2026年5月、Google Threat Intelligence Group(GTIG)が「AIが開発したゼロデイエクスプロイト」を野生環境で初めて確認した。2FAバイパスを実現するPythonスクリプトは、過剰な教育的コメントやハルシネーションされたCVSSスコアなど、AI生成コードに特有の痕跡を残していた。同時期、AnthropicのClaude MythosはFirefox 150で271件のゼロデイ脆弱性を発見し、OpenSSLでは12件全件を検出している。攻撃側のtime-to-exploitが20時間を切る一方、企業の平均パッチ適用は88日を要する。この「60日超のギャップ」は、AI駆動の脆弱性発見が産業化した2026年において、従来の脆弱性管理モデルが構造的に破綻していることを示す。本稿では、攻撃・防御両面のAI活用の実態と、その経済的含意を分析する。

Google GTIG「AI生成ゼロデイ」初確認が意味する攻撃側の質的転換

2026年5月11日、GoogleのThreat Intelligence Group(GTIG)は、犯罪者集団がAIを使用して開発したゼロデイエクスプロイトを野生環境で初めて検出したと発表した。Bloombergをはじめ複数メディアが報じたこの事例は、サイバーセキュリティの歴史的転換点と位置づけられている。

標的となったのは、広く使われているオープンソースのWebベース管理ツールである。Googleは未パッチのユーザーを保護するため、具体的なソフトウェア名の公開を控えている。攻撃者が作成したPythonスクリプトは、ログインフローにおけるハードコードされた信頼例外を悪用し、二要素認証(2FA)をバイパスするものだった。CNBCの報道によれば、Googleの早期発見がなければ「大規模悪用イベント(mass exploitation event)」に発展していた可能性がある。

注目すべきは、このエクスプロイトがAI生成である証拠の特徴である。GTIGの分析では、(1)過剰に教育的なインラインコメント、(2)教科書的に構造化されたフォーマット、(3)実在しないCVSSスコアのハルシネーション、という3つの典型的AI生成痕跡が確認された。これは、攻撃者がAIを「補助ツール」としてではなく、エクスプロイト開発の「主体」として使用したことを示唆する。

GTIGはさらに、中国(PRC)および北朝鮮(DPRK)に関連する複数の脅威クラスターが、AI拡張型の脆弱性発見と攻撃開発に高度なアプローチを取っていることも報告した。国家支援型アクターがAIを脆弱性研究パイプラインに組み込んでいるという事実は、この技術の民主化が単なる犯罪者の効率向上ではなく、地政学的な攻撃能力の再編を意味することを示している。筆者がインシデント対応の実務で痛感してきた「1秒の判断遅れが被害範囲を指数関数的に拡大させる」という原則は、攻撃側にAIが加わったことで、もはや人間の判断速度では対応しきれない領域に突入しつつある。

GoogleによるAI開発ゼロデイ検知の詳細分析でも指摘したように、今回の事例はAI生成エクスプロイトの「阻止に成功した」最初のケースであると同時に、「検出に成功した」最初のケースでもある。すなわち、検出されていないAI生成エクスプロイトがすでに野生環境で活動している可能性を否定できない。

Claude Mythos ── Firefox 271件・OpenSSL 12件全件発見が示す「機械速度の脆弱性発見」の実態

2026年4月7日、AnthropicはClaude Mythos Previewを公開した。このモデルは、主要OS・ブラウザに対してゼロデイ脆弱性を自律的に発見し、動作するエクスプロイトを生成する能力を持つ。Anthropic自身の表現では「サイバー能力で全モデルを圧倒」するとされ、その能力はセキュリティコミュニティに衝撃を与えた。

Mozillaとの共同プロジェクトは、Mythosの能力を最も可視的に示した事例である。2026年2月からAnthropicのFirefoxセキュリティチームとの協力が開始され、初期フェーズではClaude Opus 4.6を使用して2週間で22件の脆弱性が発見されFirefox 148で修正された。続くMythos Preview適用フェーズでは、単一の評価パスでFirefox 150に対して271件の離散的なコード欠陥が特定された。Mozillaの公式セキュリティアドバイザリでは41件のCVEエントリとして集約され、そのうち3件がClaude直接のクレジットとされているが、実際の発見数は桁違いに多い。

