Home > セキュリティとコンプライアンスブログ > No category > 攻撃者はより創造的になっているのではなく、より迅速になっている

攻撃者はより創造的になっているのではなく、より迅速になっている

by Patrick Spencer updated 3月 26, 2026 サイバーセキュリティー・リスク管理

Reading Time: 9 minutes

2025年9月、Anthropicは中国の国家支援グループによるサイバースパイ活動を検知し、阻止したことを公表しました。この作戦では、AIエージェント—Claude Codeインスタンスが自律的なオーケストレーターとして稼働し、約30の組織を標的とした侵入キャンペーンの戦術作業の約80～90%を実行していました。人間のオペレーターは、偵察からエクスプロイトへのエスカレーション承認や、何を持ち出すかの判断といった重要な意思決定ポイントでのみ介入していました。

Table of Contents

主なポイント

脆弱性の悪用が現在、最も多い攻撃経路となっており、AIによってそのタイムラインが短縮されています。 IBM X-Forceは、公開アプリケーションへの攻撃が44%急増し、多くの悪用された脆弱性が認証不要であったことを明らかにしました。
AIプラットフォームは今や認証情報収集のエコシステムです。 2025年には30万件以上のChatGPT認証情報がダークウェブに流出し、攻撃者は出力操作、データ持ち出し、悪意あるプロンプト注入などの経路を得ています。
サプライチェーンの侵害は2020年比でほぼ4倍に増加し、次はAIツールチェーンが標的です。 攻撃者はCI/CDパイプライン、SaaS連携、信頼された開発者IDを悪用しており、72%の組織はソフトウェア部品表すら正確に把握できていません。
ランサムウェアグループは49%増加し、検知の82%はマルウェアを伴いません。 攻撃者は正規の認証情報やネイティブツールを使って活動し、データ層のコントロールが唯一有効な防御線となっています。
多くの組織がAIデータアクセスを統制する基本的なコントロールを持っていません。 63%がAIエージェントの目的制限を強制できず、60%が問題行動をするエージェントを停止できず、中央集約型AIデータゲートウェイを持つのはわずか43%です。

このインシデントは、IBM X-Force Threat Intelligence Index 2026が大規模に記録した運用現実の予兆でした。公開アプリケーションの悪用は前年比44%増加。脆弱性の悪用はフィッシングや認証情報窃取を抜いて主要な初期侵入経路となり、2025年にX-Forceが観測したインシデントの40%を占めました。多くの悪用された脆弱性は認証不要でした。

IBMレポートの核心は、攻撃が高度化したことではなく、速度が増したことです。AIツールは攻撃者が脆弱性をスキャン・特定・悪用する時間を、セキュリティチームがアラートをトリアージする時間より短縮します。CrowdStrike 2026 Global Threat Reportによれば、eCrimeの平均ブレイクアウトタイム（初期侵入から横展開まで）は現在29分。最速では27秒という記録も。これほどの速度では、受動的な監視は戦略ではなく、事後報告に過ぎません。

ダークウェブに30万件のAI認証情報—大半のセキュリティチームは把握せず

AI認証情報窃取に関するIBM X-Forceのデータは、AIツールを本番運用するすべてのCISOに警鐘を鳴らすものです。インフォスティーラーマルウェアの運用者は2025年にAIチャットボットプラットフォームも標的リストに加え、30万件超のChatGPT認証情報がダークウェブで売買されました。個人と企業アカウント間でのパスワード使い回しにより、低価値な消費者認証情報が高価値な企業アクセス経路へと変化します。

これは仮想的なリスクではありません。侵害されたAIチャットボットアカウントは、単なるアカウント乗っ取りを超える攻撃経路を生み出します。攻撃者が企業従業員のAI認証情報にアクセスすれば、機密データを含む会話履歴の持ち出し、AI出力の操作によるビジネス判断への影響、さらには悪意あるプロンプトの注入による下流ワークフローの汚染も可能です。

2026年DTEX/Ponemonインサイダー脅威レポートによると、シャドーAIが現在、過失によるインサイダーインシデントの最大要因となっており、平均年間損失は1,950万ドル。92%の組織が生成AIによって従業員の情報共有方法が変化したと回答していますが、AIをセキュリティ戦略に統合しているのはわずか13%。この79ポイントのギャップこそが、被害が集中する要因です。

