AI 主導のサイバー攻撃に対する実践的な防御

AI によるサイバー攻撃の時代が到来しました。最近、あるエージェント型 AI ツールが広範なスパイ活動に悪用されたことが、それを明確に示しています。防御のためには、事前のエクスポージャー管理に焦点を当てた新しいアプローチが求められます。それは、強化されたセキュリティ基盤を構築しつつ、新たな AI アタックサーフェスを定義し、自らの防御 AI によって攻撃に対応するというものです。

新たな境界線を越えた

AI 主導のサイバー攻撃をめぐる理論的な議論 (自動化されたエージェント、AI が生成するエクスプロイト、そしてほぼ検知不可能なフィッシング) は、もはや現実のものとなりました。AI モデルの進化により、攻撃の洗練度とスピードは飛躍的に高まり、攻撃者がこれまで以上に高度で迅速な手口を実行できるようになっています。

この懸念すべき傾向を象徴する最近の事例が、Anthropic が公表した事件です。Anthropic のエージェント型 AI ツール「Claude Code」が国家レベルの攻撃者によって悪用され、約 30 の組織を標的とした大規模なサイバースパイ活動が展開されました。いくつかの組織は、Anthropic が攻撃者の Claude Code アカウントを停止する前にすでに侵害を受けていました。

報告によると、攻撃者は Claude Code を「脱獄」させ、スパイ活動全体の 80〜90% を自動化することに成功したとされています。具体的には、Claude Code に次のようなタスクを実行させていました。

• 標的システムの偵察
• 発見した既知の脆弱性に対する独自のエクスプロイトコードの作成
• 認証情報を収集し、ラテラルムーブメントや権限昇格を実施
• データを流出させ、攻撃の内容を人間のオペレーター向けに記録

さらに Anthropic は、Claude Code が自律動作中に過大な検出結果を出したり、ハルシネーションを起こしたりしたことを指摘しています。皮肉なことに、これが攻撃者にとっては妨げとなり、結果的に防御側の助けとなったといいます。

しかし、AI モデルが成熟するにつれて、エージェント型 AI による攻撃が現実の脅威となる可能性はますます高まっています。

明確にしておきたいのは、Anthropic が 11 月 13 日に公表したこの事件が、後戻りできない新時代の幕開けを意味している、ということです。同時に、長年セキュリティチームを悩ませてきた課題に光を当てたとも言えます。先制的なエクスポージャー管理の必要性は、かつてないほど高まっていいます。

— Tenable CSO、Robert Huber 「Agentic AI Security: Keep Your Cyber Hygiene Failures from Becoming a Global Breach"

AI を悪用する新たな脅威に対抗するためには、これまでの防御ルールではもはや十分とは言えません。いま必要なのは、「事前対応型のエクスポージャー管理」を中心に据えた新しい戦略です。

このブログでは、AI 攻撃に効果的に対抗するための 3 つの核心的アプローチを解説します。すなわち、譲れない基本原則の強化、新たな AI アタックサーフェスの定義と防御、そして最終的には AI に対して AI で戦うことです。

フェーズ 1: 基礎から事前対応型のエクスポージャー管理へ

脱獄させられた Claude Code AI エージェントが、攻撃者のために「魔法のような」ことをしたわけではありません。ゼロデイ脆弱性を一から作り出したわけでもなく、実際にはセキュリティチームが長年閉じようとしてきた既知の隙 (弱い認証情報、未修正のシステム、過剰なアクセス許可など) を悪用したにすぎません。違いは、AI がこれらの悪用を自動化し、加速させるという点にあります。

セキュリティの基本原則も進化しなければなりません。もはや「問題が起きたら対応するためのチェックリスト」ではなく、統合的かつ事前対応的、そして予測的なプログラムであるべきです。

1. 多要素認証 (MFA) は必須

Anthropic の報告によると、AI エージェントは大規模に認証情報を収集していました。そのため、すべてのアカウント、すべてのログインにおいて MFA を導入することが必須です。

しかし、そこで止まってはいけません。SMS やプッシュ通知といった、なりすましや疲労攻撃に弱い手法では、もはや十分とは言えません。AI 主導の攻撃は、ソーシャルエンジニアリングを駆使してユーザーを誘導し、クリックや操作を通じて初期侵入を成立させることができます。

だからこそ、業界全体として最も強固な MFA を推進すべきなのです。特に、FIDO2 準拠キー (例: YubiKey) や高信頼な生体認証といったフィッシング耐性の高い認証手段が重要です。これらの手法は、ユーザー本人およびログイン要求の発信元を検証し、AI がパスワードを入手していたとしても、認証情報を収集して突破することをほぼ不可能にします。なりすましの余地を一切残してはならないのです。