Bruce Schneierが自身のブログで指摘したように、「堅牢化された対象に対して、こうしたバグが1件でも見つかれば2025年ならレッドアラートだった」のであり、それが271件という規模で発見された事実は、脆弱性発見のパラダイム自体が変わったことを意味する。Mozillaはこの成果をポジティブに捉え、「ゼロデイの日々は番号付きだ(The zero-days are numbered)」と題したブログ記事で、AIがセキュリティを防御側にシフトさせると主張した。

OpenSSLに対する成果はさらに象徴的である。AI自律ペンテストツールの比較分析でも触れたÆSIRプロジェクトの一環として、Claude Opus 4.6は単一のセキュリティリリースに含まれる12件の脆弱性すべてを検出した。中には25年以上前から存在していたCVSS 9.8の重大脆弱性も含まれている。Anthropicの広範な研究では500件超のCVEが発見されており、OpenBSDでは1,000回未満の自律実行で27年前の脆弱性を発見、コスト約20,000ドルで完了した。

この経済性が意味するところは深刻である。従来、1件のゼロデイ発見には数千時間の専門家の作業と数十万ドルのコストが必要だった。それが数時間・数万ドルで可能になったということは、脆弱性発見が「希少な専門知識に依存するクラフト」から「計算リソースに依存する産業プロセス」へと転換したことを示す。

20時間 vs 88日 ── 企業パッチサイクルの構造的崩壊と防御経済学

AI駆動の脆弱性発見が産業化した2026年において、最も深刻な問題は攻撃側と防御側の時間差である。Google M-Trends 2026によれば、新規公開脆弱性の平均time-to-exploit(TTE)は推定「マイナス7日」──つまり、脆弱性が公開される前にすでに悪用が始まっている。Sergej Eppのゼロデイクロックに基づくデータでは、平均TTEは20時間を下回る。

対して防御側はどうか。2026年の統計が示す現実は厳しい。企業がクリティカルな脆弱性にパッチを適用するまでの平均時間は88日である。CISA KEV(Known Exploited Vulnerabilities)カタログに登録された脆弱性ですら、修正プログラムの公開後55日を経ても50%がパッチ未適用のまま残っている。公開後1週間以内にクリティカルな脆弱性の54%以上が積極的な悪用を受けている現実と合わせると、この「60日超のギャップ」は企業のセキュリティポスチャーにとって致命的な構造欠陥である。

さらに深刻なのは、NVD(National Vulnerability Database)の処理能力の限界である。NISTは2026年4月中旬、提出されたCVEの大半をもはやエンリッチ(詳細分析・スコアリング)できないことを認めた。30,000件以上のエントリが未分析のまま滞留している。つまり、脆弱性は発見・公開されても、防御側が優先順位付けに使うメタデータが欠落した状態で放置される。

この状況をIvantiは「パッチ・アポカリプス(Patch Apocalypse)」と呼んでいる。従来の脆弱性管理モデルは、(1)脆弱性が公開され、(2)ベンダーがパッチを開発し、(3)企業がテスト後に適用する、というシーケンシャルなプロセスを前提としていた。しかし、AI駆動の脆弱性発見がこのプロセスの前提を2つの方向から破壊している。第一に、発見速度が向上したことで同時に対処すべき脆弱性の数が爆発的に増加した。第二に、攻撃側のTTEが短縮されたことで、パッチ適用の「余裕期間」が消失した。

筆者が全国規模WAFサービスの技術主任として経験した「止められないという制約が技術的判断の全てを支配する」という現実は、パッチ管理においても同様に作用している。本番環境を停止できない企業は、パッチ適用のためにメンテナンスウィンドウを確保すること自体が困難であり、この運用上の制約がTTEの短縮と相まって、従来型のパッチサイクルを構造的に不可能にしている。Help Net Securityの分析では、侵害の60%が「パッチが利用可能だった既知の脆弱性」の悪用によるものであり、問題はパッチの不在ではなく適用速度にある。

