360 Responseでハイブリッド攻撃の封じ込めを自動化

ハイブリッド攻撃の封じ込めを自動化する 360 Response >

Vectra AI、2025年ガートナーのネットワーク検知とレスポンス(NDR)のマジック・クアドラントにおいてリーダーの1社に
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
AIリサーチ

攻撃者がAIを武器に変えた方法

2026年1月5日
Mauro Paredes
セキュリティ研究者
攻撃者がAIを武器に変えた方法

ここ数年のセキュリティは、どこか違って感じられました。ただ、その理由を理解するには時間がかかりました。指し示せるような単一の瞬間があったわけではありません。これを象徴する見出しがあったわけでもありません。ただ、何か微妙なものが変わったという感覚が、少しずつ強まっていっただけでした。

2022年後半に 生成AI が広く利用可能になったとき、それは脅威というより斬新なものに見えました。便利で、ときに印象的で、時々は不安にもなる。しかし、攻撃の仕組みそのものを根本的に変えるようなものには思えませんでした。2023 年の初期の兆候も、その印象を補強しました。フィッシングの量は増え、コンテンツ生成は加速し、低労力のキャンペーンが増殖する、どれも見慣れたパターンがただ加速しただけでした。

時間が経つにつれて、そのパターンは無視できないものになっていきました。

私は、水面下で実際に何が起きているのかを理解しようとして、かなりの時間を費やしました。すべてのレポートを最初から最後まで読んだわけではありませんが、インシデントの詳細な書き起こし、ベンダーの開示、学術研究、そして時折、犯罪者が「何がうまくいき、何がうまくいかなかったか」について驚くほど正直に語るダークウェブでの議論など、重要なものには注意深く目を通しました。十分な数のシグナルを積み上げていくと、明確な軌道が見えてきます。

この分析は、インテリジェンス文書、文書化されたインシデント、そして G7 諸国で追跡されたおよそ300~400億ドルの損失に基づいています。データは完璧ではありません。ケースの重複もあります。損失の一部は推計です。しかし、同じパターンがベンダーレポート、学術研究、法執行機関の開示、そして時折のダークウェブ市場インテリジェンスにわたって繰り返し現れると、そのシグナルは無視しがたいものになります。

AI は武器として完成形のまま到来したわけではありません。徐々に採用され、まずは補助として次に増幅器として、そして最終的には「オペレーター」に近い存在へと変化していきました。かつては時間、技能、調整を必要とした能力が、単一のワークフローに凝縮されました。攻撃者を制約していたはずのタスクが、静かに制約でなくなっていったのです。

2年前、現実的で適応的かつ大量のキャンペーンを実行するには、相当な労力が必要でした。今日、その労力の多くは消えています。攻撃者が突然有能になったからではなく、AI が複雑性の多くを吸収したからです。

なぜこの期間が重要なのか

これらの攻撃手法は新しいものではありません。フィッシング、音声詐欺、マルウェア、ソーシャルエンジニアリングは何十年も前から存在します。

変わったのは、次の3つの制約が同時に取り払われたことです。

  1. コストが崩壊しました。 インフラと専門性に 5 万~10 万ドルを要したオペレーションが、現在は約 5,000 ドルで実行でき (80~90% の削減) ます。犯罪向け AI サブスクリプションは月 200 ドルから始まります。
  2. 時間が崩壊しました。 1 週間かかっていたキャンペーン準備が数分に圧縮されました。かつて数日を要した試行錯誤ループが、今では数秒で終わります。
  3. スキルが崩壊しました。 何年もの専門性を要した能力が、ポイント&クリックのインターフェースや自然言語コマンドで利用可能になりました。

コスト・時間・スキルの制約が同時に崩壊すると、攻撃の量と高度さは指数関数的に拡大します。これが、2023~2025 年を、それ以前の自動化の波と構造的に異なるものにしています。手法が新しいのではありません。制限要因が消えたことが新しいのです。

変わったのはフィッシングだけではありません。

音声クローンは認証システムを迂回しました。ディープフェイク動画は会議通話でファイナンスチームを欺きました。マルウェアは回避技術をリアルタイムで動的に生成・適応し始めました。マルチモーダル攻撃は、テキスト・音声・動画を組み合わせ、あらゆる検証レイヤーを同時に突破しました。2025 年 9 月までに Anthropic は、ある国家支援オペレーションを「高い自律性」に到達したと評価しました。ライフサイクルのステップの約 80~90% が人間の直接入力なしに実行され、人間は承認ゲートと運用上のセキュリティを維持していたという推定です。