2. 最小権限の原則

Anthropic によると、攻撃は次のように展開されました。AI エージェントは複数のシステム間を自在に移動しながら、価値の高いデータを探し求め、人間の侵入者と同様の行動を模倣しました。決定的な違いは効率性です。人間の攻撃者は目立つ活動を伴い、時間を要しますが、AI は数千もの攻撃経路を数秒で解析できます。

ここで「最小権限の原則」が、侵入拡大を防ぐための中核戦略となります。ただし、攻撃経路が見えないままでは、この原則を実践することはできません。これは、リスク露出管理の根幹にあたります。Tenable One のようなプラットフォームは、攻撃経路の可視化を提供し、攻撃者(AI を含む) が一見低リスクな権限や資産を連鎖させて、重要情報(クラウンジュエル)に到達する経路を明らかにします。これは、エクスポージャー出管理の根幹にあたります。Tenable One のようなプラットフォームは、攻撃経路の可視化を提供し、攻撃者 (AI を含む) が一見低リスクな権限や資産を連鎖させて、重要情報 (クラウンジュエル) に到達する経路を明らかにします。

こうした「危険な組み合わせ」を可視化することで、次のような対策が可能になります。

• 最小権限の原則を優先する: 推測に頼らず、最も危険な攻撃経路を生み出す特定の権限を特定し、削除することができます。
• ジャストインタイム (JIT) アクセスを導入する: 誰も管理者権限を恒常的に「保有」すべきではありません。必要なときに正当な理由を添えて一時的に付与し、期限が過ぎたら自動的に無効化される仕組みが理想です。
• 侵害を封じ込める: AI 攻撃者がアカウントを侵害しても、被害が拡大する前に食い止めることが重要です。特にチョークポイント (単一の脆弱な資産や露出箇所) を修正することで、多数の攻撃経路を同時に遮断できます。これにより、侵害されたアカウントが重要システムへ到達する経路を断つことができます。

3. 積極的なパッチ対応だけでは不十分

AI は既知の脆弱性に対して自らエクスプロイトコードを生成しました。つまり、CVE が公開されてからその脆弱性が武器化されるまでの時間が、従来の「数週間」から「数秒」へと短縮されたことを意味します。

CVSS (共通脆弱性スコアリングシステム) に基づき、数とスピードを重視した脆弱性修正のアプローチはもはや勝ち目のない戦略です。チームが CVE 情報を確認し、調査し、パッチをテストし、展開をスケジュールする間に、AI はすでに公開環境全体をスキャンし、脆弱性を特定し、エクスプロイトコードを生成しているのです。さらにこの従来手法では、実際にビジネスへ与えるリスクについては何も示してくれません。

これこそが、真の「エクスポージャー管理プラットフォーム」が必要とされる理由です。私たち業界は、単にスピードを競うのではなく、より賢く対応することでこの競争に勝たなければなりません。他の露出やリスクを把握しないまま、脆弱性を「真空状態」で修正することは不可能です。

以下のことを行う必要があります。

• 全体のエクスポージャー状況を可視化する: 見えないものにはパッチを当てられません。AI エージェントは、IT、クラウド、OT、Web アプリ、ID 管理など、あらゆる攻撃面をスキャンしています。 そのため、これらすべてを一元的に把握できる統合プラットフォームが必要です。
• 重要なものに優先順位をつける: すべての脆弱性を追いかけるのではなく、実際に悪用されている、または近い将来悪用される可能性が高いごく一部を特定するために、予測的な優先順位付けを行うべきです。
• 攻撃経路に注目する: AI エージェントは、最も容易に侵入できる経路を探しています。攻撃経路分析と脆弱性データを組み合わせることで、AI にドメインコントローラーや顧客データベースへの直接経路を与える脆弱性を特定し、そこにリソースを集中させることが可能です。

4. ヒューマンファイアウォール

フィッシングメールは完璧に近づいています。スペルミスや文法上の誤りはすべてなくなりました。AI は、あらゆる言語で、完璧で、文脈に沿った、説得力の高いメールを生成できます。

強固なヒューマンファイアウォールを構築したいのであれば、セキュリティ意識向上トレーニングは、もはや怪しいリンクをクリックしないように促す 30 分の年次ビデオだけでは不十分です。新しい研修では、心理的な操作とプロセスの検証に重点を置く必要があります。

従業員を訓練して、提示された内容ではなく、その要求自体に疑念を抱くようにさせなければなりません。従業員は、以下のような要素を検出できるように訓練されなければなりません。

