企業が見直すべき「脅威像」〜国家ハッカーが“あえてAIに全てを任せない”理由〜:AIとサイバー攻防のダイナミクス
AIによるサイバー攻撃は珍しい話ではなくなっていますが、攻撃者が一様にAIを悪用しているとも限りません。むしろ、国家支援型とサイバー犯罪者ではAIとの付き合い方が正反対になっていく可能性があります。その違いは一体どこから生まれ、日本企業が見直すべき脅威像にどんな変化をもたらすのでしょうか。
この連載について
本連載「AIとサイバー攻防のダイナミクス」では、AIとサイバーセキュリティの構造変化を読み解くためのフレームワークを提示し、攻撃事例や防御の実践を交えながら、「AIをどこに導入すると効果的か」「どこまでAIに任せるべきか」「逆に人間の判断が不可欠な領域はどこか」を明らかにしていきます。
前回、AIとサイバーセキュリティの関係を読み解くための地図として、4象限フレームワーク、「using AI」と「by AI」の区別、そして4つの将来シナリオを提示しました。
今回からは、この地図の上で具体的な事象を検討していきます。最初に取り上げるのは、4象限の左上、すなわち「AI for Cyber × 攻撃」の領域です。
ここで重要なのは「攻撃者がAIに置き換わるかどうか」という問いではありません。むしろ攻撃の準備や初期侵入、横展開、情報窃取といったプロセスのどこにAIが入り込み、どこから自律性が高まりつつあるのか──そして、そのAI関与の深さが全ての脅威アクターで一様に進むのかどうかという点です。
AIを悪用した攻撃は“もはや当たり前” 問題はどこで使われるか
まず押さえておきたいのは、AIの活用が攻撃の一部工程にとどまらず、ほぼ全工程に広がっているという事実です。PwCが2026年3月に公表したグローバル脅威分析レポート「Annual Threat Dynamics 2026」では、2026年以降の見通しに関する将来懸念事項の中で、最も多かったのはAIによる脅威であったと報告されています。2025年は脅威アクターによる生成AIの悪用が広範化した年であり、もはやAIは攻撃の補助ツールではなく、攻撃手段の中核要素として位置付けられつつあります。
同レポートで指摘されているもう一つの重要な変化は、AI企業による新機能のリリースから脅威アクターによる悪用・武器化までの時間軸の短縮です。新たな生成AI機能が公開されてから攻撃キャンペーンへの組み込みが観測されるまでのタイムラグは、2025年を通じて劇的に短縮しており、この傾向は2026年も加速すると評価されています。
AIのセキュリティ利用が最も成熟している領域は、偵察やリソース開発、フィッシング、初期アクセスといった攻撃前段の準備工程です。標的の公開情報の大規模収集、ターゲットごとに最適化された多言語フィッシング文面の生成、なりすまし用のディープフェイク作成、対象組織のITスタックや業務プロセスの推定──これらはAI活用の主戦場となっています。
Anthropicが2026年6月に公表したレポート「Mapping AI-enabled cyber threats: Insights from the LLM ATT&CK Navigator」では、悪意ある活動として観測・分析された832アカウントのうち約8割が防御回避目的で、約7割がマルウェア・攻撃ツール開発でAIを利用していたことが報告されています。
一方、侵入後の権限昇格、横展開、インパクトといった工程におけるAI活用は、同レポートでも権限昇格2.4%、横展開0.7%、インパクト2.8%と、事前準備段階に比べて大きく下がります。ネットワーク内に一度侵入すれば、攻撃者は依然として自らの判断と裁量で動くケースが多いことを示しています。
ただし同レポートでは、後段工程でAIを使う少数派のアクターが、AI悪用者全体の平均と比べて明確に高い脅威スコアを記録していると指摘しています。後段工程までAIを使いこなせるアクターこそ、最も警戒すべき層になりつつあると言えます。
「using AI」から「by AI」へ──エージェント型攻撃の実現性
ここで、第1回で導入した「using AI」と「by AI」の区別を改めて適用すると、現状の攻撃側のAI活用は、依然として大半が「using AI」、すなわち人間が主導権を握りAIを支援ツールとして使う段階にあります。攻撃者は標的選定や作戦目的、実行判断といった重要な意思決定を手元に残しており、AIはそれを高速化・大規模化する手段として位置付けられています。