このブログは 3 部構成シリーズの Part 1 です。ここでの目的はタイムラインを確立すること――誰が最初に AI を採用し、複数の攻撃ドメインで利用がどう進化し、実験から本格的な武器化へどこで転換が起きたのか。Part 2 では、この進展を可能にした技術的脆弱性を検証します。Part 3 では、多くの古い前提が通用しなくなった今、防御側が現実的に何ができるのかに焦点を当てます。

フェーズ タイムライン AIの役割 犯罪の影響 主要指標
加速 2023 生産性向上ツール 10倍の速度、69%の有効性 +1,265% フィッシング
成熟 2024 人間相当 エントリー費用 ↓ 80-90% +33%の損失(166億ドル)
変容 2025 優れた + 自律的な 人間を24%上回る 80~90%自律的
三つの段階の要約

この分析で使用する主要用語

自律性

各判断において、攻撃ライフサイクルのステップのうち AI が人間の直接入力なしに実行する割合。人間は依然として戦略的方向付け、承認ゲート、運用セキュリティの監督を提供し得ます。

例:Anthropic は GTG-1002 を推定約 80~90% の自律性で運用していると評価しました。つまり、偵察、脆弱性スキャン、悪用の大部分が、各アクションの間に人間の意思決定を必要とせずに行われた一方で、人間は主要な意思決定ポイントで監督と承認権限を保持していました。

武器化

コンテンツ生成や調査にとどまらず、ライブの運用攻撃ワークフローに AI が統合されている状態。武器化された AI は、人間が行動するためのレポートを生成するのではなく、ネットワークスキャン、マルウェア配布、データ流出などのアクションを直接実行します。

例:PROMPTSTEAL は、感染が進行中の最中にリアルタイムで LLM に問い合わせ、回避技術を生成します。

マルチモーダル攻撃

テキスト・音声・動画など複数の AI 生成メディアを、単一の協調したオペレーションに組み合わせる攻撃。

例:UNC1069 は、ソーシャルエンジニアリング用に AI 生成のスペイン語テキストを用い、経営層になりすますディープフェイク動画を使い、電話認証のために音声合成を使いました――言語の壁と視覚的な信頼シグナルを同時に突破しました。

オペレーター vs 増幅器

増幅器(multiplier)は人間主導のタスクを加速します(2023:AI は攻撃者の作業を速くした)。オペレーター(operator)はタスクを自律的に実行します(2025:AI が偵察と悪用を実施し、人間は戦略的監督を提供する)。

増幅器からオペレーターへの移行が、Part 1 の中心命題です。

1. 初期:AI がただのノイズだった頃

その変化は予告なく訪れました。

セキュリティの世界で誰もが「すべてが変わった」と自信を持って言えるような、明確なアラートも、はっきりした変曲点も、決定的な瞬間もありませんでした。その代わり、小さな不整合がありました。フィッシングメールがいつもより少し整って見える。マルウェアがわずかにパターン外の振る舞いをする。インシデントは見慣れているのに、想定より速く進む。

当時、これらのシグナルは簡単に見過ごせました。セキュリティチームは日々異常に遭遇しますが、その大半は意味を持ちません。

振り返ると、これが最初のシグナルでした。しかし、起きている最中は、それがシグナルとして認識されませんでした。

2022年11 月:扉が静かに開いたとき

2022年後半に ChatGPT がリリースされたとき、それはセキュリティイベントとして扱われませんでした。プロダクトのローンチでした。新奇なもの。会話型 AI の未来を垣間見せるものでした。防御側にとって、すぐに心配する理由はありませんでした。モデルにはガードレールがありました。悪意ある要求は拒否しました。幻覚もありました。明白なミスもしました。

攻撃者は別のものに気づきました。

重要だったのは、モデルが完璧だったことではありません。完璧ではなかったのです。重要だったのは、アクセス可能で、速く、無料だったことです。数週間のうちにフィッシング量は劇的に増加しました。メッセージが高度だったからではなく、作るのが労力ゼロに近かったからです。言語の壁は一夜にして消えました。文法は制約でなくなりました。時間も制約でなくなりました。

これはまだ武器化ではありませんでした。

それは加速でした。

そしてこの段階では、守備側が依然として優位に立っていた。

2023 年:脅威ではなく支えとしての AI

2023 年を通じて、AI は一貫して「便利だが欠陥がある」カテゴリーに留まりました。犯罪者も、多くの正当な利用者と同じ使い方をしました。メールの下書き、翻訳、要約、調査の高速化などです。

当時の研究では、AI 生成フィッシングは、人間が作ったメッセージよりも依然として有意に効果が低いことが示されていました。速い、しかし説得力はない。

防御側の観点では、これは正しい直感を補強しました。検知モデルは適応し、セキュリティ啓発トレーニングも進化しました。見慣れたシグナルがまだ残っていました。浅い文脈、一般的な言い回し、微妙な不自然さ。AI はまだニュアンスを学んでいませんでした。

