AI攻撃高速化が企業防衛を変える背景

AIを使ったサイバー攻撃の問題は、もはや「攻撃者が賢くなる」という抽象論ではありません。脆弱性の発見、攻撃手順の組み立て、フィッシング文面の生成、侵入後の横展開まで、攻撃工程そのものが短く、安く、大量に回せるようになっていることが核心です。

特に注目されるのが、AnthropicのClaude Mythos Previewに代表される高性能AIモデルです。英国AI Security Instituteは、同モデルが32段階の企業ネットワーク攻撃シミュレーションを一部の試行で最後まで完了したと公表しました。一方、MandiantのM-Trends 2026は、初期侵入から別の攻撃グループへの引き継ぎ時間が2025年に中央値22秒まで縮んだと報告しています。

日本企業にとって重要なのは、これを「海外の先端AIの話」として切り離さないことです。DXでSaaS、クラウド、外部委託、リモートアクセスが広がった企業ほど、攻撃者にとって狙いやすい接点が増えています。本稿では、AI時代の攻撃速度が何を変えたのか、そして「止めないIT」を優先してきた企業がどこを見直すべきかを読み解きます。

ミュトスが示した自律攻撃の到達点

Claude Mythos Previewをめぐる議論で見落としてはいけないのは、AIが突然すべての企業を自動で侵害できるようになった、という意味ではない点です。英国AI Security Instituteの評価では、Mythos Previewは専門家レベルのCTF課題で高い成功率を示し、32段階の「The Last Ones」という攻撃レンジを10回中3回、最後まで解きました。ただし同機関は、評価環境にはアクティブな防御者や防御ツールがなく、現実の堅牢な環境をそのまま再現したものではないとも明記しています。

この留保は大切です。実運用のネットワークには、EDR、SOC、権限管理、監査ログ、レート制限、変更管理などの防御層があります。AIが検証環境で成功したからといって、即座に大企業の中核システムが自動攻略されるわけではありません。にもかかわらず、警戒水準を引き上げるべき理由は明確です。AIは攻撃の「完全自律化」以前に、調査、試行、コード作成、手順整理を高速化するからです。

32段階シミュレーションの実務的な意味

AISIの32段階シミュレーションは、初期偵察からネットワーク掌握まで、複数のホストと手順をまたぐ攻撃を想定しています。従来のベンチマークが単発の脆弱性やパズルを測るものだったのに対し、複数の行動をつないで目的を達成できるかを見ています。これは企業防衛にとって、単体の製品導入だけではなく、攻撃経路全体をどう切るかが問われる段階に入ったことを意味します。

企業の現場では、脆弱性診断、ペネトレーションテスト、レッドチーム演習の結果が「年1回の報告書」で止まりがちです。しかしAIが攻撃手順を短時間で再構成できるなら、年次点検だけでは足りません。公開された脆弱性、SaaS設定、ID権限、ログの欠落が組み合わさったとき、どの経路が成立するかを継続的に見る必要があります。

Anthropicの脆弱性開示ダッシュボードも、この構造変化を示しています。同社は2026年2月以降、Claude Mythos Previewの初期スナップショットを使ってオープンソースソフトウェアの脆弱性を探索し、2026年5月22日時点で1,596件を開示済みとしています。人間のレビューと調整された開示が律速になるほど、発見側の処理能力が上がっているわけです。

22秒ハンドオフが奪う初動時間

MandiantのM-Trends 2026が示した22秒という数字は、侵入からランサムウェア展開までの全時間ではありません。初期アクセスを得た攻撃者が、二次攻撃グループにアクセスを引き渡すまでの中央値です。それでも防御側にとっては重い意味を持ちます。初期感染を低優先度のアラートとして扱う余裕がなくなっているからです。

同レポートでは、2022年には初期アクセスから引き継ぎまでの中央値が8時間超だったのに対し、2025年には22秒まで短縮したとされています。初期アクセスブローカーが、別グループのマルウェアやトンネルを事前に仕込む形が増え、分業された犯罪エコシステムが自動化に近づいています。

ここでSaaS企業やDX部門が受け止めるべき点は、攻撃の入口がメールだけではなくなったことです。M-Trends 2026では、侵入経路として脆弱性悪用が6年連続で最多となり、音声フィッシングやSaaSのOAuthトークン悪用も目立っています。攻撃者はエンドポイントだけでなく、ID、SaaS連携、クラウド管理画面、バックアップ基盤へ移っています。

SaaSとIDに集中する日本企業の盲点

日本企業は長く、基幹システムを「止めない」ことに強い価値を置いてきました。製造、物流、金融、医療、公共サービスでは、停止そのものが事業リスクです。この発想は間違っていません。しかしAIで攻撃速度が上がる局面では、「止めない」ための例外設定や後回しのパッチが、結果的に長い停止を招くことがあります。

