12件すべてがAI発見 ── OpenSSLセキュリティアップデートの衝撃

2026年1月27日、OpenSSLプロジェクトはセキュリティアドバイザリを公開し、12件の新規脆弱性に対するパッチをリリースした。そのすべてが、AISLE Researchの自律型AI分析システムによって発見されたものである。高深刻度のスタックバッファオーバーフロー(CVE-2025-15467、CVSS 9.8)から、1998年以来27年間潜伏していた型混同バグ(CVE-2026-22796)まで、脆弱性は8つ以上のサブシステムに及んだ。

OpenSSLは世界のセキュア通信の基盤を支える暗号ライブラリであり、過去数十年にわたり無数のセキュリティ研究者による監査を受けてきた。その成熟したコードベースから、単一のAIシステムが12件の未知の脆弱性を体系的に検出した事実は、脆弱性発見のパラダイムが根本的に変化したことを示している。

AISLEの自律型分析システム ── 発見の全容

AISLEは2025年10月にステルスモードから登場したAIネイティブ・サイバーリーズニングシステム(CRS)を提供するセキュリティ企業である。同社のプラットフォームは、脆弱性の自律的な特定、トリアージ、検証付き修復を一貫して行う。

AISLEリサーチチームがOpenSSLの脆弱性探索を自律型分析器で開始したのは2025年8月のことである。約5か月間の継続的な分析の結果、合計15件の脆弱性が検出された。うち3件は2025年第3四半期中に個別に開示され、残る12件が2026年1月のセキュリティアップデートに統合された。さらに、CVEとして公開されなかった6件の問題も検出・修正されている。

AISLEの分析器は、コンテキスト認識型の検出手法を用いてOpenSSLのコードを分析し、潜在的脅威に優先度スコアを割り当て、偽陽性を低減する。人間のレビュアーが数か月かかるコードパスやエッジケースを、AIは継続的かつ網羅的に検査できる点が決定的な違いである。AISLEは12件中5件について、OpenSSLプロジェクトに修正パッチを直接提供した。

OpenSSL Foundation CTOのTomáš Mráz氏は、「このリリースで修正された12件のセキュリティ問題はすべてAISLEによって報告されたものである。レポートの品質の高さと建設的なコラボレーションに感謝する」と述べている。

CVE-2025-15467 ── 認証不要のリモートコード実行リスク

12件の中で最も深刻度が高いのが、CVE-2025-15467(CVSS 9.8、HIGH)である。これはCMS AuthEnvelopedDataの解析処理におけるスタックバッファオーバーフローであり、AES-GCMなどのAEAD暗号を使用する場合に発生する。

技術的には、ASN.1パラメータにエンコードされた初期化ベクトル(IV)が、長さ検証なしに固定サイズのスタックバッファにコピーされる。攻撃者は過大なIVを含む細工されたCMSメッセージを送信することで、認証やタグ検証が行われる前にスタックベースの境界外書き込みを引き起こすことができる。CVSS評価では攻撃複雑性は「低」、必要権限は「なし」とされ、認証不要でリモートコード実行が可能となる条件が揃っている。

S/MIMEメール処理や信頼されないCMSコンテンツを解析するシステムは、直接的な影響を受ける。影響を受けるバージョンはOpenSSL 3.0〜3.6であり、3.0.19、3.3.6、3.4.4、3.5.5、3.6.1以降へのアップデートが必要である。

12件の脆弱性マップ ── 27年間潜伏したバグからポスト量子暗号まで

発見された脆弱性は、OpenSSLのレガシーコードから最新機能まで広範なサブシステムに分布している。以下に主要なCVEの概要を示す。

高深刻度(1件)

  • CVE-2025-15467 ── CMS AuthEnvelopedData解析のスタックバッファオーバーフロー。認証前のRCEリスク

中深刻度(1件)

  • CVE-2025-11187 ── PKCS#12のPBMAC1パラメータ検証不備。スタックベースバッファオーバーフローの可能性

低深刻度(10件)

  • CVE-2025-15468 ── QUICプロトコルの暗号スイート処理におけるNULLポインタ参照によるクラッシュ
  • CVE-2025-15469 ── ポスト量子署名アルゴリズムML-DSAにおける16MB超データの無通知切り詰め
  • CVE-2025-66199 ── TLS 1.3証明書圧縮を悪用したメモリ枯渇攻撃
  • CVE-2025-68160 ── ラインバッファリングにおけるメモリ破壊(OpenSSL 1.0.2以降に影響)
  • CVE-2025-69418 ── ハードウェアアクセラレーション環境でのOCBモード暗号化の欠陥。末尾1〜15バイトが暗号化されない可能性
  • CVE-2025-69419 ── PKCS#12文字エンコーディングにおけるメモリ破壊
  • CVE-2025-69420 ── タイムスタンプレスポンス検証時のクラッシュ
  • CVE-2025-69421 ── PKCS#12復号処理でのクラッシュ
  • CVE-2026-22795 ── PKCS#12解析時のクラッシュ
  • CVE-2026-22796 ── PKCS#7署名検証の型混同脆弱性。1998年から27年間潜伏(OpenSSL 1.0.2以降に影響)

注目すべきは、CVE-2026-22796やCVE-2025-68160のように、1990年代後半からコードベースに存在していた脆弱性が含まれている点である。数十年にわたる人間によるコードレビューでは検出されなかったバグを、AIが体系的なコード走査によって発見した。

