攻撃者の“AI武装”が本格化 2026年に迫る見えない脅威とは？

アクロニス・ジャパンは、2026年のサイバーセキュリティ動向に関する最新予測を発表した。2025年は人間起点の初期侵入の増加が大きな話題を呼んだが、2026年は“見えない脅威”が主役になるという。企業が今、最も警戒すべき変化とは何か。

[田渕聖人，ITmedia]

　Acronisの日本法人であるアクロニス・ジャパンは2025年12月9日、2026年のサイバーセキュリティ動向に関する最新予測を発表した。同社の脅威調査機関である「Acronis Threat Research Unit」（TRU）がまとめたこの予測では、生成AIやエージェント型AIの急速な普及に伴い、攻撃者側もこの技術を悪用し始めた結果、「AI時代の攻防」が本格化するという。

アクロニス・ジャパンの杉山吉寿氏（TRU脅威リサーチユニット ソリューションアーキテクト）（筆者撮影）

　アクロニス・ジャパンの杉山吉寿氏は「スピードや質が向上した攻撃がひっそりと進行している。これは単なる脅しではなく、確実に今起きている事実だ」と述べ、日本の企業に対し、具体的な対策の必要性を訴えた。

2025年は“人間起点の初期侵入”が大きな話題に

　まずは2025年の脅威を振り返ろう。TRUは攻撃の中にAI活用の「証拠」を明確に確認しているという。

　2025年に顕在化したのが、人間起点の初期侵入の増加だ。具体的には「ClickFix」と呼ばれる手口で、偽のエラーメッセージなどを表示させ、ユーザー自身にPowerShellなどのスクリプトを実行させ、インフォスティーラー（情報窃取マルウェア）を仕込むといった手法が横行している。また、ディープフェイクを悪用した求職者へのなりすましなど、人の判断ミスをAIで促進させる攻撃も増加の一途をたどっている。

　日本固有の傾向としては、正規のツールやワークフローを悪用する環境寄生型（Living off the land：LoTL）の増加が挙がる。盗まれた認証情報やリモート監視・管理（RMM）ツールの悪用が初期アクセスの定番となりつつある。特に医療や製造業といったAI・IoTの導入が進む業界では、従業員が日常的に利用する正規ツールが悪用されている。ログ上では正常な振る舞いに見えるため、従来の検知手法では可視化が追い付いていないという。

　杉山氏は、さらに地政学的な動向として、中国国家の支援を受けた攻撃グループが通信インフラに長期侵入し、通話記録やメタデータを傍受するといった大規模攻撃の事例を挙げ、これらの攻撃戦術（TTP）が他国にも拡大する可能性は高いと指摘した。

2026年の主要予測：AI自動攻撃と「戦場の移動」

　TRUは2026年のトレンドとして、特に以下の3つの要素が防御の難易度を劇的に引き上げると予測する。

1．AIによって「変装」するマルウェアが登場

　これまで人間の手で実行されていた初期アクセスや権限昇格、ラテラルムーブメント、データ窃取といった攻撃プロセスが、エージェント型AIによって数分から数秒で連鎖的に実行されるようになる。

• ランタイム変異（Runtime Mutation）：　AIを搭載したマルウェアは、攻撃のたびに実行経路や回避ロジックを即時に切り替え、「変装」する。この動きは従来のシグネチャベースや単純な振る舞い検知ルールを使ったアンチウイルスやEDR（Endpoint Detection and Response）による検知を困難にする。
• クライム・アズ・ア・サービス（CaaS）の増加：　ランサムウェアグループや犯罪ブローカーがAIを活用した攻撃ツールといった犯罪インフラをサービスとして提供することで、高い技術力を持たない犯罪者も大規模な攻撃に参加できるようになる。

　杉山氏は、AIを搭載したマルウェアの具体的なモデルとして、大規模言語モデル（LLM）を内包し単体で悪さをする「BYOAI（Bring Your Own AI）」モデルと、LLMをクラウド側に置き、マルウェアがAPIクライアントとして動作し、AIに難読化コードや検知回避テクニックをリアルタイムで問い合わせて実行する「Prompt Flux」モデルがあることに触れ、後者については既に現実世界でも確認され始めていると警鐘を鳴らした。

