投稿者 global-ai-media 
国家主導の攻撃グループが生成AIを悪用し、脆弱性の発見や攻撃ツールの作成を自動化している実態が明らかになりました。日本企業は、AIを単なる業務効率化のツールとしてだけでなく、サイバー脅威を加速させる要因としても認識し、セキュリティ運用とガバナンスの両面で戦略をアップデートする必要があります。
攻撃者も「業務効率化」のためにAIを使っている
Googleの脅威分析などによる最新の報告では、中国を拠点とする活動グループ(APT31やUNC795など)が、Googleの生成AIであるGeminiを悪用していたことが指摘されています。ここで注目すべきは、彼らがSF映画のような自律型AI兵器を使っているわけではなく、我々が日常業務でAIを使うのと同様に、「攻撃プロセスの効率化」のためにAIを活用しているという点です。
具体的には、ソフトウェアのコード監査(脆弱性の発見)、攻撃用スクリプトの生成、そしてターゲットシステムの分析といったタスクにAIが用いられています。これまで高度なスキルを持つハッカーが時間をかけて行っていた「穴探し」や「ツールの微調整」が、LLM(大規模言語モデル)によって高速化・自動化されつつあるのです。これは、攻撃の敷居が下がると同時に、攻撃のサイクルが劇的に短縮されることを意味します。
日本企業が直面する「AI対AI」の構図
日本の産業界にとって、この変化は看過できないリスクを含んでいます。製造業の知的財産やインフラ企業の制御システムなど、日本企業は以前から標的型攻撃のターゲットとされてきました。攻撃側がAIで武装し、日本語の不自然さを解消したフィッシングメールや、公開されている日本企業のコードの脆弱性を瞬時に突く攻撃を仕掛けてくる現在、従来の人力に頼った防御だけでは対抗が困難になりつつあります。
特に日本では、セキュリティ人材の不足が慢性的な課題です。攻撃の量と質がAIによって増幅される中、防御側もAIを活用したセキュリティ運用(AIOpsやSecurity Copilotなど)を導入し、ログ分析や初動対応を自動化することで、限られた人的リソースを高度な判断業務に集中させる「AI対AI」の体制構築が急務となります。
ガバナンスの死角:シャドーAIと防御の両立
また、今回の事例は「攻撃者が商用AIツールを悪用している」という点でも示唆に富んでいます。これは裏を返せば、一般社員が業務効率化のために安易に外部のAIツールを利用し、自社のソースコードや機密情報を入力してしまう「シャドーAI」のリスクとも表裏一体です。
日本企業では、リスクを恐れて「AI全面禁止」とするケースも散見されますが、攻撃側がAIで生産性を上げている以上、防御側がAIを封印するのは競争力の低下を招きます。重要なのは、禁止することではなく、自社のデータが学習に利用されないセキュアな環境(エンタープライズ版の契約や、入力データのフィルタリング機能の実装など)を整備し、安全にAIを活用できるガイドラインを策定することです。
日本企業のAI活用への示唆
今回のGoogleの事例は、AI技術がもはや「便利なツール」の域を超え、国家間のサイバー戦略の一部に組み込まれていることを示しています。日本の意思決定者や実務担当者は、以下の3点を意識して対策を進めるべきです。
1. 防御におけるAI活用の必須化
人手不足が深刻な日本において、AIによる攻撃の自動化に対抗するには、防御側もAIによる検知・対応の自動化を取り入れる以外に道はありません。セキュリティベンダー選定の際は、AIがいかに組み込まれているかを評価基準に含めるべきです。
2. 開発プロセスへのセキュリティ実装(Shift Left)
攻撃者がAIを使って脆弱性を探すのであれば、開発側もAIを使ってリリース前に脆弱性を潰す必要があります。CI/CDパイプラインにAIによるコードレビューを組み込むなど、DevSecOpsの実践がより重要になります。
3. 脅威インテリジェンスの重視と共有
AIを悪用した攻撃手法は日々進化します。自社だけで守るのではなく、業界団体やISAC(Information Sharing and Analysis Center)などを通じて、最新の攻撃手口やAI悪用のトレンドを共有し、組織全体でのリテラシーを高めることが求められます。