しかし、その境界線は揺らぎ始めています。2025年は人間による最小限の指示で、AIエージェントが攻撃の複数工程を自律的に実行する事例が、一部実運用で確認され始めました。国家を背景に持つとされる脅威アクターは、2025年後半に商用のAIエージェントを作戦に組み込み、世界中の組織を標的としたキャンペーンを展開しました。
Anthropicの分析によれば、このキャンペーンの戦術的活動、具体的には偵察や脆弱(ぜいじゃく)性探索、認証情報収集、データ分析などの8〜9割がAIによって駆動され、人間の介在なしに、事前に設定されたガードレールの範囲内で実行されたとされています。
AIエージェントの実現性については、英国のAI Security Institute(AISI)などが継続的に評価を公表しています。最新のフロンティアAIモデルが、模擬企業環境を対象とした多段階のサイバータスクを、徐々に長い時間軸で完遂できるようになりつつあることが報告されています。
とはいえ、評価は管理された環境下でのものであり、本番環境で同じ信頼性が出るかどうかは別問題です。ハルシネーションによる誤判断、未対応エラー時の停滞、目標の取り違えといった限界も同時に指摘されており、完全に自律的な攻撃エージェントが大規模に展開される段階には、まだ達していないというのが現時点での共通認識です。
つまり、現在の攻撃側は「using AIが主流、by AIは実証段階」というのが実態に近いと言えます。重要なのは、この境界線が今後どう動くかです。そしてここで決定的に効いてくるのが、次に見る「脅威アクターごとの温度差」です。
脅威アクターごとに「AI関与の温度差」は異なる そのワケとは
ここまで、攻撃ライフサイクル全体でAIの浸透が進み、人間主導の「using AI」から自律的な「by AI」に移行する地ならしが整いつつあることを見てきました。しかし、全ての脅威アクターが、同じ速度や深さでこの方向に進んでいるわけではありません。脅威アクターの種別ごとに、AI関与の深さと今後の展望には温度差があります。そして興味深いのは、同じAI能力を前にしても、アクターごとの経済的合理性に基づく判断が、しばしば逆方向に向かう構造が存在することです。
主要な脅威アクターそれぞれの現在地と今後の方向性は以下のように推定されます。
国家支援型脅威アクターはなぜ「能力があるのに自律化を急がない」のか?
国家支援型の脅威アクターは、潤沢なリソースと高度な技術力を持ち、AIエージェントの実証事例も観測されています。先ほどのAIエージェントによる大規模な攻撃キャンペーンも、その代表例であり、「by AI」化の最先端事例として注目を集めました。
ただし、こうした実証事例が観測されているからといって、国家支援型のアクターが今後一斉にAIエージェントを使った攻撃に全面移行するとは限りません。むしろ著者は、彼らには「補助的AI使用+人間オペレーション主導」というポジションにとどまる強い経済的合理性が構造的に存在する、と考えています。観測される事例の数や深さよりも、なぜ全面移行しないのかという構造的な理由の方が、今後の動向を読む上で重要です。その理由は、2つあります。
リスク1:過剰行動
AIエージェントは、与えられた目標に対して機械的に合理的な行動を取ります。しかし、目標達成のために最適化された行動は、政治的・地政学的文脈を理解した上での「適切な行動」とは限りません。想定外の標的への波及、必要以上の痕跡消去、エスカレーション制御の喪失といった「やりすぎ」が起きた場合、国家支援型の作戦には深刻な代償が伴います。
彼らの攻撃は技術的成果だけでなく、政治的メッセージングの側面を持つことが多く、意図したシグナルを超えた被害は外交問題や武力衝突を誘発するリスクに直結するからです。標的選定や実行判断、停止判断といった重要な意思決定は、人間に残し続ける誘因が極めて強い領域です。
リスク2:帰属の二面性
もう一つは、AI活用がもたらす「帰属」への両義的な影響です。AIは、攻撃の帰属を困難にする方向にも、容易にする方向にも作用し得るというジレンマがあります。
困難化に関しては、複数の脅威アクターが同じ商用AIモデル、同じジェイルブレーク版、同じプロンプトテンプレートを使えば、生成される成果物は均質化します。コーディングスタイルやコマンド選好、運用時間帯、言語的な特徴といった、従来のTTP分析が頼ってきた「アクターごとの癖」が希釈され、関与の否認可能性が強化されます。
一方で、露呈の方向にも作用します。AIエージェントは性質上、外部のAIサービスと通信しなければ機能しません。その通信過程で、認証情報やAPIキー、プロンプトログ、AIサービスプロバイダー側のテレメトリーといった副次的な証跡が蓄積されていきます。前述の国家支援型脅威アクターによるAIエージェント悪用事例も、被害組織側のセキュリティ製品ではなく、AIプラットフォーマー側の観測・分析によって公表に至ったものです。従来の脅威インテリジェンスでは捕捉が困難だった作戦が、AIプラットフォーマー側から暴露される事態が現実に起き始めています。
