「バイブコーダーの増加はサイバー攻撃者にとって養分でしかない」 その理由とは:一般企業に迫るサプライチェーン攻撃の恐怖(1/3 ページ)
Claude Mythosが象徴的に示すように、AIモデルのサイバー攻撃能力が急速に向上している。その能力を生かして攻撃者が一般企業を侵害する際、便利な攻撃経路の一つとなるのがバイブコーディングで開発されたソフトウェアだ。その脅威を解説した専門家による講演の内容をレポートする。
一般企業の間でバイブコーディングが広がっている。AIを使うことで、開発経験の乏しい一般社員でもアプリケーションを開発できるのは非常に便利だ。しかしこれがAIを使ったソフトウェアサプライチェーン攻撃の格好の標的となる。AIによるコーディングがAIによるサイバー攻撃に狙われるという構図だ。
東京大学先端科学技術研究センターの客員研究員で工学部の非常勤講師、また多摩大学大学院の特任教授を務める西尾素巳氏は、2026年5月12日に行った講演で、AIによるサイバー攻撃の急速な進化と一般企業を巻き込むソフトウェアサプライチェーン攻撃の脅威について警鐘を鳴らした。
セキュリティパッチの解析でAIが脆弱性を容易に発見
「Claude Mythos Preview」のサイバー攻撃能力が衝撃を与えている。10代前半からホワイトハッカーとして200以上の脆弱(ぜいじゃく)性を報告してきた西尾氏を含め、世界中のバグハンターが27年間見つけられなかったOpenBSDの脆弱性を、この先端AIモデルは数時間で発見した。
Mythos Previewは人間では探し切れないような複雑な脆弱性を一瞬で発見し、攻撃できる。単一のクリティカルな脆弱性を突くだけにとどまらない。複数の比較的軽微な脆弱性を組み合わせて、システムを攻略する。一流のハッカーがやっていることが素人にもできてしまう。
西尾氏は、「脆弱性探索」「アタックサーフェス(攻撃面)探索」「アタックパス(攻撃経路)探索」に分けて、AIによるサイバー攻撃の変化を説明する。
単体ソフトウェアの脆弱性探索では、24時間365日稼働し、人間には発見が難しい複雑な脆弱性を瞬時に見つけ出す。アタックサーフェスの探索では、見つけた脆弱性を悪用し、システム内部へ侵入するためのルートを特定する。これを人間よりも高速かつ綿密に実行できる。
西尾氏が特に重要だと指摘するのはAIによるアタックパス探索の進化。アタックパスとは、システム侵入後に権限昇格や横展開を行って重要情報を格納するサーバに到達し、認証・認可を突破するなど、目的を達成するまでの手順やルートのこと。AIによりこの探索を自動で行えるようになった。
「この3つを通じて非常に怖いのは爆速だということ」(西尾氏、以下同)
人間がサイバー攻撃を行う場合、脆弱性の発見に1〜数カ月かかる。次にその脆弱性を持つソフトを採用している組織を見つけ、侵入するまでに約1カ月かかる。さらに侵入して、資産を窃取するまでには、3週間程度の潜伏期間が必要だ。
Copyright © ITmedia, Inc. All Rights Reserved.