SaaSの導入は、スタートアップから大企業まで業務効率を引き上げました。CRM、チャット、経費精算、電子契約、ファイル共有、開発支援、生成AIツールがAPIでつながり、現場は速く動けるようになりました。一方で、誰がどのSaaSに管理者権限を持ち、どの外部アプリがOAuthトークンを保持し、退職者や委託先の権限がいつ消えるのかを正確に把握するのは難しくなっています。

国内脅威ランキングに入ったAIリスク

IPAの「情報セキュリティ10大脅威 2026」では、組織向け脅威の1位がランサム攻撃、2位がサプライチェーンや委託先を狙った攻撃、3位が「AIの利用をめぐるサイバーリスク」です。AIリスクは2026年版で初選出されました。これは、AIが新しい単独脅威であるだけでなく、ランサムウェア、標的型攻撃、脆弱性悪用、ビジネスメール詐欺を増幅する横断的な要因になっていることを示しています。

IPAの情報セキュリティ白書2025も、生成AIを含むAI関連技術が攻撃と防御の双方で使われ、AIシステムへの攻撃や悪用が懸念されると整理しています。国内の制度面でも、能動的なサイバー防御、セキュア・バイ・デザイン、サプライチェーン対策評価などが進んでいます。つまり、日本の政策文脈でもAI時代のセキュリティはすでに例外扱いではありません。

それでも企業現場では、生成AI導入の担当部署とセキュリティ部門が分断されがちです。現場は議事録、問い合わせ対応、営業資料、コード補助にAIを使い、情報システム部門は後から利用実態を知ることがあります。これはSaaS導入時に起きたシャドーITと同じ構図です。違いは、AIツールが文書、コード、顧客情報、認証情報にまたがって扱われるため、漏えい時の影響範囲が広くなりやすい点です。

SaaS運用を広げたDXの副作用

Microsoft Digital Defense Report 2025は、AIがフィッシングや侵入の自動化を進め、攻撃と対応の時間軸を短くしていると指摘しています。同レポートでは、Microsoftのインシデント対応で観測された侵入のうち、フィッシングやソーシャルエンジニアリング、未修正のWeb資産、露出したリモートサービスが主要な初期アクセス経路として示されています。これは、日本企業のDX環境にもそのまま当てはまります。

特に注意すべきは、SaaSの「便利な連携」です。営業支援SaaSがメールとカレンダーにアクセスし、経費精算SaaSがID基盤と連携し、生成AIエージェントが社内ドキュメントやチケットシステムを横断します。これらの連携は業務価値を生みますが、過剰な権限、長寿命トークン、退職者アカウント、委託先アカウントが残ると、攻撃者にとって横展開の足場になります。

CrowdStrikeの2026 Global Threat Reportは、AIを使う攻撃者の活動が前年比で89%増加し、eCrimeの平均ブレイクアウトタイムが29分、最速では27秒だったと公表しています。同社はまた、90を超える組織で正規の生成AIツールが悪意あるプロンプトに悪用されたとも説明しています。AIは攻撃者の道具であると同時に、企業側の新しい攻撃対象にもなっているのです。

止めないITから復旧前提へ移る条件

日本企業が見直すべき最初の言葉は「止めないIT」です。もちろん、業務停止を避ける設計は重要です。しかしランサムウェアやAIで高速化した侵入に対しては、「止めないために止められない」運用が危険になります。疑わしい端末、ID、SaaS連携、ネットワーク経路を即座に隔離できない組織は、攻撃者に横展開の時間を与えます。

Verizonの2026年版DBIRは、19年のレポート史上初めて、脆弱性悪用が盗まれた認証情報を上回り、侵害の最大入口になったと発表しました。全侵害の31%が脆弱性悪用から始まるとされ、AIが既知脆弱性の悪用時間を月単位から時間単位へ縮めているとの見方も示されています。パッチ適用を止められない業務の都合だけで遅らせると、攻撃者の自動化された探索に追いつかれます。

バックアップとログをTier0として扱う設計

Mandiantは、近年のランサムウェアが単にデータを暗号化するだけでなく、バックアップ、ID基盤、仮想化管理プレーンを標的にして復旧能力そのものを破壊していると報告しています。これは「事業継続」の考え方を変えます。バックアップは保険ではなく、攻撃者から最も守るべき中核資産です。

具体的には、バックアップ環境を通常のActive Directoryドメインから切り離し、管理者権限を分離し、削除不能または改ざん困難な保管方式を使う必要があります。仮想化基盤、IDプロバイダー、特権アクセス管理、バックアップ管理サーバーは、すべてTier0資産として扱うべきです。ここが侵害されると、業務システムの復旧順序そのものが崩れます。

