し、約30のグローバル企業に対して自動化されたサイバー攻撃を行うよう仕向けられていたとされています。
現在のサイバーセキュリティへの投資では、不正なAIの侵入を防ぐには不十分であることが明らかに
彼らの言葉を借りれば、「このキャンペーンは、攻撃ライフサイクル全体において前例のないAIの統合と自律性を示しました。
脅威アクターはClaude Codeを操作し、偵察、脆弱性の発見、悪用、ラテラルムーブメント(横展開)、認証情報の収集、データ分析、データの持ち出しといった一連の作業をほぼ自律的に支援させました。
人間のオペレーターは、Claude Codeのインスタンスに対してグループで動作する自律的なペネトレーションテストのオーケストレーターおよびエージェントとしての役割を与えました。
脅威アクターはAIを活用することで、物理的には不可能なリクエスト速度で、戦術的なオペレーションの80〜90%を独立して実行することができました。」と述べています。
この問題は新しいものではありません。これまでも人間による攻撃者が同様の事例を引き起こしてきましたが、今度はAIの番です。
サイバーセキュリティ市場が2025年には5,000億ドル規模に達すると見込まれている一方で、攻撃の件数は減少するどころか増加し続けていることは周知の事実です。
そして今、私は真の問題が「攻撃を防ぐ能力」に依存していることにあると確信しています。
一方で攻撃者は、その防御を回避するか、圧倒しようとしているのです。
AIによるサイバー攻撃は新しいものではない
2025年9月6日、EchoLeak(CVE-2025-32711)は、ユーザーの操作なしにLLM(大規模言語モデル)の信頼境界を越えて完全な権限昇格を達成し、Microsoft 365 Copilotにおけるゼロクリックのプロンプトインジェクション脆弱性を悪用して、1通の細工されたメールによってリモートかつ認証不要のデータ流出を可能にしました。
さらにその前の8月には、研究者たちがOpenAIのConnectors(ChatGPTを他のサービスに接続できる機能)に存在する脆弱性を明らかにしました。
それにより、ユーザーの操作なしでGoogle Driveからデータを抽出できることが確認されました。
世界がAIの力に驚嘆する中、問題の本質は2つの重要な領域に集約されます。
既存のサイバーセキュリティツールを用いて防御の複雑さをいかに迅速にナビゲートできるかという「速度」と、その攻撃をどれだけ「大規模」に行えるかという点です。
AIを利用した攻撃は、初期侵入を防ぐために設計されたツールを回避できた場合、瞬時に拡散する可能性があります。
したがって、解決策は別の場所にあります。そこに至るために、Anthropic社の調査結果に立ち戻ってみましょう。
GTG-1002は、AIを活用した脅威アクターの能力において複数の「初」を記録しています。
攻撃者は、人間の介入なしに大規模に実行されたサイバー攻撃として、私たちが確認する中で初の事例を達成しました。
AIは人間のオペレーターによって選ばれた標的の脆弱性を自律的に発見し、実際の運用環境でそれを悪用することに成功しました。
その後、分析、ラテラルムーブメント(横展開)、権限昇格、データアクセス、データ流出など、幅広い侵害後の活動を自動的に行いました。
特筆すべきは、エージェント型AIが情報収集目的で高価値の標的にアクセスすることに成功した、最初の記録的な事例であるという点です。
その標的には、大手テクノロジー企業や政府機関が含まれていました。
問題は本質的なもの
特別な知性を持たなくても、ラテラルムーブメント(横方向への移動)が不可能であれば、人間であれAIであれ、初期侵入からデータ流出に至ることはできないと結論づけるのは容易です。
ここからすぐに導かれる教訓は2つあります。
(1) 認証情報の窃取と制限のないイースト–ウエスト(東西)方向のアクセスは、高価値資産を侵害する最速の経路であること。
(2) 攻撃者の行動は、単一のホストだけでなく、アクセス関係そのものを悪用しようとする試みを示していること。
さらに、「すべての脆弱性を迅速に修正することは不可能である」という現実を組み合わせると、行動を起こすべき時が明確になります。
すなわち、人間の攻撃者があらゆる形態のAIを利用し、これまでにないほど高速かつ大規模なサイバー攻撃を仕掛けるという複合危機(ポリクライシス)に立ち向かう必要があるということです。
今こそ、サイバーセキュリティを「侵害への備え」を中心とした、能動的でビジネスを支える戦略として再定義すべき時です。
これまでのように「すべての侵入を防ぐこと」に焦点を当てるのではなく、「避けられない侵害に備え、事業を中断させないこと」へと焦点を移すべきなのです。
ステップ1:マイクロセグメンテーションを導入し、ラテラルムーブメントの攻撃経路を減らす
マイクロセグメンテーション戦略を直ちに採用し、攻撃経路を最小限に絞り込みましょう。
これにより、明示的に許可されない限り、AIも人間も攻撃経路を見つけられなくなります。
マイクロセグメンテーションは爆発半径(被害範囲)も縮小し、ラテラルムーブメント(横展開)の試みを即座に悪意ある行動として検知できるようにします。
たとえAIが完璧なPowerShellスクリプト、RDPコマンド、あるいはラテラルムーブメントのロジックを生成できたとしても、マイクロセグメンテーションが実装された環境では、そもそもネットワーク経路が存在しません。
