Googleセキュリティ責任者が語る「サイバー脅威の未来」 完全自律型AIエージェントによる攻撃が現実味:「Google Cloud Next 2026」現地レポート
AIがサイバー攻撃の手口を激変させている。脆弱性悪用のスピードが数日単位に加速する中、侵入プロセスの大半をAIが担う「完全自律型AIエージェント攻撃」の本格化も間近だという。Googleのセキュリティトップが、脅威の現状と防御側の針路を語る。
AIがサイバー攻撃の手口を急速に変えつつある。脆弱(ぜいじゃく)性の悪用は数週間から数日へと縮まり、完全自律型のAIエージェントによる攻撃も近い将来に現実のものとなる――。
米国ラスベガスで2026年4月に開催された「Google Cloud Next '26」に合わせて、Google Cloudのサンドラ・ジョイス(Sandra Joyce)氏(Google Threat Intelligence担当バイスプレジデント)がインタビューに応じた。Google Threat Intelligenceは、MandiantやGoogle Threat Intelligence Group(GTIG)などの知見を基に、Google Security Operations(SecOps)とも連携しながら、世界規模のサイバー脅威を分析している。
ジョイス氏はAIを取り巻くサイバー脅威の現状、今後の見通しをどうみているのか。
AIがもたらす「規模、速度、高度化」の脅威
──AIがサイバー脅威に与えている影響を教えてください。
ジョイス氏: Scale(規模)、Speed(速度)、Sophistication(高度化)の3つで整理しています。
まず規模について言うと、「HexStrike MCP」というオープンソースツールが脅威アクターに使われ始めています。もともとはレッドチーム向けのツールで、150種類のAIツールを一元管理できるものですが、これにより、攻撃者は従来より少ない手間で、多数の攻撃作業を並行して進められるようになりました。こういったツールはこれからも増えていくでしょう。
速度については、中国系の脅威アクターが「Gemini」を悪用した事例が分かりやすいでしょう。そのアクターはネットワークに侵入中、Geminiに問い合わせをしたのですが、直接『侵入しているので次のステップを教えてほしい』とは書かなかった。『キャプチャー・ザ・フラグのゲームに参加していて、対戦相手を倒すための次のステップが知りたい』と偽って情報を引き出しました。
私たちはその後、攻撃目的を隠してAIから手順を引き出そうとする問い合わせを検知できるよう、分類器(判定システム)を更新した。が、今後こういった手口がいかに速度を上げるかということを考えなければなりません。
以前は侵入の各ステップで調査したり誰かに聞いたりと、数日から数週間かかっていたものが、AIに聞けばすぐに次のステップに進める。私たちのレポートでも、脆弱性の公開から大規模悪用までの期間が数週間から数日へと縮小したことが確認されています。「CVE-2025-55182」の公開からわずか48時間以内に暗号通貨マイナーが展開された事例も複数ありました。
高度化という点では、技術的なハードルが下がっています。脆弱性スキャンやコーディングが容易になり、以前は高いスキルが必要だったゼロデイの発見も、現実的な選択肢になりつつある。私たちも2025年、「Big Sleep」というモデルを使って社内の脆弱性スキャンをしました。その後、地下フォーラムの書き込みでオープンソースソフトウェアの「SQLite」に脆弱性が存在する可能性を把握し、同じモデルで調査したところ実際に脆弱性を確認できました。脅威アクターが悪用する前に修正を完了できたわけです。
現実味を帯びる「完全自律型AIエージェント」による攻撃
──完全自律型のAIエージェント攻撃は既に確認されていますか。また、今後の見通しは。
ジョイス氏: 完全自律型のAIエージェント攻撃や、大規模な脆弱性スキャンといったものは、まだそれほど多くは確認していません。ただ、兆候は出始めています。
ロシアの軍事情報機関が使うとされるマルウェアは、中国系のLLMに問い合わせながらリアルタイムで指令を生成します。そしてAnthropicで起きた事例も確認しています。2025年9月に検知された事例では、中国系の国家支援グループがAnthropicの「Claude Code」を悪用し、偵察からクレデンシャルの収集、横展開、データ窃取に至るまでの侵入プロセスの80〜90%をAIが自律的に実行しました。テック企業や金融機関、政府機関など約30の標的に対して実施された、史上初の大規模AI自律型サイバースパイキャンペーンです。人間のオペレーターが関与したのは「続けるか止めるか」といった戦略的な判断の場面だけでした。完全な自律型には至っていませんが、その方向への進化は続いています。
