AIで高度化するサイバー攻撃にどう立ち向かう？ 各種レポートに見る脅威の現在地とセキュリティの基本：半径300メートルのIT

ボイスフィッシングの増加や「Claude Mythos」の登場など、生成AIを悪用したサイバー脅威が急速に現実味を帯びています。2026年上半期に公開された注目のセキュリティレポートをひも解き、IT部門が知っておくべきAI利用のリスクと、AIを安全に業務のパートナーとして活用するためのポイントを解説します。

[宮田健，ITmedia]

　Google Cloudは、2026年3月24日（現地時間）、Mandiantが2025年に実施したインシデント調査に基づいたレポート「M-Trends 2026」を公開しました。この中で、脅威のトレンドとして下図のポイントが挙がっています。GoogleのAIを含む最新の脅威動向を解説する報道関係者向け説明会資料によると、日本はサイバー脅威のリスクが高い国として、世界の第6位にランクインしています。

「M-Trends 2026」4つの脅威のトレンド（出典：Google Cloud のAIを含む最新の脅威動向に関する記者説明会）

　企業へのサイバー侵害の初期侵入ベクトルは引き続きエクスプロイトが1位でした。メールによるフィッシングは下落傾向にありますが、ボイスフィッシング（ヴィッシング）が増加傾向にあることが指摘されました。この傾向を体感できている組織もあるかもしれません。迷惑メールが減った、対策ができたと感じていても、それは単に攻撃が変化しただけであり、リスクは別のところにある、と考えた方がいいのかもしれません。

「M-Trends 2026」サイバー侵害の初期ベクトルは（出典：Google Cloud のAIを含む最新の脅威動向に関する記者説明会）

　そして気になるのは「AIによる脆弱性悪用リスクの増加」でしょう。特に注目されているのは、Anthropicが開発した「Claude Mythos Preview」（クロード・ミュトス。以下、Claude Mythos）かもしれません。正直、私もこの騒動は完全に追いかけられていませんが、世間に対し「何かすごいAIが開発されて、セキュリティが破られる」という印象を植え付けているように思えます。それを踏まえ、われわれはどう対応すればよいのでしょうか。

AIはセキュリティをどう変えたのか

　まずは、AIがセキュリティの世界にどう入り込んでいるかをチェックしておきましょう。Googleは「M-Trends 2026」に関する記者発表で、AIは「Scale」「Speed」「Sophistication」を進化させた、と言及しています。

AIが変えたもの（出典：Google Cloud のAIを含む最新の脅威動向に関する記者説明会）

　つまり、AIはこれまでの攻撃を自動化することで、攻撃の規模、速度、高度化を進めています。ここは重要なポイントといえるでしょう。決してこれまでとは全く異なる軸の攻撃を作り出したわけではなく、あくまで攻撃のやり方が素早く、手広く、高度になったということです。これまでの対策を強化し、かつ、もれなく、対処も素早くしていくことが、私たちIT部門側のAI対策になり得るのです。

　それができれば苦労はしない、という話かもしれませんが、それでも対策は進めていかねばなりません。Google Threat Intelligence Groupのルーク・マクナマラ氏（副チーフアナリスト）は、「AIによる脆弱（ぜいじゃく）性発見のスピードが高速化していることに対抗するために、企業側が攻撃者よりも先に脆弱性を見つけ、即座にパッチを適用する体制を整える必要がある」と述べています。そして、開発段階からセキュリティコントロールを効かせ、そもそも脆弱性のないセキュアなコードを作成しリリースすることが根本的な対策となると指摘していました。

「AIセキュリティ」を俯瞰（ふかん）する

　AIのリスクは脆弱性だけではありません。急速に進むAI活用におけるリスクはサイバー攻撃だけでなく、情報漏えいリスクやIT統制にも関わってきます。

　この点に関して、議論の入口となり得る資料が公開されました。日本ネットワークセキュリティ協会（JNSA）CISO支援ワーキンググループは2026年5月に、「CISOがおさえておきたいAIセキュリティの基本」を公開しました。文字通り、CISOがAIを捉えるに当たり、現時点でのポイントをまとめたものです。上記のようなサイバー攻撃へのAI悪用だけでなく、広くAI利用のリスクが語られるものとなっています。

（出典：「CISOがおさえておきたいAIセキュリティの基本」）

　ここでは、主に「AI Safety／Responsible AI」、そして「Secure Use of AI」が語られています。AIにおける安全性、信頼性について、AIチャットBotを使うと何が共有され、何が守られるのかは、特にCISO（最高情報セキュリティ責任者）レベルであるとなかなかピンとこないはずです。この資料では、「AIは心配だ」という漠然とした状態から、より具体的にその「心配」を定義し、CISO視点でどのように対応する必要があるかを解説する資料です。多くの企業にとって（たとえCISOが独立した役割ではない企業にとっても）プラスになる資料となっています。むしろ、中小規模の企業こそ、この資料を読み解いてほしいと考えています。

　この資料の中では、Anthropicの「Claude Code」を安全に使うための「Claude Code Hardening Cheatsheet」にも触れられています。生成AIのハードニング（セキュリティ堅牢《けんろう》化）について触れられており、より具体的にAIリスクを考える際に参考になると思います。

AIを活用し、AIを正しく恐れよう

　セキュリティ対策というのはただ何かを恐れるのではなく、必要な情報を集めて、正しく恐れることが重要です。上記「CISOがおさえておきたいAIセキュリティの基本」では、Claude Mythosへの言及もあり、そのブレークスルーに関して解説しています。それだけでなく、それがClaude Mythosだけに当てはまるわけではないとも指摘しています。その上で、CISOが懸念すべきことに関する提言も記載されているので、ぜひ、チェックしていただきたいと思います。

　AIとセキュリティに関しては、負の側面ばかり着目されがちですが、プラスの部分もあるので、ぜひ活用いただきたいと思います。今回紹介した資料群にはかなり高度なことが書かれています。AIをパートナーとして技術的な部分を深掘りしたり、調査に活用したりして、それをレポートとしてまとめれば、上層部に報告する際に大きな力になるはずです。そうすれば、AIが攻撃の規模、速度、高度化を進めたように、あなたの行動にも良い影響をもたらすはずです。ぜひ、今日から始めてみてください。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。