ここに国家支援型のジレンマがあります。帰属困難化のメリットを取りに行くためにAI関与を深めれば深めるほど、AIプラットフォーマー側に蓄積されるテレメトリーが増え、プラットフォーマー主導の暴露リスクが増加します。両リスクを最小化するためには、AIを「準備の加速」「分析の高度化」に使用する一方で、「実行判断の自律化」には慎重にならざるを得ません。観測される実証事例・脅威アクターがまだ少数である一因として、国家支援型における「能力があるのに自律化を急がない」温度感の背景には、こうした構造的な合理性が働いていると著者は考えます。
サイバー犯罪 制約が薄い側の急加速
これに対し、サイバー犯罪アクターを取り巻く制約は大きく異なります。過剰行動の許容度は高く、被害拡大はむしろ利益拡大に直結します。帰属コストも低く、既に犯罪者として認知されている彼らにとって、追加的な政治的代償はありません。AIベンダーによる暴露の影響も、個別キャンペーンの損失で済むことが多く、戦略的なダメージにはなりにくい性質を持ちます。
結果として、サイバー犯罪領域では「by AI」化を急ぐ動機が極めて強く働きます。Annual Threat Dynamics 2026によれば、「WormGPT」「SpamGPT」「FraudGPT」といったガードレール解除型のAIツールが金銭目的アクターに急速に採用され、多言語・地域・プラットフォーム横断で言語的に自然なフィッシング文面が量産されるようになっています。ディープフェイク技術の成熟により、音声・映像のなりすましも従来比で大幅に低コスト化しています。ランサムウェア領域では、有力なRaaS(Ransomware-as-a-Service)グループが、盗難データの分析・優先度付け・恐喝シナリオ生成にAIを組み込んだサービスをアフィリエイトに提供する動きまで観測されています。
こうしたAIによる能力底上げは、犯罪エコシステム全体の規模拡大とも整合しています。同レポートでPwCが集計したリーク被害組織数は、2024年の4827件から2025年の7635件へと58%増加し、アクティブなランサムウェアアクター数も92から135へと増加しました。法執行機関による既存グループの分断や利益機会の拡大なども影響していますが、AIによる参入障壁の低下もこの拡大を後押しする主要因です。複数の脅威インテリジェンス機関の分析でも、ミッドティアの脅威アクターが、偵察・フィッシング・初期アクセスといった攻撃の初期段階において、国家支援型に迫る能力を獲得しつつあるとされています。
なお、ハクティビストは依然としてAI関与が低位にとどまっています。彼らの動機が示威・影響であり、複雑な技術的オーケストレーションを必要としないためです。ただし、ディープフェイクやLLM(大規模言語モデル)を使った情報操作・世論誘導の領域では、活用余地が広がりつつあります。
日本企業への示唆 脅威プロファイルの更新が必要
この温度差が日本企業にもたらす実務的な示唆は、決して抽象的な話ではありません。これまで多くの組織が、リスク評価において「高度な攻撃は国家支援型や高位の犯罪組織が中心であり、自社のような中堅組織は能力面で標的化されにくい」という前提を置いてきました。しかし、AI活用によって低〜中位の犯罪アクターが高度な能力を容易に獲得しつつある現状では、この前提自体を見直す必要があります。
加えて、これまで日本企業にとって一定の防御効果を持ってきた「言語の壁」も急速に低下しています。LLMによって、文法的にほぼ自然で、業界用語や社内文脈にまで踏み込んだ日本語のフィッシング・ルアーが、低コストで大量生成可能となっているからです。「能力不足で当面は後回し」と評価していたアクターが、ある日突然、自社の射程に入ってくる──そうした事態を想定したリスク評価への転換が求められます。
そして攻撃側のこの温度差は、防御側の在り方にも跳ね返ります。
防御側への示唆 非対称性が突きつけるガバナンス課題
攻撃側の温度差は、防御側に2つの非対称性を突きつけます。
1つ目は、サイバー犯罪領域における「by AI」化の急加速に対し、防御側の多くの組織が依然として「using AI」段階にとどまっているという非対称性です。第1回でも触れたように、SOC(Security Operation Center)などの現場でAIに自律的な行動を許可している組織は限定的であり、多くの組織がガバナンスや説明責任、誤検知時の業務影響への懸念から、AIに「任せる」段階に踏み切れていません。攻撃側がガバナンスの制約を受けずに速度を上げていく一方で、防御側が慎重さの中でボトルネック化していけば、両者の間の速度差はさらに開いていきます。
