2025 年 9 月 26 日 Adam Winston 著

AI はもはや「未来の懸念事項」ではありません。今では攻撃にも防御にも重要な要素として組み込まれています。新たなエクスプロイトが次々と登場し、大規模なオープンソースモデルの利用が進み、攻撃者も、より一層工夫を凝らすようになっています。かつて警告として語られていたリスクは、今や現実のものとなりました。

1. ディープフェイクと偽造 ID 詐欺
   ディープフェイク攻撃は、今では珍しい話題ではなく、日常的な脅威です。2025 年半ばには、北朝鮮の BlueNoroff（別名 TA444）が、企業幹部のディープフェイク映像を用いた Zoom 通話を使い、従業員を騙してカスタムマルウェアをインストールさせる事件が発生しました。

   音声クローン技術はさらに危険です。Microsoft の VALLE や ElevenLabs、またはオープンソースの代替モデルなどは、わずか数秒の音声からその人物の声を模倣できるようになっています。攻撃者は最高責任者や部門長など、信頼された人物の声を真似て、送金、認証情報の共有、機密データの流出を誘発します。

   防御側も、Vastav AI のようなツールを使い、映像や顔の動き、音声メタデータを解析して改ざんを検知する取り組みを進めています。しかし、検出は往々にして攻撃の後手に周り、被害が発生してから気づくケースが大半です。

2. プロンプトインジェクション、ジェイルブレイク、ゼロクリック型エクスプロイト
   プロンプトインジェクションやジェイルブレイクは、依然として重大な脆弱性です。また 2025 年には、ユーザの操作なしに攻撃が成立する「ゼロクリック・プロンプトインジェクション攻撃」が増加しています。これは、メールやカレンダー招待などを受け取るだけで侵害が発生する攻撃です。

   代表的な例として、Microsoft 365 Copilot に存在したゼロクリック脆弱性「EchoLeak（CVE-2025-32711）」があります。攻撃者は細工を加えたメールを送ることで Teams のプロキシ機能、画像の自動取得、Markdown 参照などを悪用します。これにより、ユーザのクリックなしに権限昇格とデータ流出が起こっていました。

   また、商用 AI アプリの多くが依然として脆弱であることも明らかになっています。最近の研究では、36 個のモバイル銀行・金融チャットアプリのうち 31 個がプロンプトインジェクション攻撃を受ける可能性があることが判明しました。

3. AI 支援型ランサムウェアとポリモーフィック・マルウェア
   2025 年、ランサムウェアは新たな段階に進化しました。攻撃フレームワークは AI によって支援され、ペイロードをリアルタイムで適応させるようになりました。「Ransomware 3.0」と呼ばれる概念実証では、AI がオーケストレーションするランサムウェアが、バイナリ内のプロンプトから攻撃の各段階を動的に計画・変異・実行できることが示されました。

   さらに 2025 年後半、ESET は「PromptLock」と呼ばれる世界初の AI 駆動ランサムウェアを特定しました。これはローカル環境で動作し、動的スクリプトを生成してファイル列挙、データ流出、暗号化などを Windows、macOS、Linux すべてで行うものです。

   これらの脅威は、従来のウイルス対策ソフトやヒューリスティック検知を回避できません。そのため防御側は、署名ベースではなく、ふるまい分析や異常検知に頼らざるを得なくなっています。

4. ダーク LLM、サプライチェーン、そしてシャドー AI
   攻撃者は、悪用目的で改変された大規模言語モデルである「ダーク LLM」を使うようになっています。未検証のサードパーティツールや API の乱用も増加し、サプライチェーン全体が主要な攻撃経路となっています。

   Anthropic は最近、ハッカーが Claude を利用して偵察、自動資格情報収集、侵入テスト工程の自動化を行っていると警告しました。これらの攻撃は政府、医療、教育機関などを標的にしており、窃取データに対して身代金を要求するケースもあります。

   また、モデルがバックドアを仕込まれたり、リブランドされて闇市場で販売されたりする事例も増えています。こうしたダーク LLM では、あらゆるセキュリティルールが取り除かれており、事実上「犯罪のための AI アシスタント」と化しています。さらに、社員が IT 部門の承認なしに AI ツールを導入する「シャドー AI」も問題を深刻化させています。可視性も統制もないまま、機密情報が AI に流出するリスクが生じています。

5. データ流出、データポイズニング、モデルの信頼性侵害
   悪意ある入力やマルウェアを超えて、AI モデルそのものも攻撃対象になっています。データポイズニング攻撃では、学習データやファインチューニングの過程に汚染データを混入させ、運用後のモデルを意図的に誤作動させます。

   最近の研究では、広告埋め込み攻撃によってモデルのチェックポイントが汚染され、アウトプットに悪意ある宣伝や隠れた指令を埋め込むことが可能であると示されました。

   さらに、AI エージェントがブラウザ、オフィススイート、チャットプラットフォームなどのワークフローに組み込まれる中で、攻撃者は入力チャネルを通じてこれらを強制的に悪用し、マルウェアのインストールやデータ漏洩を引き起こす場合もあります。

今後の展望：エージェント化する攻撃者 vs 自律化する SOC

次の AI セキュリティのフェーズは、「高速化」や「変異型マルウェア」だけではなく、「エージェント化」が焦点です。

「エージェント型 AI 攻撃者」は、もはや単発のスクリプトではなく、さながら傭兵のように継続的な攻撃を展開します。ID システム内の脆弱アカウントを探し、クラウドアプリに侵入し、防御に合わせて戦術を変えながらデータを持ち出します。複数のツールを自動で連携し、数千単位の小規模攻撃を同時に走らせ、サプライチェーン全体を攪乱させることも可能になります。

一方、防御側は「自律型 SOC（セキュリティ・オペレーション・センター）」の方向へと舵を切っています。人間がアラートの海に溺れる代わりに、AI がエンドポイント、ネットワーク、クラウド、アイデンティティ全体のテレメトリを統合し、重要なシグナルを判断してリアルタイムに封じ込めを行い、人間の判断が必要なケースだけをエスカレーションします。この仕組みが完成すれば、たった 2 人の管理者しかいない中規模企業や教育機関でも、フォーチュン 100 企業並みの防御力を実現できるでしょう。

勝負の行方はどちらに傾くのか。攻撃者が「エージェント型 AI」を完成させるのが先か、防御側が「自律型 SOC」を実用化するのが先か。それがこの先 10 年の最重要課題です。もし攻撃者が先に進化すれば、従来の防御を圧倒するスピードで侵害が連鎖的に起こるでしょう。しかし、防御側が AI を深く、効果的に統合することができれば、AI はついにサイバーセキュリティの経済構造を反転させるかもしれません。「防御が速く、安く、拡張可能である」という時代が訪れるかもしれないのです。