私たちが攻撃の本格化の兆候として注目しているのは、インシデントレスポンスチームへの依頼が急増するかどうかです。AIによる自動脆弱性スキャンが本格化すれば、これまで人間が数日から数週間かけて探していた侵入口が一気に発見、悪用されるようになり、侵害件数が急増する。その結果、対応に当たるインシデントレスポンスのコンサルタントに依頼が殺到することになります。まだそこまでではありませんが、非常に近い将来にそうなると思います。
現時点ではAIを使った脆弱性スキャンにも一定のスキルが必要です。ボタン一つで全部やってくれるわけではない。ただ、90日後、6カ月後に状況がどう変わっているかは分かりません。AIの進化のスピードを考えると、楽観視はできません。
防御側のAI活用と「セキュリティ組織」の変革
──防御側はAIをどう活用していますか。組織の変化も含めて教えてください。
ジョイス氏: 防御するわれわれも急速なAI変革の中にいます。
一つの例がダークウェブの解析です。以前はキーワード検索ベースのアプローチで、誤検知率が90%に達していました。地下フォーラムで使われる言語は、ロシア語や中国語といった標準的なものだけでなく、独特のスラングや隠語が混じっていて、普通の検索ではうまくいきません。
そこでGeminiをダークウェブの言語や文脈を理解するよう訓練しました。その結果、精度は98%まで向上しています。この機能は「Dark Web intelligence」として、世界的なサイバーセキュリティイベント「RSA Conference 2026」で発表しました。Google Threat Intelligenceの新機能として、正式提供前のパブリックプレビューが始まっています。毎日1000万件以上のダークウェブの投稿を処理し、組織にとって本当に重要な脅威を絞り込むことができ、顧客にも提供しています。
AIの進化に伴い、セキュリティ組織の在り方そのものも変わっています。最初のフェーズは、自動化による生産性向上を目的とした「Human-in-the-loop」の段階でした。ここではマルウェア解析の高速化や、特定ワークフローの自動化などが中心となります。次なるステップは、AIエージェントを構築して人間がそれを監視、統制する「Human-on-the-Loop」の段階です。そして現在目指しているのが、複数のエージェント群を自律的に連携、管理させ、人間が介入することなく脅威の全体像を把握する「Human-out-of-the-Loop」の段階です。
アナリストの人数が大きく変わるわけではありませんが、一人一人の役割は根本的に変わります。脅威が増えれば、それに対応する能力も増やさなければならない。一方で、チーム内には週末に自発的にAIに触れて楽しんでいるメンバーも多く、状況は決して悲観的なものばかりではありません。新しい防御の手法を自らの手で開発していくという、前向きな楽しさも組織の中に生まれています。
タイムリミットが迫る「パッチ管理」と初期侵入経路の激変
──企業は今、何をすべきでしょうか。
ジョイス氏: まずパッチ管理です。脆弱性の公開から悪用までの期間が急速に縮まっている今、これまで後回しにしてきた組織には強い危機感を持ってほしい。
10年分の技術的負債を抱えていれば、対応は90日で終わりません。それどころか、古くてパッチを当てられないシステムも存在する。そういったシステムについては、AIを使った脆弱性スキャンが本格化する前に、セグメント化またはエアギャップによる隔離を検討すべきです。パッチ適用は穴をふさぐだけではない、時間のかかる作業です。
私たちのレポートでも、脆弱性公開から24時間以内の仮想パッチ適用、72時間以内の完全パッチ適用を目標として設定することを推奨しています。「VPC Service Controls」や「Identity-Aware Proxy」といったクラウドネイティブな防御層を組み合わせることで、パッチ適用が間に合わない場合のリスクを軽減できます。
もう一つ注目すべき変化があります。2025年下半期には、クラウド環境への侵入経路として、ソフトウェア脆弱性の悪用が認証情報の悪用を初めて上回りました。ソフトウェア脆弱性を入り口とする侵入の割合は、2025年上半期の2.9%から同年の下半期には44.5%へと急増しています。自動化された脆弱性スキャンの普及がその背景にあります。これは非常に重要な変化です。
「Disruptionチーム」が挑む、サイバー脅威の積極的無力化
──2025年に立ち上げたDisruptionチーム(Cyber Threat Disruption Unit)の成果を教えてください。