脆弱性発見の産業化 ── AI研究プラットフォームの競争環境

AISLEの成果は孤立した事例ではない。2025年後半から2026年にかけて、AI駆動型の脆弱性発見プラットフォームが相次いで実績を公表している。

OpenAIは2025年10月、GPT-5を基盤としたエージェント型セキュリティ研究者「Aardvark」を発表した。コードリポジトリへのコミットを継続的に監視し、脆弱性の特定、悪用可能性の評価、パッチ提案までを自律的に行う。ベンチマークテストでは既知および合成導入された脆弱性の92%を検出し、すでに10件のCVE識別子を取得する成果を上げている。

Trend MicroのÆSIRプラットフォームは、AIオートメーションと専門家の監督を組合せたゼロデイ発見システムである。2025年半ば以降、NVIDIA、Tencent、MLflowのAIインフラから21件の重大CVEを発見している。MIMIRによるリアルタイム脅威インテリジェンスとFENRIRによるゼロデイ発見エンジンを組み合わせ、大規模コードベースを数時間でスキャンする。

一方で、AIの二面性も顕在化している。curlプロジェクトは2026年1月26日、2019年から運営してきたバグバウンティプログラムの終了を発表した。理由は、AI生成による低品質な脆弱性レポートの洪水である。AISLEはcurlに対しても5件の正当なCVEを報告しているが、大量の「AIスロップ」がバグバウンティの運営コストを維持不可能な水準に押し上げた。AIは中央値の品質を崩壊させると同時に、上限値(本物のゼロデイ発見)を引き上げるという、セキュリティ研究における二極化を加速させている。

構造的転換 ── 脆弱性発見から脆弱性予防へ

AISLEのOpenSSL事例が示す最大のインプリケーションは、脆弱性発見が「職人技」から「産業プロセス」へと移行しつつあることである。従来、重大な脆弱性の発見は個々の研究者の専門知識と直感に依存していた。AIの介入により、このプロセスは継続的・網羅的・スケーラブルなものへと変質する。

この転換は3つの構造的変化をもたらす。第一に、脆弱性発見のコスト構造が変わる。AIは人間の研究者が数か月かける分析を数週間で完了し、かつ24時間365日稼働する。発見コストの劇的な低下は、攻撃者側にも同じ能力をもたらすため、防御側が先手を打つ速度が決定的に重要となる。

第二に、レガシーコードの再監査が現実的になる。OpenSSLのように数十年にわたり維持されてきたコードベースには、人間のレビューで見落とされてきた脆弱性が潜在している。AIによる網羅的な再走査は、これまでコスト的に不可能だった大規模な「セキュリティ負債」の返済を可能にする。

第三に、オープンソースセキュリティのガバナンスモデルが問い直される。OpenSSLのようなクリティカルインフラを支えるプロジェクトは、限られたメンテナーのリソースで運営されている。AIによる脆弱性発見の急増は、修正・レビュー・リリースのキャパシティにボトルネックを生む可能性がある。AISLEがパッチ提供まで行った今回の事例は、「発見だけでなく修復までAIが担う」モデルの先駆けといえる。

脆弱性発見のAI産業化は、もはや将来の可能性ではなく、現在進行中の事実である。2026年1月のOpenSSLセキュリティアップデートは、その最初の決定的マイルストーンとして記録されることになるだろう。

FAQ

AISLEとはどのような企業か?

AISLEは2025年10月にステルスモードから登場したAIネイティブ・サイバーセキュリティ企業である。自律型サイバーリーズニングシステム(CRS)により、脆弱性の発見・トリアージ・修復を自動化する。初週で100件以上の脆弱性をLinuxカーネル、OpenSSL、cURL、Apacheスタック等で発見したと報告している。

CVE-2025-15467はどの程度危険か?

CVE-2025-15467はCVSS 9.8(Critical相当)のスタックバッファオーバーフローである。CMS AuthEnvelopedDataの解析時に認証なしでリモートコード実行が可能となる。S/MIMEメールや信頼されないCMSコンテンツを処理するシステムは直ちにパッチ適用が必要である。

なぜ人間のレビューでは27年間発見できなかったのか?

OpenSSLは成熟した高品質なコードベースであるが、人間によるレビューには認知的限界がある。特にレガシーコードの深いコードパスやエッジケースの網羅的な検査は、時間とコストの制約から優先度が下がりやすい。AIは疲労なく全コードパスを体系的に走査できるため、長期間潜伏していた脆弱性を検出できた。

AI脆弱性発見は攻撃者にも使われるリスクがあるか?

ある。AIによる脆弱性発見コストの低下は、攻撃者側にも同じ恩恵をもたらす。ただし、AISLEのような責任ある開示プロセスを通じて防御側が先手を打つことが、このリスクに対する最も効果的な対策である。AI駆動型の脆弱性発見を防御側が積極的に活用することが、セキュリティの非対称性を維持するうえで不可欠となる。

他にAI駆動型の脆弱性発見プラットフォームはあるか?

OpenAIの「Aardvark」(GPT-5ベースのエージェント型セキュリティ研究者)やTrend Microの「ÆSIR」(AIオートメーションと専門家監督のハイブリッド型ゼロデイ発見プラットフォーム)が代表例である。2025年後半から複数のプラットフォームが実績を公表しており、競争的な市場が形成されつつある。

参考文献