• 緊急性 (例:「今すぐ対応してほしい」)
• 秘密保持の強調 (例:「誰にも言わないで」)
• 権威の利用 (例:「私は CEO です」)
• 不自然な依頼 (例:「この新しい取引先に至急送金を」)

ここで唯一の防御策は、効果的な組織的ツールによって強化された、セキュリティ意識の文化を変えることです。代わりに、すべての従業員が一時停止して、疑わしいリクエストを手動で確認できるようにします。この強制的な注意と時間の遅延が、即時のクリックを妨げるのです。例えば、電話で直接確認する、別のチャネル (メッセージアプリなど) で再確認する、といった行動を標準化します。この遅延を強制し、視覚的な合図を追加するためにツールを導入し、注意を促すためにリンクにマークアップを施すべきです。「この依頼を確認するために電話しました」という言葉に対して、「確認していただきありがとうございます。感謝します」と返答されるような文化を築かなければなりません。

フェーズ 2: 新たな AI アタックサーフェスを掌握する

AI は攻撃者にとって単なるツールではなく、攻撃者そのものなのです。そして、それは全く新しい双方向のアタックサーフェスを生み出し、セキュリティチームが管理するようになるのです。

1. 外部流出リスク: 従業員による AI の利用

これは、ほとんどのリーダーが最初に思い浮かべるものです。善意の従業員が、独自のソースコード、顧客契約、または戦略計画を公開AIモデルに貼り付けてしまった場合、何が起こるでしょうか。そのデータはもはや私たちの管理下にありません。

これは、データの流出や知的財産の損失につながる、大規模で未チェックの経路です。AI ツールをただブロックするだけでは不十分です。生産性向上というメリットが大きすぎるためです。Tenable One サイバーエクスポージャー管理プラットフォーム の一部である Tenable AI Exposure と Tenable AI Aware は、まさにこのユースケースに対応するように設計されています。

Tenable AI Exposure は、セキュリティチームが組織全体の AI 利用状況を把握し、保護し、管理するのに役立ちます。以下の点について可視化します。

• AI プラットフォームとエージェント、それにユーザーの意図、プロンプト、そして応答を組み合わせたもの
• プロンプトインジェクションやジェイルブレイクの試みなどの悪意のある活動
• 設定ミスや安全でない接続による潜在的なデータ漏洩

一方、Tenable AI Aware は、組織内のシャドー AI に対する可視性と制御を提供します。これにより、以下のことが可能になります。

• AI の不正利用の検出
• AI の脆弱性の検出
• AI 開発の促進

2. 外部からの脅威: 自組織に向けられた悪意ある AI

悪意のある AI エージェントが、あなたの公開されているインフラを攻撃し始めたらどうなるでしょうか。

AI エージェントの最初のステップは常に偵察です。簡単な侵入経路を探すのです。ここで、包括的なアタックサーフェス管理 (ASM) プログラムが不可欠となるのです。見えないアタックサーフェスは防御できません。

自社の組織を「攻撃者の視点」で見つめることで、悪意のある AI エージェントがそれらを発見する機会を得る前に、オープンポート、脆弱なソフトウェア、設定ミスのあるクラウドサービスなどの脆弱性を事前に発見し、修正することができます。

フェーズ 3: AI による AI との戦い

これが新しい防衛策の核心であり、最も重要な変化です。

どんなに優秀なサイバーセキュリティの専門家チームであっても、毎秒数千件ものリクエストを送信する攻撃を阻止するために、手作業でログを確認することはできません。AI ツールに読書量、クリック数、思考力で勝つことはできません。AI ツールに対抗するには、より優れた AI ツールを使うほかありません。

1. AI による脅威検知

我々業界は、AI を活用して自衛しなければならないのです。これは、Tenable が脆弱性管理に適用しているのと同じ哲学です。つまり、AI を使用して、どの脆弱性が悪用される可能性が最も高いかを予測するのです。その場合、行動のベースライン設定が重要になります。セキュリティチームは、すべてのユーザーとデバイスの通常の動作のベースラインを構築し、そこからの逸脱を警告する必要があります。

2. リアルタイム異常検知

AI による防御システムは、人間の分析者が見落としてしまうような文脈を認識できます。例えば、あるアカウントが午前 3 時に新しい国から GitHub にログインし、これまで一度も触れたことのない 3 つのリポジトリをクローンし、API エンドポイントへのアクセスを試みる、といったケースです。これらの出来事のどれか一つだけなら、問題ないかもしれません。しかし、AI を活用した SIEM は、チェーン全体を把握し、それを高確率で発生し得ない移動とデータアクセス異常のシーケンスとして認識し、即座にアカウントをロックすることができます。

