2026年1月29日、IPA(情報処理推進機構)は「情報セキュリティ10大脅威 2026」を公開し、組織向け脅威の第3位に「AIの利用をめぐるサイバーリスク」を初選出した。これは単なる新顔ではなく、攻撃実務の重心が「人をだます」「AIを悪用する」「攻撃工程を自動化する」の三層で同時進行していることを示すシグナルである。本稿は、IPAの選定結果を起点に、AIリスクの技術的本質を脅威モデリングの視点で整理する。

IPA 2026で何が変わったのか

IPA公開資料では、組織向け脅威の1位が「ランサム攻撃による被害」、2位が「サプライチェーンや委託先を狙った攻撃」、3位が「AIの利用をめぐるサイバーリスク」である。特に3位は初選出(初選出年: 2026年)であり、AI関連リスクが「将来の懸念」ではなく、既存脅威と同列の運用課題になった点が重要である。

順位の読み方で重要なのは、AIが単独で新しい攻撃カテゴリを作るだけではないことである。むしろ、フィッシング、脆弱性悪用、ランサムウェアなど既存手口のスループットを上げ、侵入から影響発現までの時間を短縮する「増幅器」として機能する。この構造を前提にしないと、従来どおりの個別対策は局所最適に留まりやすい。

「AIリスク」を構成する3要素: 利用者・技術・攻撃者

第1要素は利用者リテラシーである。AI出力を「正しいらしい文章」として過信し、検証なしに業務判断へ流し込む運用は、誤情報混入や機密漏えいを誘発する。NISTのGenerative AI Profile(NIST AI 600-1、2024年7月)は、GAIリスクが人間の誤用・悪用、ならびに人間とAIの相互作用から発生することを明示している。つまり、教育不足は人的リスクではなく、AIシステムのセキュリティ境界そのものを弱くする技術要因である。

第2要素はAI技術特性である。大規模モデルは汎用性ゆえに多目的へ転用され、同一基盤モデルの広範利用は相関故障や同時被害を拡大しやすい。NISTは、GAIが既存リスクを増幅し、未知リスクの見積りを難しくすると整理している。これは防御側にとって、従来の「既知脆弱性中心」の評価軸だけでは足りないことを意味する。

第3要素は攻撃者進化である。ENISAの2025年10月1日公表資料では、AIが悪性活動の最適化ツールとして機能し、LLMがフィッシング高度化やソーシャルエンジニアリング自動化に使われる傾向が示されている。攻撃者がAIを使うことで、標的選定・文面生成・侵入試行・再侵入の反復が高速化し、少人数でも高頻度キャンペーンを継続しやすくなる。

エージェント型AIによる全自動攻撃シナリオ

以下は実在インシデントの断定ではなく、公開TTPを接続した技術シナリオである。MITRE ATT&CKで定義されるT1595(Active Scanning)とT1486(Data Encrypted for Impact)を中核に、攻撃工程をエージェント化した場合を想定する。

Phase 1(偵察): エージェントが外部公開資産を継続スキャンし、脆弱なエンドポイント候補を優先度付きで列挙する。Phase 2(初期侵入): 既知脆弱性悪用または認証情報悪用を自動試行し、成功パターンを自己評価して次ターゲットへ横展開する。Phase 3(権限拡大・横移動): 収集済み認証情報と運用ミスを組み合わせ、管理系資産へ到達する。Phase 4(影響): バックアップ妨害と同時に暗号化実行(T1486)を行い、復旧コストを最大化する。

従来型攻撃との違いは、各フェーズを人手でつなぐ必要が薄れる点である。エージェント型AIは、攻撃計画の再計算、失敗時分岐、優先順位更新を機械的に繰り返せるため、1回あたりの成功率が同等でも、試行回数の増大によって実効リスクは上昇する。ここに「攻撃高度化」の実体がある。

防御側が取るべき設計原則

第一に、防御も工程思考へ切り替えるべきである。単一製品の導入ではなく、偵察検知、初期侵入阻止、権限昇格抑止、暗号化前封じ込めを時系列で設計する。第二に、AI利用ガバナンスを情報セキュリティ管理の本流に統合し、プロンプト運用、入力データ分類、出力検証責任を明文化する。第三に、攻撃速度に対抗するため、脆弱性管理・ID管理・バックアップ隔離を自動化し、復旧演習を平時から実測ベースで回す必要がある。

IPAの2026年ランキングは、AIを「便利なツール」か「危険な技術」かの二項対立で語る段階の終わりを示した。実務上の論点は、AIを使うか否かではなく、AIを含む攻撃連鎖と業務連鎖をどこまで定量的に統治できるかである。2026年以降の競争力は、AI導入量ではなく、AI時代のセキュリティ運用成熟度で決まる。

FAQ

Q1. 「AIの利用をめぐるサイバーリスク」が3位であることは、AI導入を止めるべきという意味か。

A1. その解釈は適切ではない。IPAの示唆は「AI導入そのものの否定」ではなく、AI導入を前提にした統制設計の必要性である。導入可否より、データ境界・権限・検証責任をどこまで運用に落とし込めるかが重要である。

Q2. 利用者リテラシー不足は、技術対策で代替できるか。

A2. 完全な代替は困難である。ガードレールやDLPは有効だが、最終的な業務判断の誤りは人間側で発生する。教育・レビュー手順・承認フローを技術統制とセットで実装する必要がある。

Q3. エージェント型AI攻撃への優先対策は何か。

A3. 外部公開面の継続把握、特権IDの最小化、多要素認証の強制、オフライン/不変バックアップ、そして暗号化前兆を捉える監視の5点を優先すべきである。特に復旧演習を定期実施し、RTO/RPOを実測で確認することが重要である。

Q4. 2026年時点で経営層が見るべき指標は何か。

A4. 脆弱性修正までの中央値、MFA適用率、特権ID棚卸し完了率、フィッシング訓練の再発率、バックアップ復旧成功率を最小セットとして追跡すべきである。AI利用率だけではリスクの実態を評価できない。

参考文献