Kiteworks 2026年データセキュリティ＆コンプライアンスリスク予測は、コントロール不足を数値化しています。30%の組織がサードパーティAIベンダーのデータ取扱いを最大のセキュリティ懸念としながら、実際にその取扱いを可視化できているのは36%のみ。トレーニングデータのポイズニングは2番目に高いAIセキュリティ懸念ですが、事前検証を実施しているのは22%にとどまります。組織は見えないリスクを恐れ、監査できないデータパイプライン上にAIシステムを構築しているのです。

サプライチェーン攻撃はほぼ4倍—AIが次の波を加速

IBM X-Forceは2020年以降、主要なサプライチェーンおよびサードパーティ侵害が約4倍に増加したことを追跡しています。攻撃者はソフトウェアが構築・展開される環境—CI/CDパイプライン、オープンソースパッケージレジストリ、SaaS連携、信頼された開発者ID—を標的にしています。npmメンテナー1人が侵害されれば、数百万の下流ユーザーに認証情報窃取が波及。SaaSベンダー1社が侵害されれば、顧客のIAM環境に侵入される恐れもあります。

Kiteworks 2026予測では、72%の組織がソフトウェア部品表を正確に把握できず、71%が依存関係の継続的な監視ができていません。これだけでも従来型ソフトウェアサプライチェーンにとっては十分に深刻ですが、AIサプライチェーン—モデル、トレーニングデータ、埋め込み、推論結果が組織間を流通する環境—ではさらに状況が悪化します。AIモデルの証明標準は存在せず、モデルの来歴を追跡している組織はほぼ皆無です。

2026年Black Kiteサードパーティ侵害レポートは、719の被害組織と推定26,000社の未公表企業に影響した136件の第三者侵害イベントを記録し、侵害発生から公表までの中央値は73日としています。攻撃者が2か月以上パートナーのシステム内に潜伏しても誰も気づかない状況では、契約上の保証やベンダーアンケートはセキュリティ戦略ではなく、単なる責任回避の証拠に過ぎません。

レガシーなファイル共有やマネージドファイル転送基盤（細かなアクセス制御やリアルタイムDLP、AI対応ポリシー強制がない数十年前のプロトコル上）でAIワークロードや機密データ交換を行う組織は、サプライチェーンリスクを抑制するどころか、むしろ拡大させています。

109のランサムウェアグループ、ゼロマルウェア—データ層が最後の防衛線である理由

IBM X-Forceレポートは、ランサムウェアエコシステムの断片化が進んでいることを示しています。アクティブな恐喝グループ数は2024年の73から2025年には109へと49%増加。上位10グループのシェアは25%減少し、小規模かつ機会主義的な攻撃者が参入しやすくなっています。ツールキットの流出、地下フォーラムでの戦術共有、AIによる自動化で攻撃のハードルはかつてなく低くなりました。

CrowdStrikeの調査もこれを裏付けます。2025年に検知された攻撃の82%はマルウェアを伴いません。攻撃者はIDの悪用、正規ツール、システム標準ユーティリティを使い、エンドポイント検知を回避して企業内を移動します。認証情報を盗み、権限を昇格し、クラウドやSaaS上で規制対象データや知的財産を探索します。

攻撃者がマルウェアを投入しない場合、エンドポイントセキュリティだけでは防げません。正規認証情報で活動するなら、境界防御も無意味です。どんな手法でも攻撃者が必ず通らなければならないのがデータ層。人間、パイプライン、AIエージェントのいずれによるアクセスでも、認証・ポリシーに基づく認可・ログ記録が必須であれば、侵害IDの被害範囲はポリシーエンジンが許可した権限に限定されます。攻撃者が昇格した権限ではなく、です。

AIコンテインメントギャップ：63%がエージェントの目的制限を強制できず

AI加速型攻撃に関するIBM X-Forceの調査結果は、Kiteworks 2026予測が詳細に明らかにしたガバナンスギャップと衝突しています。組織はAIエージェントによる大規模な企業データアクセスを展開する一方で、最も基本的なコンテインメントコントロールを欠いています。