3. AI 支援型インシデント対応プレイブック

Anthropic が指摘したように、同社のセキュリティチームは、この攻撃を分析するために Claude Code を多用しました。セキュリティの専門家は、セキュリティオペレーションセンター (SOC) において、AI を「チームメイト」として活用できるよう準備する必要があります。インシデント発生時には、誰もがすぐに使える「プロンプトギャラリー」を用意しておくべきです。

以下は、あらゆる LLM で使用できる段階的なプレイブックの例です。

ステップ I:トリアージ

SIEM が 1 万件のアラートを発しています。人間の分析者では対応できません。

• プロンプト:「[1000 件のアラートを一括貼り付け] これらのアラートをタイムスタンプ、送信元 IP、ユーザー、およびアセットに基づいて関連付けまてください。」 上位 5 つの固有のインシデントを特定し、それぞれを要約し、潜在的な影響に基づいて推奨される優先度レベル (クリティカル、高、中、低) を提示してください。
• メリット: 管理不能な 1 万件のアラートを、5 件の対応可能なインシデントに変換できます。

ステップ II: 分析

重大なインシデントが発生しました。何が起こったのかを知る必要があります。

• プロンプト (IoC): 「[タイムスタンプ] から [タイムスタンプ] までの、ユーザー [ユーザー名] に関するファイアウォール、EDR、および Active Directory のログを分析してください。」 異常なアクティビティをすべて特定し、関連する IoC (IP アドレス、ドメイン、ファイルハッシュ) をリストアップし、それらを MITRE ATT&CK フレームワークにマッピングしてください。
• プロンプト (根本原因): 「この確認された悪意のある活動 [要約] に基づくと、最も可能性の高い根本原因として考えられるものは何ですか。(3 つ挙げてください)」 それぞれの主張を証明または反証するために、どのようなデータを収集する必要があるでしょうか。
• メリット: 手作業によるログの相関分析にかかる時間を数時間から数秒に短縮し、TTP (戦術、技術、手順) と根本原因の仮説を即座に提供します。

ステップ III: 修正

攻撃を確認しました。行動を起こす必要があります。

• プロンプト: 「[MITRE TTP] に合致する挙動を示す、侵害された Windows エンドポイントに対する段階的な修復計画を作成してください。」 ネットワーク分離、レジストリキーの削除、EDR/ウイルス対策スキャンに関する PowerShell コマンドを含めてください。また、影響を受けたユーザー向けに、簡潔で専門用語を使わない連絡文を作成してください。
• プロンプト (封じ込め): 「[IP アドレス] から発生したと疑われるラテラルムーブメント攻撃に対する、緊急の封じ込め措置は何ですか。」 疑わしいアカウントを無効にするための具体的なファイアウォールルールと Active Directory の操作手順を提示してください。
• メリット: 即時かつ正確な対応手順を提供し、平均修復時間 (MTTR) を短縮し、プレッシャー下での人的ミスを最小限に抑えます。

ステップ IV: 事後対応と報告

インシデントは解決しました。報告して改善する時です。

• プロンプト: 「この事件全体を [事件データ/要約をすべて貼り付ける]、非専門家向けに 3 段落の要約にまとめてください。」 事業への影響、講じた措置、および次のステップに焦点を当ててください。
• プロンプト (改善点): 「このインシデントから特定された、上位 3 つのセキュリティ管理上のギャップは何ですか。」 当社のセキュリティ体制に対する具体的かつ長期的な改善策を推奨してください。
• メリット: 報告とフィードバックのサイクルを劇的に加速させ、危機をデータに基づいた、実行可能なセキュリティ改善へと転換します。

まとめ: 拡張される人間

AI を活用した攻撃の時代は、すでに到来しています。Anthropic の報告書は、急速に新たな常態になりつつあるものに対する警告です。

この事件は、事態を加速させるものです。組織は、基本を完璧にし、事前対応型のエクスポージャー管理戦略を採用し、アタックサーフェス全体を把握する必要があります。

人間の守護者は置き換えられるわけではありません。私たちは拡張されているのです。サイバーセキュリティの未来は、人間と AI の戦いではありません。それは、統合されたエクスポージャー管理プラットフォームを装備した人間と、攻撃者の AI との戦いです。勝者は、人間の直感とアルゴリズムの速度の最適な連携を構築したチームとなるでしょう。

これが新たなフロンティアです。さあ、仕事に取り掛かりましょう。