AIがシステムの弱点を暴き、AIが攻撃する時代へ 自治体サイバー防衛の「新・生存戦略」(1/3 ページ)
著者プロフィール:川口弘行(かわぐち・ひろゆき)
川口弘行合同会社代表社員。芝浦工業大学大学院博士(後期)課程修了。博士(工学)。2009年高知県CIO補佐官に着任して以来、省庁、地方自治体のデジタル化に関わる。
2016年、佐賀県情報企画監として在任中に開発したファイル無害化システム「サニタイザー」が全国の自治体に採用され、任期満了後に事業化、約700団体で使用されている。
2023年、公共機関の調達事務を生成型AIで支援するサービス「プロキュアテック」を開始。公共機関の調達事務をデジタル、アナログの両輪でサポートしている。
現在は、全国のいくつかの自治体のCIO補佐官、アドバイザーとして活動中。総務省地域情報化アドバイザー。公式Webサイト:川口弘行合同会社、公式X:@kawaguchi_com
こんにちは。「全国の自治体が抱える潜在的な課題を解決すべく、職員が自ら動けるような環境をデジタル技術で整備していく」ことを目指している川口弘行です。
いきなりお恥ずかしい話ですが、筆者が個人で契約していて、数年間放ったらかしだったレンタルサーバ(VPS)がランサムウェアの被害を受けてしまいました。
レンタルサーバ会社からサーバ管理ソフトウェア(cPanel)の脆弱(ぜいじゃく)性に関する注意喚起メールが届いたのが午後9時でしたが、その日の昼過ぎにはすでに不正アクセス(CVE-2026-41940)を受けていたようです。つまり「脆弱性報告は間に合わなかった」ということです。
このサーバは、筆者個人が趣味で開発していたフリーソフトウェアのオンラインドキュメントを掲載していたWebサーバでした。HTTPのポートしか開けていないので大丈夫だと思っていたのですが、事業者が運用していて、利用者が直接管理できないサーバ管理ソフトウェアの脆弱性を突かれてしまっては、筆者もどうすることもできません。
もともと放ったらかしにしていたこともあり、フリーソフトウェアのサポートも不要だと判断したので、結局このレンタルサーバは解約することにしました。
もしこれが業務で使用しているサーバだった場合、運営会社からの脆弱性に関する注意喚起や通知が間に合わない事態も想定しておく必要があります。
筆者自身の苦い経験から、自治体はどのような教訓を得られるのでしょうか。今回は、サイバー攻撃の現況と自治体の生存戦略を考えていきます。
AIが見つけ始めた「人間が見逃していた脆弱性」
生成AIの進化により、これまで発見が難しかったソフトウェアの脆弱性が次々と見つかるようになっています。
米Anthropic社が発表したClaude Mythos(以下、Mythos)というシステムが、従来の手法では発見が難しかった既存ソフトウェアの脆弱性を大量に洗い出し、大きな注目を集めました。
Mythosは大量のソースコードを短時間で解析し、これまで専門家でも発見できなかった細かな問題や抜け漏れを次々と見つけています。
例えば、Copy Fail(CVE-2026-31431)やDirty Fragといった脆弱性は、Linuxサーバの管理者権限を不正取得できてしまう深刻なもので、迅速な対応が求められています。Copy Failの脆弱性は約9年間も気付かれないまま放置されていました。
報道によれば、AnthropicはMythosについて、サイバー攻撃能力が高過ぎるとして「一般公開する予定はない」と明言しています。15カ国以上、約150の企業や組織に提供すると発表しており、その中には日本の政府や一部金融機関も含まれているそうです。
誤解のないように補足しますが、Mythosだけが特別に優れたシステムというわけではありません。確かにMythosは脆弱性発見のための近道ですので、一部の国会議員の中から「国防の観点からいち早く利用可能な環境を整えるべき」とAnthropicとの交渉を促す意見が出たことも理解できます。
しかし、多少の時間をかけてでも既存のAIを使って同じように脆弱性を発見することも可能ですし、Mythosが発見できない脆弱性も存在すると考えられます。
世界中でさまざまなソフトウェアが開発・改修され、その状況は絶えず変化しています。そのため、ソフトウェアの脆弱性をゼロにすることは現実的には難しいでしょう。
何よりも脆弱性の発見に比べて、元のソフトウェアの機能を維持したまま、その脆弱性を解消(修正)する難易度が高いので、脅威が顕在化しているにもかかわらず修正が追い付かないソフトウェアは増え続ける可能性があります。
「セキュリティは弱いところから破られる」という原則を考えると、政府や大企業が先行して脆弱性対策を進めたとしても、サプライチェーン(関係先)の中にいる中小事業者や中小規模自治体の対策が間に合っていなければ、全体としての脅威は解消されていないのです。
関連記事
自治体DXを阻む「三層分離」の壁 国主導のゼロトラスト移行に、現場が抱く“決定的な違和感”
セキュリティ強化を目的に導入された「三層分離」。しかし今、自治体の現場では業務効率の低下やクラウド活用の制約といった新たな課題が浮き彫りになっている。CIO補佐官として全国の自治体を支援する筆者が、三層分離の実態と見直しの論点を整理する。
NEC、富士通に先手!? 日立が「Claude Mythos」アクセス権を取得した背景
日立製作所が、Anthropicの先進AI「Claude Mythos」のアクセス権を取得した。Anthropicを巡っては、NECや富士通も協業を発表している。
米Anthropicが封印した「ミトス」の衝撃 なぜ、AI対AIの時代が来るのか
米Anthropicは、最新AIモデル「Claude Mythos(クロード・ミトス)」を発表したものの、一般公開を見送った。ミトスはかなりの速度で脆弱性を見つけ、自律的に判断できることから、サイバーセキュリティを根本から変える可能性がある。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR注目記事ランキング
アイティメディアからのお知らせ
ITmediaはアイティメディア株式会社の登録商標です。