AI発見CVE大量流入時代の防御側対抗策 ── リスクベース優先順位付けと自動修復への移行

AI駆動の脆弱性発見が産業化した環境において、防御側が取りうる対抗策は「全件パッチ」ではなく「構造的リスク低減」への転換である。CERT-EUが2026年に公開したアドバイザリは、AIが脆弱性発見の経済学を恒久的に変えたと宣言し、防御側に即座の適応を求めた。

第一の対抗策は、AIベースのリスク優先順位付けである。NVDのエンリッチ遅延が常態化した以上、CVSSスコアのみに依存した優先順位付けは機能しない。Armorcode社が提唱する「Claude Mythosセキュリティプレイブック」では、脆弱性をビジネスインパクト・攻撃可能性・資産重要度の3軸で動的にスコアリングし、88日の平均パッチ時間を実効的に短縮するアプローチを推奨している。実際には全脆弱性の約5%が実際のリスクの80%を占めるとされ、この5%を72時間以内に処理する体制構築が鍵となる。

第二は、自動パッチ適用と仮想パッチの併用である。全件の本番パッチ適用が物理的に不可能である以上、WAFルール・ランタイムアプリケーション自己保護(RASP)・マイクロセグメンテーションによる仮想パッチで、本番パッチ適用までの脆弱性ウィンドウを縮小する戦略が現実的である。Ivantiの分析では、AI駆動の自動パッチ管理を導入した組織は平均修復時間を60%短縮したとされる。

第三は、攻撃面の根本的縮小である。Deterministic AI vs Agentic AIのセキュリティ設計トレードオフで分析したように、パッチ不要な防御──すなわちメモリ安全言語への移行、イミュータブルインフラストラクチャ、ゼロトラストアーキテクチャの徹底──が中長期的には最も費用対効果が高い。Siderolabsが主張する「パッチでは救えない(Patching Won't Save You)」というポジションは、イミュータブルOSとコンテナ化により、パッチ適用自体を不要にするアーキテクチャを提案している。

第四は、防御側によるAI活用の加速である。Mozillaの事例が示すように、Mythosが271件を発見できたということは、同じ技術を防御側が「攻撃者より先に」脆弱性を発見するために活用できることを意味する。HackerOneが報告するように、AI脆弱性発見は修復を追い越しているが、同じAIを修復の自動化に適用することで、発見から修復までのサイクルを日単位から時間単位に短縮できる可能性がある。ただし、この「AI防御」の実効性はまだ実証段階であり、2027年以降の実運用データが必要である。

2026年後半の展望 ── オープンウェイトモデルの能力到達と90日開示ルールの終焉

2026年後半に向けて、AI駆動の脆弱性発見をめぐる環境はさらに厳しくなると予測される。複数の構造的要因が同時に進行しているためである。

第一の要因は、オープンウェイトモデルの能力ギャップ縮小である。CERT-EUのアドバイザリが警告するように、フロンティアモデルとオープンウェイトモデルの脆弱性発見能力の差は着実に縮まっている。Mythosクラスの能力は現時点ではAnthropicの管理下にあるが、同等の能力がオープンソースコミュニティを通じて広くアクセス可能になるのは時間の問題である。UK AI Safety Institute(AISI)のデータによれば、AIサイバー攻撃能力の倍増期間は4.7ヶ月であり、年内に現在のMythosに匹敵するオープンウェイトモデルが登場する可能性は無視できない。

第二の要因は、CVE登録数の構造的爆発である。2026年はCVE総数が50,000件を超えると予測されており(FIRST予測では59,427件)、NVDの処理能力を大幅に超過する。AI発見CVEがこの洪水にさらに追い打ちをかけることで、脆弱性管理システム全体が飽和状態に陥るリスクがある。