何より重要なのは、人間が依然として明確に主導していたことです。

AI は攻撃者の動きを速くしましたが、置き換えはしませんでした。この違いは重要でした。脅威は管理可能に見えました。

私たちが過小評価していたのは、「他が一定のままでも、速度だけがどれほどのレバレッジになるか」でした。品質が決定要因であり続けると考えていました。スケールがルールを書き換える速さを、まだ見ていなかったのです。

2. 転換:スケールが意味を持ち始めたとき

2024 年初頭までに、何か微妙なものが変わっていました。

AI は表層的な加速に閉じ込められていませんでした。創造性より反復が重要なオペレーションの部分に現れ始めました。この転換は、単一のインシデントでは明確になりませんでした。インテリジェンスレポート、ベンダー開示、そして十分に距離を取って初めて見えるパターンとして、ゆっくりと浮上してきたのです。

そのとき、最初の深刻なシグナルが現れました。

2024年初頭:AI が運用に入り始める

2024年2月、Microsoft と OpenAI は、国家主体の攻撃者が実運用で AI を使用していることを初めて公に帰属(attribution)しました。5 つのグループが名指しされました。当時、その所見は意図的に慎重でした。AI はオペレーターではなくアシスタントとして描かれ、調査、コーディング支援、OSINT の加速に用いられており、自律的な展開ではない、とされました。

国家 マイクロソフト認定 伝統的な名称 AIの主な用途
ロシア Forest Blizzard APT28(ロシア連邦軍参謀本部情報総局第26165部隊) OSINT自動化、衛星およびレーダー研究
中国 Charcoal Typhoon, Salmon Typhoon 不明、APT4 マルウェア 開発、偵察
北朝鮮 Emerald Sleet Kimsuky スピアフィッシング、脆弱性調査
イラン Crimson Sandstorm APT35(イラン革命防衛隊) ソーシャルエンジニアリング、ウェブ技術
国家主権を脅かすグループとAIの活用

その枠組みは正確でした。しかし不完全でもありました。

重要だったのは、モデルが「まだ」何をしていたかではありません。どこに導入され始めたかです。偵察パイプライン。脆弱性リサーチ。マルウェア開発のワークフロー。こうした環境では、AI は卓越している必要はありません。疲れないことが必要だったのです。

国家主体グループは AI を「有能なインターン」のように扱いました。意思決定は依然として人間が行い、攻撃の実行も人間が担いました。しかし、遅くて反復的な下準備は劇的に圧縮されました。

この瞬間に、スケールが静かに方程式へ入ったのです。

犯罪エコシステムが追いつく

組織化サイバー犯罪はさらに速く動きました。

国家主体が慎重に実験する一方で、犯罪市場は攻撃的に反復しました。ダークウェブのツール群は成熟しました。

脱獄(jailbreak)手法が信頼できるものになりました。 GitHub の独立分析では、脱獄に関するリポジトリが 285 件(2024 年 11 月~2025 年 11 月)文書化されていることが確認されました。別途 Cisco Talos のテストでは、複数ターンの脱獄攻撃が、さまざまなオープンウェイトモデルで 25.86%~92.78% の成功率を達成し、Mistral Large-2 と Alibaba Qwen3-32B が 92.78% で最も高い脆弱性を示しました(2025 年 11 月)。成功率はモデル、セーフティ調整、評価基準(単発 vs 複数ターン、対象ポリシー、テストハーネス)によって変動するため、これらの数値は公的ツールとテスト結果の状態を示すものであり、普遍的な回避保証ではありません。

同時に、無制限モデルはガードレールを回避する必要そのものをなくしました。WormGPT、FraudGPT、DarkBERT。犯罪のために作られ、脱獄不要。オープンソースのリポジトリは増殖しました。かつて深い専門性を必要としたツールが、ポイント&クリックのインターフェースで使えるようになりました。これらの一つひとつは大きな見出しにならなかったかもしれませんが、合わさることで参入障壁を危険なほど下げました。

変わったのは高度さではありません。

スループットでした。

単独のオペレーターが並行して複数キャンペーンを回せるようになりました。何時間もかかった調査が数分になりました。試行錯誤のループが締まりました。失敗が高くつかなくなりました。

この段階でも、実行の主導権は人間にありました。AI は準備と反復を加速しましたが、意思決定は人間主導のままでした。

経済性の変化は、多くの人が気づくよりも速く進みました。6 か月で 5 万~10 万ドルのインフラと専門性を要したオペレーションが、約 5,000 ドルで可能になりました。犯罪向け AI サブスクリプションは月 200 ドルから始まりました。参入障壁は推定 80~90% 崩壊しました。

