週次コラム: AI駆動型攻撃が企業防御の限界を露呈 | 2026年6月7日

東京セキュリティブリーフィング 週次コラム 2026年06月07日（日曜日）

オープニング

こんにちは。東京セキュリティブリーフィングへようこそ。本日は2026年06月07日、日曜日のコラム回です。

この1週間、セキュリティ業界には激動の時間が流れました。AI駆動型の攻撃が急速に進化する一方で、大規模な脆弱性悪用やデータ侵害が相次いで報告されています。また、各国政府のAIセキュリティ規制も大きく動いており、企業を取り巻く環境は刻一刻と変わっています。本週は、こうした急速な変化の中で、組織が実際に直面している脅威と、その対策について詳しく分析していきたいと思います。

今週のセキュリティトレンド分析

AI駆動型攻撃が企業防御の限界を露呈

今週最も注目されたトレンドは、AI駆動型の自動攻撃が現実化しつつあるという点です。複数の脅威調査機関が、LLMを組み込んだマルウェアが実際に攻撃に使用されていることを確認しました。特に、ローカルホスト型のオープンソースAIモデルを活用した自己複製型ワームが開発・テストされており、従来のネットワーク監視や行動分析では検知が困難な攻撃が増えています。

これらのAI駆動型ワームは、既知の脆弱性や設定ミスを自律的に探索し、動的に形態を変えながら自己増殖します。重要なのは、このような攻撃には高度な技術スキルが不要になりつつあるという点です。AI開発環境が誰でも利用可能になるにつれ、参入障壁が急速に低下しているのが現状です。

同時に、AIエージェント自体が新たな攻撃対象になっています。プロンプトインジェクション、エージェント操作、コンピューター操作エージェントへの視覚攻撃など、これまで存在しなかった脅威分類が急速に増えています。企業が導入する生成AI、検索エージェント、コンピューター操作エージェントが、意図しない命令に従ってしまうリスクが現実化しているのです。

大規模データ侵害と重大脆弱性の悪用が加速

今週はまた、複数の大規模データ侵害が報告された週でもありました。DentaQuestでは260万件のアカウント情報が流出し、ShinyHuntersグループが234GB以上のデータを盗取しました。被害には氏名、住所、メールアドレス、電話番号、生年月日、身分証明書情報、健康保険情報が含まれています。

さらに、世界食糧計画のシステムでは、ガザの約60万世帯の個人識別情報が流出。オックスフォード大学の学生データも複数のプラットフォームで侵害を受けています。注目すべきは、これらの侵害の多くが、セキュリティに直結する重大な脆弱性の悪用によるものという点です。

重大脆弱性の悪用も相次いでいます。UniFi OSにはCVE-2026-34908、34909、34910という複数の深刻度が最高クラスの脆弱性があり、未認証攻撃者がroot権限でのリモートコード実行が可能です。この脆弱性は単一のHTTPリクエストで悪用でき、UniFi AccessやUniFi Protectといった物理セキュリティシステムの完全な制御も可能になります。

また、SolarWinds Serv-UのCVE-2026-28318では、特別に細工されたリクエストでサーバーをクラッシュさせるサービス拒否攻撃が可能で、既に悪用が確認されています。CiscoのSD-WAN ManagerにもCVE-2026-20245というコマンドインジェクション脆弱性があり、現地点ではパッチが利用不可です。WordPressのEverest Forms Proプラグインのバージョン1.9.12以前では、認証なしのリモートコード実行が可能で、既に大規模な悪用が報告されています。

インフラ施設への直接的な脅威が顕在化

特に懸念される動きとして、重要インフラ施設への直接的なサイバー攻撃が活発化しています。米国の複数連邦機関がAutomaticタンクゲージシステムへの継続的な攻撃について警告を発令しました。これは、給油所や化学工場、食品処理施設などの液体貯蔵を管理するシステムです。