2つ目、攻撃側の中での非対称性、つまり国家支援型がHITL(Human In The Loop)を維持し、犯罪系が急加速するという構造が、防御側の優先順位設定を難しくしている点です。従来の脅威モデルでは、高度な攻撃手法は国家支援型を想定し、犯罪系には別の対策を当てるという区分が機能していました。しかし、AI活用によって犯罪系の攻撃能力が国家系に接近していく中では、この区分そのものを見直す必要が出てきます。
これらの課題に対し、防御側はどう向き合えばよいのか。AIをどの業務に、どの深さで導入するべきか。逆にどの業務には人間の判断を残し続けるべきでしょうか。次回からは視点を防御側に転じ、サイバーセキュリティ業務をAIとの親和性に基づいて分類したうえで、各領域の現状と課題を順次検討していきます。
本連載が追跡する4つのシナリオへの寄与
第2回で見た攻撃側のAI関与の深化、特にミッドティア犯罪へのAI能力拡散は、第1回で指摘した「シナリオB(攻撃者優位)への圧力」を裏付ける材料となります。一方で、国家支援型が経済合理性に基づきHITLを意図的に維持する構造は、全面的なAI軍拡競争(シナリオA)への加速を、むしろ抑制する要素として作用し得る点も見えてきました。攻撃側のAI化は、全ての領域で一律に進むわけではない。この仮説を前提に、現在地を「Aの入口でBへの圧力が強まる過渡期、ただし国家系の自制が一定の歯止めになり得る」と更新します。
次回は防御側に視点を転じ、サイバー業務をAIとの親和性に基づき分類し、各領域の現状と展望を検討します。
筆者紹介:村上純一(むらかみ・じゅんいち)
PwCコンサルティング合同会社 パートナー
国内大手セキュリティベンダーでマルウェアの収集・分析などに関する研究開発、脅威分析、脆弱性診断、トレーニングなどの業務に従事。その後、国産セキュリティベンダーに参画し、執行役員として基礎技術開発、製品開発、各種セキュリティサービス提供、事業経営などに携わり株式上場を経験。また、サイバーセキュリティ領域における各種外部委員活動の他、Black Hat、PacSec、AVARなどの国際会議での研究発表も手掛けている。グローバルレベルでのサイバー攻撃の手法や主体など脅威動向の把握から企業対応までを専門分野にしている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
「人間がボトルネック」になる日は近い? AI時代のサイバー攻防を読み解く4シナリオ
AIが脅威なのではない。AIに何を任せ、どこまで判断を委ねるのか――その選択がサイバー攻防の優劣を左右する時代が始まった。攻撃者と防御者は今、どちらが先に「AIを使う段階」から「AIに任せる段階」へ進むのか。その現在地と未来図を読み解く。
「ランサムウェア」侵入手順を徹底解説 もう知ったかぶりからは卒業しよう
“ランサムウェア”と聞くと、ある日突然データが暗号化されると思いがちだ。しかし攻撃者は、そのはるか前から静かに侵入し、社内を調査し、重要データを探し出している。泥棒の犯行になぞらえながら、ランサムウェア攻撃の全体像を分かりやすく解説しよう。
KDDIの最大1422万件の情報漏えい事件 その裏には陸自USB問題と同様に中国の影?
KDDIで発生した最大1422万件に及ぶ情報漏えい。その背後には、単なる脆弱性悪用では片付けられない攻撃者の狙いが見え隠れしている。ダークWebやOSINT(公開情報調査)から事件を追跡し、流出データの行方や政府系サイバー攻撃との接点、今後想定されるリスクを専門家とともに解説する。
悪用成功率99%、Linuxカーネルに新ゼロデイ「Bad Epoll」が見つかる
成功率は約99%。Linuxカーネルで見つかった新たな権限昇格の脆弱性は、極めて短い競合タイミングにもかかわらず、高い確率でroot権限を奪えることが実証された。さらに、この脆弱性はAndroidにも影響する可能性があるという。
パスキー神話崩壊 Google Password Managerの同期機能を狙う新攻撃手法
パスワードに代わる認証手段として普及が進むパスキー。しかし、研究者が公表した新たな攻撃手法は、その安全性を支える“別の仕組み”に着目していた。暗号技術そのものを破らず、Google Password Manager利用者の認証情報に到達する手法とは。