ログも同じです。Mandiantは、エッジ機器に潜伏する脅威では長期の滞在が起き、標準的な90日ログ保持では初期侵入経路を追えない可能性があると指摘しています。SaaS、ID、VPN、EDR、クラウド、仮想化基盤、管理者操作ログを長期保存し、平時から検索できる状態にしておくことが、AI時代の初動対応を左右します。

自動化の導入前に必要なガードレール

防御側もAIを使うべきです。Microsoftは、AIエージェントが複数の高リスクシグナルを検知した時点で、秒単位でアカウント停止やパスワードリセットを実行できると説明しています。人手だけで22秒のハンドオフや27秒の横展開に対抗するのは現実的ではありません。

ただし、防御AIの導入は「AIに任せる」ことではありません。OWASPのAgentic AI向けTop 10は、Agent Behavior Hijacking、Tool Misuse、Identity and Privilege Abuseなど、AIエージェント特有のリスクを整理しています。AIが社内ツールを呼び出すなら、権限を最小化し、実行可能な操作を限定し、重要操作には人間の承認や追加認証を挟むべきです。

この点はSaaSスタートアップにも大企業にも共通します。AIエージェントにチケット起票、顧客返信、コード修正、権限変更を任せるほど、誤作動や乗っ取りの影響は大きくなります。AI活用を止める必要はありませんが、ログ、承認、権限、データ分類、テスト環境を整えずに本番権限を与えるのは、攻撃者に自動化された社内オペレーターを差し出すことに近い構造です。

経営者が来期予算で優先すべき防衛投資

AI時代のサイバー対策は、セキュリティ部門だけの予算要求では成立しません。NIST Cybersecurity Framework 2.0が「Govern」を新しい中核機能に加えたように、サイバーリスクは財務、評判、法務、サプライチェーン、事業継続と並ぶ経営リスクです。経営者が決めるべきは、どの業務を止めないかだけでなく、どの条件なら一時停止し、どの順番で復旧するかです。

経済産業省のサイバーセキュリティ経営ガイドラインも、経営者のリーダーシップの下で対策を推進し、CISOなどに指示すべき重要項目を整理しています。AI攻撃が速くなるほど、現場判断だけで例外を積み重ねる運用は危うくなります。パッチを止める権限、SaaSを新規導入する権限、外部委託先にデータを渡す権限は、事業部のスピードだけでなく、リスク受容の根拠とセットで管理すべきです。

来期予算で優先すべき投資は、派手な新製品だけではありません。第一に、IDとSaaS権限の棚卸しです。管理者権限、OAuth連携、外部共有、退職者・委託先アカウントを継続的に可視化します。第二に、バックアップと復旧訓練です。バックアップが存在するだけでなく、隔離され、削除されず、実際に戻せることを確認します。

第三に、ログ保持と検知の再設計です。エンドポイントだけでなく、IDプロバイダー、SaaS、クラウド、VPN、仮想化基盤、エッジ機器まで見ます。第四に、AI利用ルールとAIエージェントの権限管理です。社員の生成AI利用を禁止で縛るより、扱ってよいデータ、接続してよいツール、監査すべき操作を明確にする方が実効性があります。

Claude Mythos Previewが示したのは、未来の超兵器というより、脆弱性発見と攻撃手順の自動化が防御側の処理能力を上回り始めた現実です。日本企業が備えるべきなのは、恐怖によるAI停止ではなく、AI速度に合わせた経営、ID、SaaS、復旧、ログの再設計です。「止めないIT」を守るためにも、必要な時に止め、確実に戻せるITへ移ることが、次の防衛常識になります。

参考資料:

• Anthropic’s coordinated vulnerability disclosure dashboard
• Our evaluation of Claude Mythos Preview’s cyber capabilities | AISI Work
• Anthropic’s Mythos moment: How frontier AI is redefining cybersecurity | World Economic Forum
• Beyond Autonomous Attacks: The Reality of AI-Enabled Cyber Threats | CSIS
• M-Trends 2026: Data, Insights, and Strategies From the Frontlines | Google Cloud Blog
• 2026 CrowdStrike Global Threat Report: AI Accelerates Adversaries and Reshapes the Attack Surface
• Vulnerability exploitation top breach entry point, 2026 industry-wide DBIR finds | Verizon
• Microsoft Digital Defense Report 2025
• 情報セキュリティ10大脅威 2026 | IPA
• 情報セキュリティ白書2025 | IPA
• サイバーセキュリティ経営ガイドラインと支援ツール | 経済産業省
• NIST Releases Version 2.0 of Landmark Cybersecurity Framework
• OWASP GenAI Security Project Releases Top 10 Risks and Mitigations for Agentic AI Security