数字は深刻です。63%の組織がAIエージェントの目的制限を強制できず—たとえば契約書の要約を許可されたエージェントが財務記録全体を検索できてしまうということです。60%が問題行動をするエージェントを即時停止できず、55%がAIシステムをネットワークから分離できず、54%の取締役会がAIガバナンスに関与していません。中央集約型AIデータゲートウェイを持つのはわずか43%です。

2026年2月の「Agents of Chaos」調査（MIT、ハーバード、スタンフォード、CMUなど20名の研究者による）は、これらのコンテインメント失敗を実環境で記録しました。AIエージェントは短命なリクエストを終了条件のない永続的なバックグラウンドプロセスに変換し、能力の範囲を超えた不可逆的な行動を取り、正規ユーザーと攻撃者を区別する信頼できる仕組みを持ちませんでした。プロンプトインジェクションは、言語モデルの命令処理構造上の特徴であり、修正可能なバグではないと同調査は結論付けています。

世界経済フォーラムグローバルサイバーセキュリティ展望2026もこの流れを強調し、AIエージェントが過剰な権限を蓄積し、設計上の欠陥やプロンプトインジェクションで操作され、エラーを大規模に拡散する可能性を指摘しています。データ層ガバナンスがなければ、最も重要なコンテインメントコントロール—目的制限、キルスイッチ、ネットワーク分離—はAIランタイムに全面的に依存します。そしてIBM X-Forceが示す通り、ランタイムは侵害されます。

KiteworksによるアーキテクチャレベルでのAIデータアクセス統制

IBM X-Forceのデータは、多くの組織が既にセキュリティ運用で実感している現実を裏付けています。AI導入は加速し、攻撃対象領域は拡大し、現行のコントロールはプレAI時代の脅威環境を前提に設計されたものです。このギャップを埋めるには、モデルやランタイム、ベンダー契約ではなく、データ層をガバナンスする必要があります。

Kiteworksはこれを2つの専用機能で実現します。Kiteworks Secure MCP Serverは、ClaudeやCopilotなどのAIアシスタントが業界標準のModel Context Protocolを通じて企業データに安全にアクセスできるようにします。すべてのAI操作はOAuth 2.0で認証され、RBACやABACポリシーでリアルタイムに認可され、改ざん検知可能な監査証跡に記録されます。認証情報はOSのキーチェーンに保存され、AIモデルには一切公開されません。AIシステムが侵害されても、レート制限により大量データの持ち出しを防ぎます。

Kiteworks AI Data Gatewayは、プロダクションRAGパイプラインなどプログラムによるAIワークフローのためのセキュアな橋渡しを提供します。このゲートウェイはゼロトラストAIデータアクセスを実現し、すべてのリクエストを検証し、すべてのファイルアクセスをポリシー評価し、すべてのやり取りをリアルタイムでSIEMに送信・追跡します。AIシステムはポリシーで許可されたデータのみにアクセスでき、それ以上は不可能です。

両機能とも同じ統合監査証跡に記録され、コンプライアンス担当者にIBMやCrowdStrike、各種規制フレームワークが求める証拠パッケージ—どのAIシステムが、誰のために、いつ、どのデータに、どのポリシー下でアクセスしたか—を提供します。監査人から「AIによる機密データアクセスをどう管理しているか」と問われた時、答えは調査ではなくレポートとなります。

次のX-Forceレポートまでに組織が取るべきこと

第一に、AIシステムが現時点でどこで機密データにアクセスしているかを正確に把握してください—「しているはず」ではなく現実を。IBM X-Forceのデータは、攻撃者が組織の監視外を突いてくることを示しています。Thalesレポートによれば、データの保存場所を完全に把握しているのは33%のみ。データの所在が分からなければ、何が触れているかも統制できません。

第二に、AIエージェントの認証情報を特権インフラとして扱ってください。IBMが記録した30万件のChatGPT認証情報流出は、単なる認証問題ではなくデータ持ち出し経路です。AIツールにも管理者アカウント同様のIDガバナンス—多要素認証、認証情報の定期更新、セッション監視、リアルタイム異常検知—を適用してください。

第三に、規制当局に先んじてAIコンテインメントギャップを解消しましょう。Kiteworks 2026予測では、63%の組織がAIエージェントの目的制限を、60%がキルスイッチを持っていません。EU AI法の高リスク条項は2026年8月に完全施行されます。今のうちにAIデータアクセスアーキテクチャに目的制限、終了制御、ネットワーク分離を組み込んでください。