第三は、責任ある開示フレームワークの崩壊である。従来の90日開示ルール(Google Project Zeroが確立した、発見者が90日後に脆弱性を公開するという慣行)は、AI駆動の発見速度と攻撃側のTTE短縮により、もはや機能しない。Claude Mythos削除騒動の分析で指摘したように、Mythosの削除(その後の限定的再公開)をめぐる議論は、高度な脆弱性発見能力を持つAIモデルをどのように管理すべきかという根本問題を浮き彫りにした。Cloud Security Alliance(CSA)はMythosの「自律攻撃閾値」を超えたと評価しており、責任ある開示と能力管理の新たな枠組みが急務である。

企業が今すぐ取るべきアクションは明確である。(1)TTEが24時間以内である前提でインシデント対応プレイブックを再設計する。(2)CVSSスコアのみに依存した優先順位付けから、ビジネスインパクトベースの動的スコアリングに移行する。(3)仮想パッチとWAFルールによる暫定防御を標準化する。(4)防御側のAI活用──自社コードベースへのAI脆弱性スキャン──を年内に開始する。2026年は「AI脆弱性発見の産業化元年」であり、この変化に適応できない組織は、攻撃面の管理において構造的な不利を被り続けることになる。

FAQ

AI生成ゼロデイエクスプロイトとは何ですか?

AIが脆弱性を自律的に発見し、動作するエクスプロイトコードを生成したものを指す。2026年5月にGoogleが初めて野生環境で確認した事例では、2FAバイパスを実現するPythonスクリプトがAI特有のコメントスタイルやハルシネーションされたCVSSスコアを含んでいた。攻撃者がプロンプトで指示するだけでエクスプロイトが生成される点が従来と質的に異なる。

Claude MythosはFirefoxで何件の脆弱性を発見しましたか?

2026年4月の評価で271件の離散的コード欠陥を発見した。Mozillaの公式アドバイザリではこれらが41件のCVEに集約され、Firefox 150で修正された。初期フェーズのClaude Opus 4.6では2週間で22件を検出しており、Mythosへの進化で発見能力が10倍以上向上した計算となる。

企業のパッチ適用に平均何日かかりますか?

2026年の統計ではクリティカルな脆弱性の修復に平均88日を要する。CISA KEVカタログに登録された「悪用が確認済み」の脆弱性ですら、修正プログラムの公開後55日が経過しても50%がパッチ未適用のまま残っている。攻撃側のTTEが20時間を切る中、この60日超のギャップが構造的な侵害リスクとなっている。

AIによる脆弱性発見は防御側にとってもメリットがありますか?

大きなメリットがある。Mozillaの事例では、Mythosが「攻撃者より先に」271件を発見し修正できた。防御側がAIを使って自社システムを先行スキャンすることで、攻撃者に悪用される前に脆弱性を塞げる。ただし、オープンウェイトモデルの能力向上により、攻撃側にも同等の技術がアクセス可能になるため、先行優位は時間との戦いである。

NVDの処理遅延は脆弱性管理にどう影響しますか?

NISTは2026年4月時点で30,000件以上のCVEが未分析のまま滞留していることを認めた。CVSSスコアや影響範囲といったエンリッチメントデータが欠落することで、企業はパッチ優先順位付けの判断材料を失う。CVSSのみに依存した従来型管理からビジネスインパクトベースの動的評価への移行が不可避となっている。

90日開示ルールはなぜ機能しなくなったのですか?

Google Project Zeroが確立した90日開示慣行は、発見から悪用まで数ヶ月の猶予がある前提で設計された。しかしAI駆動の発見ではTTEが数時間に短縮され、90日の開示期限を待つ間に攻撃者が独自にAIで同じ脆弱性を発見・悪用するリスクが急増している。開示タイムラインの短縮と段階的開示の新フレームワークが議論されている。

企業は今すぐ何をすべきですか?

(1)インシデント対応プレイブックをTTE 24時間以内に対応する設計へ改訂する。(2)CVSSのみの優先順位付けからビジネスインパクトベースの動的スコアリングに移行する。(3)OWASPエージェントセキュリティ基準も参照し、WAF・仮想パッチによる暫定防御を標準化する。(4)自社コードベースへのAI脆弱性スキャンを年内に開始することが推奨される。

参考文献