AIによる脆弱性攻撃が「認証情報の盗用」を上回る —— サイバーセキュリティの新たな局面へ - NewsTomo

サイバー攻撃の常識が変わりつつあります。最新のセキュリティレポートにより、AIがもたらす「脆弱性の悪用」が、従来のパスワード盗用などの手法を上回る脅威となっていることが明らかになりました。今、デジタル空間で何が起きているのか、その背景を紐解きます。

AIが変えた「攻撃の起点」

Verizonが3万件以上のインシデントを分析した年次レポートによると、全データ漏洩の31%が、AI時代の脆弱性悪用から始まっていたことが分かりました。これまで多くのサイバー攻撃は、盗まれたIDやパスワードなどの「認証情報」を悪用することが主流でしたが、現在はAIによる脆弱性の特定と攻撃がそれを上回るペースで増加しています。

「数ヶ月」が「数時間」に：短縮される防御の猶予

特筆すべきは、攻撃のスピードです。レポートは、脅威アクターがAIを利用することで、既知の脆弱性を悪用するまでの時間が劇的に短縮されていると警告しています。

従来の防御猶予： 数ヶ月単位で対策を講じることができた。
AI時代の現状： わずか数時間で攻撃が実行される可能性がある。

AIは単にスピードを上げるだけでなく、攻撃のあらゆるステージで活用されています。具体的には、ターゲットの選定から、初期アクセスへの侵入、そしてマルウェアや攻撃ツールの開発に至るまで、ジェネレーティブAIが深く関与しているのが現状です。

現状のAI能力と、その先の懸念

現在のAIによる攻撃の主な影響は「運用の効率化」にあると分析されています。つまり、防御側がすでに検知方法を知っている既存のテクニックを、AIが自動化し、大規模に展開している段階だということです。まだ「全く新しい攻撃手法」をAIが自ら生み出しているわけではありません。

しかし、AIの進化速度を考えれば、この評価はすぐに時代遅れになる可能性があります。レポートによれば、攻撃者はすでに15種類から、多い場合は50種類もの異なる手法にAIによるリサーチや支援を取り入れているといいます。

次世代AIモデル「Mythos」がもたらす波紋

さらに注目されているのが、今年4月7日に発表された新しいAIモデル「Mythos」の存在です。これはAnthropic社の「Project Glasswing」の一環として、限定的に運用されているモデルです。

Mythosは極めて高度なコーディング能力を持っており、専門家は「サイバーセキュリティの脆弱性を特定し、それを悪用する方法を考案する能力が、かつてないレベルに達している」と指摘しています。Verizonを含む一部の組織は、この強力な能力をあえて「防御側」で活用し、先手を打つための研究を進めています。

AIが攻撃の武器になるのか、あるいは最強の盾になるのか。技術の進化が、防御側の戦略に根本的なアップデートを迫っています。