ジョイス氏: Disruptionチームは脅威を観察、分析するだけでなく、積極的に無力化することを目的としています。長年インシデントレスポンスの仕事をしてきて、ようやく反撃できるようになったという感覚があります。
2026年1月には、IPIDEAと呼ばれる居住型プロキシネットワークを摘発しました。1週間で550以上の脅威アクターグループが利用していることが確認されたネットワークで、ロシアや中国、北朝鮮、イランの国家支援グループから犯罪組織まで幅広く悪用されていました。仕組みとしては、「Android」アプリケーションや「Windows」向けソフトウェアなどにIPIDEA関連のSDK(ソフトウェア開発キット)を組み込み、ユーザーの知らないうちに端末をプロキシのノードとして利用することで攻撃元を偽装するものです。北京からの攻撃を、まるで近所からの攻撃のように見せることができます。
私たちは法的措置、技術的テイクダウン、インフラの押収を同時に実施し、数百万単位のデバイスをネットワークから切り離すことができました。パートナーのOktaでは、IPIDEAの出口ノードが90%減少したことが確認されています。
もう一つはアジア全域を対象とした中国系スパイキャンペーンの解体です。42カ国の通信事業者と政府機関を標的にしていて、「Google Sheets」のスプレッドシートに命令を書き込み、マルウェアがそれを読み取って動く仕組みを使っていました。当初はマルウェアや被害者情報の最後のピースが欠けていたのですが、Mandiantの脅威インテリジェンスやインシデント対応の知見を通じて被害者を特定でき、アジアのほぼ全ての国に展開していた、10年追い続けたアクターのインフラを全て落とせました。
成果は数字だけではありません。摘発後に地下フォーラムを確認したところ、IPIDEA側の管理者が利用者である脅威アクターたちに向けて「数カ月間サービスをダウンさせる」と告知するメッセージを投稿していました。攻撃者たちが実際に困っていたことが、この書き込みからも分かります。Disruptionチームは今後も活動を続け、摘発後に再構築されたネットワークにも繰り返し対応していく方針です。
ポスト量子暗号の到来を「2029年」に前倒し
──ポスト量子暗号への備えはどう進んでいますか。
ジョイス氏: 量子コンピュータによる暗号解読の現実化について、私たちは従来の予測を前倒しました。以前は2036年ごろと言われていた時期を、2029年に更新しています。量子ビット数の増加と研究の急速な進展がその背景にあります。
量子に1位も2位もありません。先に実現した側が、これまで蓄積してきた暗号化データを復号できる。現時点では量子コンピュータは極低温環境を必要としていて商用化には程遠いですが、研究の進展スピードを考えると、企業や政府機関は今から備えを始める必要があります。
規制面でも動きが加速しています。米国では米国家安全保障局(NSA)が、国家安全保障システム向けの暗号アルゴリズム群「CNSA 2.0」(Commercial National Security Algorithm Suite 2.0)を示しています。そのため、2027年以降の新規調達では、量子耐性のある暗号方式への対応が求められます。防衛関連の請負業者も対象です。2030年には連邦政府の全システムでの移行完了が求められ、2031年には対象カテゴリー全体での量子安全アルゴリズム使用が義務化されます。
Googleは既に「Google Chrome」をはじめとするプロダクトに量子安全アルゴリズムを実装しています。世界は少しずつこのリスクを理解し始めていますが、セキュリティパッチの適用と同様に、対策を先延ばしにしてきた組織にはもう猶予がありません。
──Wiz買収後の統合状況と今後のロードマップを教えてください。
ジョイス氏: 買収がクローズした瞬間から統合作業を始めました。Mandiant、Google Threat Intelligence、SecOps、そしてWizが一体となった体制は、まさにドリームチームだと思っています。
具体的には、インシデントレスポンスで得られたインテリジェンスをほぼリアルタイムでWizの顧客に届けることを目指しています。レッドチーミングも、6カ月前の手口ではなく、今週脅威アクターが実際に使っている手口で実施する。Mandiantのエキスパートがレメディエーションにも組み込まれて、脆弱性の発見から修正までの一連のプロセスがWizプラットフォーム上で完結する見込みです。
Mandiantの専門知識、Wizのテクノロジー、Google Threat Intelligence、SecOpsが全てそろう、特別なものになると思っています。
Copyright © ITmedia, Inc. All Rights Reserved.