攻撃者はハードコードされた認証情報、認証バイパス脆弱性、SQLインジェクション、権限昇格を悪用してこれらのシステムに侵入し、タンク容量やポンプ制御の設定を改ざんしています。最大の問題は、オペレーターが改ざんに気づかないようにアラート機能を無効化する点です。これにより、漏洩や機器障害が発生してもシステム管理者は検知できなくなります。

ATGシステムの多くがインターネットに公開されており、900台超が米国で露出状態にあります。これは単なるデータ侵害ではなく、物理的な施設被害につながる可能性があります。

サプライチェーン攻撃の多様化と巧妙化

npmパッケージの侵害が複数報告されました。Red HatのGitHubアカウント侵害により、32パッケージ96バージョンが悪意あるコードに改ざんされ、累計116,000件以上のダウンロードが記録されました。Miasmaワームの新亜種が「Phantom Gyp」技術を使用して、binding.gypファイル経由で検出を回避しています。

さらに、Holaブラウザではバージョン1.251.91.0に未申告のクリプトマイナーが同梱されており、約0.1%のユーザーが影響を受けました。protobuf.jsライブラリにも6件の脆弱性が発見され、CI/CDパイプライン侵害やプロトタイプ汚染によるRCE、DoS攻撃が可能です。週5,000万回以上ダウンロードされるライブラリの脆弱性であり、サプライチェーンへの影響は甚大です。

Everest Forms ProプラグインのCVE-2026-3300は、認証なしでリモートコード実行を可能にし、既に大規模な悪用が確認されています。Wordfenceテレメトリでは24時間以内に29,300件以上の攻撃がブロックされています。

新たな攻撃手法：ビッシング、物理侵入、そしてAIの組み合わせ

米国の法律事務所を標的とするUNC3753グループの攻撃パターンが、新たな脅威の実態を示しています。攻撃者はまずビッシング（音声フィッシング）で侵入を試みます。電話で組織のITスタッフを騙し、リモートアクセス管理ツール（RMM）のインストールを誘導するのです。

しかし、ビッシング単独でうまくいかない場合、攻撃者は実際にオフィスに乗り込みます。ITエンジニアを装い、USBドライブを使って直接データを盗み出そうとするのです。最初の接触からデータ窃取・恐喝まで、わずか1営業日以内に完結する場合もあります。

同時に、中国系の脅威アクターによるスパイ活動も報告されています。LinkedIn、Indeed、Upworkといった正規の求人サイトを通じ、政府・軍関係者、セキュリティクリアランス保有者に対して採用担当者を装った勧誘が行われています。機密情報提供に対して数百から数千ドルの報酬が提示され、段階的に機密性を高めるペイロード送信へと誘導されるのです。

グローバルな規制動向とAI安全対策の強化

政府レベルでも大きな動きがあります。トランプ大統領が署名した新たなAI大統領令は、最先端のフロンティアAIモデルについて、公開前に連邦政府による30日の審査フレームワークを構築することを指示しています。参加は任意ですが、政府による評価・監査・透明性報告書公開が要件とされています。

同時に、EUは技術主権パッケージを発表し、米国と中国サプライヤーへの依存軽減を目指しています。Chips法2.0、Cloud開発法、AI開発法（CADA）、オープンソース戦略を含む包括的な枠組みが提示されました。特にオープンソースセキュリティへの直接的な資金提供により、XZ Utilsバックドアのような事件を防止する方針が示されています。

米国下院の「グレート・アメリカン人工知能法」も提出されており、年間収益5億ドル超の大規模フロンティアAI開発者に対し、リスク評価・報告書公開・独立検証機関（IVO）による監査を義務付けています。

今後予想されるリスクと対策

AI関連脅威への多層防御の必要性

AIエージェント型の自動攻撃が増加する中で、企業は従来型の防御では対応できなくなりつつあります。エンドポイント検知応答（EDR）やネットワークセグメンテーション単独では、ファイルレス攻撃やメモリ内活動を完全には検知できません。

対策として、複数の防御層を構築することが重要です。まず、脆弱性管理の優先順位付けを高度化する必要があります。すべての脆弱性に同じ優先度をつけるのではなく、実際の悪用可能性、環境への露出度、攻撃者の関心度を総合的に評価する必要があります。