ネットワーク探索は騒がしくなり、定義されたポリシー外のすべての試みは記録され、遮断され、異常が即座に可視化されます。
現在では、ゼロトラストへの移行は迅速かつシームレスに行うことができます。
既存のEDR投資を活用することで、導入に要する時間を数か月から数日に短縮し、わずか数時間で可視化から制御へと移行することが可能です。
また、IT・OT・クラウドを横断して単一のプラットフォーム上で侵害封じ込めを実現し、すべての重要システムを統合的にガバナンスできる体制を構築することも可能です。
マイクロセグメンテーションを導入すれば、攻撃者のAIが侵入の足掛かりを得たとしても、自由に移動したりネットワーク全体を把握したりすることはできません。爆発半径はごくわずかに抑えられるのです。
ステップ2:暗号化されたパスワードレス認証情報で有効なアカウントを保護する
パスワードレス認証システムがもたらす明らかなユーザーフレンドリーな体験を別にしても、パスワードレスの暗号化認証情報は、AIベースのキャンペーンの中心的要素である認証情報の悪用を無効化します。
実際、MITREは有効なユーザー認証情報の奪取を現代のサイバー攻撃で最も一般的な手法の一つとして挙げています。
パスワードレスのエコシステムは、承認されたデバイス/コンテキストの外ではリプレイ不可能な暗号鍵とアテステーションに注力しており、まさに自動化エージェントにアクセスを拒否すべきものです。
認証情報管理にゼロトラストを導入することは難しくありません。
すべての重要な管理者およびAPIの認証を暗号化され、デバイスに紐づく認証情報と短命でコンテキストに紐づくトークンに移行すれば、有効なアカウントを悪用しようとする試みは非常に困難になります。
ですから、静的パスワードを持つサービスアカウントを排除し、自動ローテーションと厳格な信頼境界を組み込んだアイデンティティ証明書を使用してください。
さらに、条件付き認証を適用してください。機密性の高い操作には、デバイスの状態を示すアテステーションやネットワークセグメントの発信元を強制してください。
攻撃者に残された唯一の選択肢は、すべての条件を満たす信頼されたユーザーとして攻撃を試みるためにエンドポイントを乗っ取ることだけです。
ステップ3:AIを使って異常な振る舞いをデコイに誘導し、トラップにかけて排除する
AIベースのディセプションは、攻撃者にとって本物に見える高精度なデコイ(ホスト、サービス、データ、認証情報)を生成しますが、これらは仕掛けられたトラップです。
正当なユーザーやプロセスが特定のデコイシステムやハニー認証情報に触れるべきではありません。
そうした接触は本質的に確定的なインシデントです。ディセプションはAIエージェントや人間を観察可能な相互作用へと誘導し、攻撃者にとって多数の誤検知(false positives)を生じさせます。
AIはデコイを継続的に適応させ、再構成し、再配置し、環境のストーリーを更新できます。
その結果、敵対するAIによる攻撃はより複雑で不確実になり、より多くの経路を試す必要があるため計算資源を消費し、テレメトリやアラートが増加します。
AIエージェントにとっては、これは無駄なAIサイクル、幻覚(hallucinations)や検証失敗、オペレーターの関与増加、検出可能なシグネチャの発生を招くため致命的です。
マイクロセグメンテーションと組み合わせれば、アクセス可能な「標的」はすべてデコイであり、クラウンジュエルではないことが保証されます。
したがって、たとえ信頼されたユーザーが悪意を持っていたとしても、ゼロトラストの認証情報でナビゲートしてきた信頼されたAIは突然悪意ある存在として検知され、デコイに捕獲されます。
まとめ
ゾーンごとにマイクロセグメンテーションされ、暗号化されたパスワードレス認証情報を使用し、AIベースのディセプションを導入している企業は、すべての可能なコンジット(通路)を把握し、それらを切断する方法をボタン一つで実行できるように識別・文書化・実行訓練している関連運用専門家がいる場合、先進的なAIベースの攻撃に耐える可能性がはるかに高くなります。
しかし、行動を起こすべき時は今です。
本記事をお読みであれば、まだ手遅れになる前に能動的に動けるごく小さな機会が残されています。
いかなるAIモデルでも汚染(poison)するにはわずか250件のドキュメントがあれば十分です。
資産管理、パッチ管理、構成管理、変更管理の修正を待ってはいけません。
次の監査を待ってはいけません。
今すぐにColorTokens(カラートークンズ)日本語公式サイトからお問い合わせください。
翻訳元記事
「A Polycrisis of AI Cyberattacks is Approaching. Are You Breach Ready Yet?」
公開日:2025/11/17
著者:Agnidipta Sarkar
※本記事では、アメリカのサイバーセキュリティ企業 ColorTokens(カラートークンズ)社が発信しているセキュリティ情報(英文)を、日本の代理店である株式会社電巧社が許諾を得て日本語に翻訳し、要約して掲載しています
※記事は掲載後に修正される可能性がございますので、ご了承ください
※過去の記事もアップしておりますので、現在の情報と異なる可能性がございます。上記の公開日をご参考ください
この記事の著者:電巧社セキュリティブログ編集部