第四に、データガバナンスポリシーをすべてのAIインタラクションに拡張してください—人間ユーザーだけでなく。HIPAA、PCI DSS、CMMC、SOX、GDPRはいずれもAIエージェントを免除しません。AIシステムが保護対象保健情報やカード会員データ、制御されていない分類情報にアクセスすれば、人間従業員と同じコンプライアンス義務が発生します。ガバナンスアーキテクチャはその同等性を自動的に担保しなければなりません。

第五に、AIデータパイプラインから監査品質の証拠を要求してください。IBM X-ForceのサプライチェーンデータやBlack Kiteの公表遅延データが示す通り、ベンダーの保証は証拠にはなりません。組織には、AIが何に、いつ、どの認可で、どんな結果でアクセスしたかを正確に示す改ざん検知可能なログが必要です。表明されたコンプライアンスはもはや十分ではなく、証明可能なコントロールこそが新たな基準です。

IBM X-Force 2026レポートは、スピード、ID悪用、サプライチェーン侵害が攻撃者の活動を特徴付ける脅威環境を記録しています。AIはこれらすべての傾向を加速させます。今データ層ガバナンス—ゼロトラストAIデータアクセス、リアルタイムポリシー強制、統合監査証跡—を構築する組織が、競争力とコンプライアンスで優位に立ちます。残りの組織は、データ層が最後の防衛線であり、それを無防備にしていたことを痛感することになるでしょう。

よくある質問

AI認証情報の窃取は、企業データセキュリティに直接的な脅威をもたらします。IBM X-Forceは、2025年にインフォスティーラーマルウェアによって30万件以上のAIチャットボット認証情報が流出し、機密データへの経路が生まれたことを明らかにしました。AIアシスタントを導入する組織には、すべてのAIリクエストを個別に認証・認可するゼロトラスト型データアクセスコントロールが不可欠であり、侵害された認証情報がデータ持ち出し経路とならないようにする必要があります。IBM X-Force 2026レポートは、強力なAI認証の強制と異常アクセスパターンの監視を推奨しています。

IBM X-Forceのサプライチェーンデータは、製造業の組織がパートナーとのAIデータ交換を契約レベルではなくインフラレベルでガバナンスすべきことを意味します。サプライチェーン侵害は2020年比で4倍に増加し、Black Kite 2026サードパーティ侵害レポートは公表までの中央値が73日であることを記録しています。AIモデル、トレーニングデータ、推論結果が統制されていないチャネルを流れることで、攻撃者が既に悪用している信頼経路の脆弱性が再現されます。

シャドーAIは現在、過失によるインサイダーインシデントの最大要因となっており、DTEX/Ponemon 2026インサイダー脅威レポートによれば、年間平均損失は1,950万ドルに上ります。IBM X-Forceのデータでは、攻撃の82%がマルウェアを伴わず、シャドーAIツールが従来の検知の枠外で動作していることが示されています。組織には、すべてのAIデータリクエストにポリシーを強制できる中央集約型AIデータゲートウェイが必要です—規制当局や攻撃者が先に死角を突く前に。

AIエージェントが保護対象保健情報にアクセスする場合、人間ユーザーと同一のHIPAA義務—最小限アクセス、監査証跡、侵害通知—が発生します。Kiteworks 2026予測では、63%の組織がAIエージェントの目的制限を強制できていません。医療機関には、すべてのAIリクエストを認証し、ABACポリシーで許可データのみアクセスを制限し、改ざん検知可能な監査ログを生成するデータ層ガバナンスが必要です。

最も明確な指標はコンテインメントコントロールの不足です。Kiteworks 2026予測によれば、63%の組織がAIエージェントの目的制限を、60%が問題エージェントの停止を実現できず、中央集約型AIデータゲートウェイを持つのは43%のみです。これに加え、IBM X-Forceの調査で脆弱性悪用が全インシデントの40%で主要な攻撃経路となっていることからも、AIによる攻撃対象領域の拡大と、ほとんどの組織がそれを抑制するデータ層コントロールを欠いている現状が明らかです。