次に、AIエージェント自体のガバナンスが急務です。社内で利用されているAIツール、生成AI、検索エージェント、コンピューター操作エージェントのアイデンティティ管理、アクセス制御、監査ログが必須になります。現状では、67%のユーザーが企業デバイスから個人アカウントのAIサービスにアクセスしており、機密情報の23%が個人・未検証アカウント経由で送信されているとの調査結果があります。

重大脆弱性への迅速な対応態勢

UniFi OSやSolarWinds Serv-Uのような致命的な脆弱性が相次いで報告されています。これらに共通するのは、悪用が比較的容易であり、パッチが利用不可であるか、提供が遅れる場合があるという点です。

対策としては、脆弱性管理プログラムの事前準備が重要です。まず、資産インベントリの正確性を確保してください。記事に示された事例では、インターネットに公開されているATGシステムが900台以上も検知されるまで気づかれていませんでした。定期的なスキャン、設定管理データベース（CMDB）との照合、未承認デバイスの検査が必須です。

次に、到達性確認です。外部からのアクセス可能性、デフォルト認証情報の使用、ネットワークセグメンテーション不備を検査してください。UniFi OSの脆弱性のように、単一のHTTPリクエストで完全な制御が可能になるシステムもあります。

さらに、既存の緩和策を把握することも重要です。すべての脆弱性をパッチで対応することは現実的ではありません。ファイアウォールルール、アクセス制御リスト、VPN要件などの既存対策で、どの程度の軽減が可能かを事前に評価しておくと、緊急対応時に迅速な判断ができます。

サプライチェーンセキュリティの根本的な強化

npmやPyPIなどのパッケージレジストリへの侵害が複数報告されています。これらの対策として、単なるセキュリティスキャンではなく、パッケージの出所確認、署名検証、バージョン固定、タイムスタンプ検証が必要です。

Ruby Gemsコミュニティは「cooldown」引数を導入し、公開からの経過日数が指定値に満たないgemを自動的に除外できるようにしました。このような段階的な採用を検討することで、悪意のあるパッケージリリースから検知までの時間を稼ぐことができます。

また、記事で紹介されたOWASPのCVE Lite CLIのようなツールを活用し、脆弱な依存関係を迅速に検出し、安全な代替パッケージへの移行を自動化することも有効です。

インフラストラクチャの物理セキュリティとサイバーセキュリティの統合

ATGシステムへの攻撃は、単なるデータ侵害ではなく物理的な施設被害に直結する可能性があります。UniFi Accessなどの物理セキュリティシステムが、同じプラットフォームのサイバー脆弱性によって制御される可能性も指摘されています。

対策としては、物理施設の重要なシステムと一般的なITネットワークの分離が必須です。ネットワークセグメンテーション、デフォルト認証情報の確実な変更、定期的なセキュリティ監査、環境に適した強力なアクセス制御の実装が必要です。

また、キーレス自動車システムのリレーアタックのように、無線技術の安全性についても検証が必要です。新技術の導入時には、既知の攻撃手法に対する耐性確認を組織的に実施してください。

新たな攻撃パターンへの対応

ビッシング、RMM悪用、物理侵入を組み合わせた攻撃が増加しています。これらへの対応として、組織文化的な側面が重要です。

まず、全従業員に対するセキュリティ意識向上が必須です。不審な電話やメールだけでなく、不自然なオフィス訪問者にも警戒が必要です。記事で紹介された事例では、攻撃者がITエンジニアを装ってオフィスに物理的にアクセスしようとしています。来訪者確認、身分証提示の確認、IT部門への直接確認を習慣化してください。

次に、リモートアクセス管理ツール（RMM）のガバナンスです。承認されたRMMツールのみを使用し、インストール前には必ずIT部門に確認する文化を構築してください。

最後に、データ保護の観点から、機密情報へのアクセス権限を必要最小限に限定し、異常なデータ抽出活動を監視することが重要です。記事の事例では、データ窃取が1営業日以内に完結していることから、リアルタイム監視と迅速な対応態勢が必要です。