Prompt Fluxモデルのイメージ（出典：アクロニス・ジャパン発表資料）

2．隠し命令で誤作動を誘発　AIモデルそのものが攻撃対象に

　AIモデルそのものを狙った攻撃のリスクはこれまでも指摘されてきたが、多くの企業に生成AIが普及したことで、この攻撃が本格的な実行段階のフェーズに入ったとみられている。

• プロンプトインジェクションの拡大：　企業が利用する要約AIやブラウザAI、チャットbotに対し、攻撃者が広告や電子メール本文、HTML属性などに人間には見えない隠し命令（白文字の小さなフォントで偽のサポート番号を表示させる命令など）を埋め込み、AIに誤った回答や不正なアクションを誘発させる。ユーザーはAIの回答を信用してしまうため、データ窃盗や不正な相互作用につながる。
• 学習データの汚染（ポイズニング）：　LLMの学習データやナレッジベースを汚染することで、AIの判断そのものをゆがませる攻撃も予測されている。

　この他、AIのガードレール機能を回避し、悪意のある回答（攻撃手法の解説など）を引き出す「ジェイルブレーク」も複数確認されており、「生成AIそのものの安全設計を各社が急いで見直しているフェーズにある」と杉山氏は述べた。

ガードレールを回避するジェイルブレークの一例（出典：アクロニス・ジャパン発表資料）

3．サイバー戦場の移動：エッジと仮想化基盤

　サイバー攻撃の主要な戦場は端末やサーバ内部だけでなく、エッジ機器や仮想化基盤そのものへと移ると予測される。

　ルーターや産業用ゲートウェイ、IoT機器といったエッジ機器やファームウェア層のUEFIなどに小型コードを埋め込み、普段は沈黙させ、あるきっかけで一斉に起動させ悪事を働く手法が大規模キャンペーンとして増加するとみられる。これはOSよりも深いレイヤーでの行動となるため、従来のEDRでは検知が極めて難しくなる。

　こうした状況を踏まえ、医療や製造、金融の3業界は、人命・安全や金銭が関わるため、特に攻撃者から標的とされやすい業界であるとTRUは分析している。

今、企業が優先すべき4つの対策

　杉山氏はこのような進化する脅威に対し、日本企業が優先度を高くして取り組むべき4つの対策を提示した。

1. AIの利用状況の可視化：　現在、多くの企業で「どのようなAIツールが、どのデータに、どこまでアクセスしているか」を把握できていない。プロキシーやCASB（Cloud Access Security Broker）、SAML認証ログなどを活用し、シャドーAIの利用状況を棚卸しすることが第一歩となる
2. AIガバナンスの構築：　単にAIツールの利用を禁止するのではなく、ビジネスを積極的に推進するために「どのようなAIを活用し、どのようなルールで運用していくか」というガバナンスフレームワークを明確に策定する必要がある
3. 行動検知の仕組み導入：　AIそのものの検知は難しいため、「AIを使っているID」や「データアクセス」の異常を検知する仕組みに重点を置くべきだ。短時間での大量のデータ読み込みなど、ID単位の不審な行動を追うことが重要となる
4. 高度なリカバリー戦略：　単なるAIシステムのバックアップ・リカバリーでは不十分であり、「どのリカバリーポイントまで戻せば、AIシステムが汚染されていないか」を可視化した状態での復旧が必要となる。汚染されたモデルを丸ごと戻してしまう事態を避けるため、一つ上のレベルでのバックアップとリカバリー計画が求められる

　杉山氏は、攻撃がAIとCaaSによって分単位から秒単位へとスピードアップしていることを指摘し、「自社だけでなく、サプライチェーン全体での共同インシデント対応計画を策定すべきだ」と強調した。アクロニスはTRUを通じて、事業継続に不可欠なバックアップとリカバリーを強みとして、来るAI時代のサイバー攻撃への対抗策のヒントを提供する方針だ。