セキュリティ担当者へのアドバイス

経営層への報告時のポイント

今週のニュースから見えるのは、サイバーセキュリティが単なるIT部門の責任ではなく、組織全体のリスク管理問題であるという現実です。経営層への報告時には、以下の点を強調してください。

第一に、AI駆動型攻撃により、脆弱性の発見から悪用までの時間が劇的に短縮されているという点です。記事では、脆弱性発見の中央値が4.2ヶ月から1.6日に短縮されたと報告されています。組織のパッチ管理能力がこのスピードに追いつかない場合、リスクは指数関数的に増加します。

第二に、物理施設への影響です。ATGシステムやUniFi Accessへの攻撃は、利益損失だけでなく、人命にも関わる可能性があります。これは純粋なセキュリティ問題から、経営的リスク、法的リスクへと昇華される課題です。

第三に、規制対応です。EU、米国、各国の政府がAIセキュリティ、脆弱性報告、データ保護について新たな要件を提示しています。コンプライアンス不備は直接的な罰金につながります。

組織内での優先施策

現在の脅威環境では、以下の優先順位での施策実施を推奨します。

まず、資産インベントリとネットワークマッピングです。記事で紹介されたATGシステムの例のように、組織が保有しているシステムを正確に把握していない場合が多くあります。

次に、脆弱性スキャンと優先順位付けです。脆弱性の数よりも、実際の悪用可能性、環境への露出度、攻撃者の関心度に基づいた優先順位付けが重要です。

その後、パッチ管理の加速化です。特に記事で紹介されたUniFi OS、SolarWinds Serv-U、Everest Forms Pro、プロトバッフなどは既に大規模な悪用が報告されているため、最優先での対応が必要です。

同時に、AI関連のガバナンス構築です。社内で利用されているAIツール、生成AI、検索エージェントのインベントリ作成、アクセス制御、監視ログの実装が急務です。

最後に、インシデント対応態勢の強化です。ビッシング、物理侵入、データ窃取を組み合わせた攻撃が増加しているため、複数部門（IT、セキュリティ、人事、法務、経営層）による統合的な対応態勢が必要です。

外部パートナーとの関係構築

記事では、複数の攻撃がMSP（マネージドサービスプロバイダー）経由で侵害が拡大している事例が紹介されています。MSP、クラウドプロバイダー、ベンダーとの関係において、セキュリティ要件の明示、定期的な監査、インシデント通知の迅速化などを契約に盛り込むことが重要です。

また、脆弱性情報の共有ネットワークに参加することも推奨します。記事で紹介されたCISAの既知悪用脆弱性（KEV）カタログは、政府が積極的に悪用を確認したものですが、業界コミュニティ内での情報共有により、より早期の対応が可能になります。

クロージング

今週のセキュリティニュースを見ると、攻撃と防御の非対称性がますます顕著になっていることがわかります。AI駆動型の自動攻撃により、攻撃者の効率性は指数関数的に向上している一方で、防御側は従来型のツールと人的リソースの制約に直面しています。

記事で紹介された複数の大規模侵害、重大脆弱性の悪用、インフラ施設への直接的な脅威は、すべて現在進行中の課題です。抽象的な脅威ではなく、既に実際に発生している事象として捉える必要があります。

セキュリティ担当者の皆様には、今週の情報を参考にしながら、自組織のリスク評価、優先施策の検討、経営層への報告を加速化することを強くお勧めします。特に、パッチ管理の加速化、AIガバナンスの構築、インシデント対応態勢の強化は、待ったなしの課題です。

記事で紹介された脆弱性やマルウェアキャンペーンについては、自組織への該当性を直ちに確認し、必要に応じて対応を開始してください。一週間の遅延が、侵害発生の有無を決める可能性も高まっています。

来週も引き続き、セキュリティ動向にご注目ください。東京セキュリティブリーフィングでした。また次回お会いしましょう。