メートル 価値 ソース
活動中の犯罪AIプラットフォーム 12件以上記録済み ダークウェブ監視
推定ユーザーベース 15,000~25,000 ユーザー分析
市場成長率(前年比) 言及数が約200%増加 ダークウェブ分析
価格帯 月額50ドル~2,000ドル 市場分析
推定年間市場価値 2000万~4000万ドル 収益計算
ダークウェブ市場分析(2025年11月)

過小評価していた兆候

振り返ると、警告サインはありました。

脱獄成功率は急速に改善しました。オープンウェイトモデルは、持続的な複数ターンのやり取りで劣化しました。コンテキストウィンドウは、多くのセキュリティ評価が想定していた範囲を大きく超えて拡張しました。同時に、AI 支援攻撃の量は増えたのに、明確な指標の急増は起きませんでした。

防御側は攻撃が速くなっていることには気づきました。しかし速度だけではアラートになりにくい。私たちは新規性を見る訓練を受けており、加速を見る訓練は受けていません。新しい手法には注目しますが、制約が静かに取り払われることには注目しません。

2024年末までに、AI は人間の攻撃者を置き換えてはいませんでした。しかし、攻撃の経済性をすでに作り変えていました。準備は安くなり、反復は容易になり、スケールは人員に制約されなくなりました。

システムは目に見える形で崩壊するずっと前から、すでに限界状態にありました。

3. 2025年3月:AI が人間を上回ったとき

2025 年 3 月は、後から見ると見落としやすい出来事です。劇的な侵害があったわけではありません。見出しを独占する単一キャンペーンがあったわけでもありません。しかし防御側の観点からは、これが「最後の前提のひとつ」が初めて崩れた瞬間でした。制御された大規模研究で、AI 生成フィッシングが人間作成フィッシングを上回ったのです。僅差ではありません。24% です。

2023年 AI生成メール

ジェネリック フィッシング

件名:緊急:アカウント認証が必要です お客様各位 お客様のアカウントで不審な動きが検出されました。 下記リンクをクリックし、直ちに本人確認を行ってください。 [フィッシング ] セキュリティチームより
2025年 AI生成メール

パーソナライズド フィッシング

サラさん、 先週シカゴのカンファレンスで話した、 新規ベンダーコンプライアンス要件についてのご連絡です。 Acme Corp(LinkedInによれば 貴社の最大クライアント)向けの 更新版W-9フォームが未提出のようです。 財務部門は金曜日までにこの書類を必要としており、 85万ドルの支払いを処理します。 簡易フォームはこちら(所要時間2分):[フィッシング ] ご質問があればお知らせください! よろしくお願いします。買掛金担当 マイク 追伸:リバーノースの新オフィスはいかがですか?
フィッシングの大規模パーソナライゼーション、導入前と導入後

2年前は逆でした。2023年には、AI フィッシングは人間の取り組みよりおよそ 31% 効果が低かった。重要なのはその 2 点間のスイングです。約 24 か月の間に、差は縮まったのではなく反転しました。55 ポイントのスイングが起きたのに、多くの防御設計はそれに対応する変化を伴いませんでした。

これは、私たちが本質的に人間のものと考えていた課題において、AIシステムが初めて人間を超えた瞬間でした。

メートル 伝統的なフィッシング AI生成のフィッシング 増幅器
クリック率 16–20% 22–28% 1.3×
資格証明書の提出 7~10% 10–14% 1.4×
成功率 18–22% 25~30% 1.24×
作り始める時 30~60分 30秒~2分 30倍速い
事業者ごとの被害者数 5–10 50–100 10×
AIフィッシングの性能フィッシング

フィッシングを超えて:より広いパターン

2025年3月のフィッシングのブレークスルーは孤立していませんでした

より大きなものの兆候でした。AI が同時期に複数ドメインで有効性の閾値を越え始めたのです。フィッシングは測定が容易だったため、最初に明確になったにすぎません。

音声クローンとディープフェイク詐欺

2025 年までに、音声クローンは PoC の脅威から運用上の脅威へと成熟しました。文書化されたインシデントは 3,500 件超。FBI と Europol の統合報告によれば、確認された損失は 10 億ドル超。学習に必要な音声は数時間から 1 分未満へと減少しました。制御されたテストでは品質が人間の話し声と区別できないレベルになりました。

最も重大な単一事例は 2024年2月に起きました。多国籍企業のファイナンスチームは、CFO と他 4 名の経営層が参加する通常のビデオ会議だと信じて参加しました。視覚的に本人確認をし、聞き慣れた声を聞き、標準の承認手順に従いました。

通話に参加していた 5 名全員がディープフェイクでした。攻撃者は 2,560 万ドルを持ち去りました。

2025年11月までに、攻撃対象領域は金融詐欺を超えて拡大しました。IT ヘルプデスクに対する音声クローン侵害の初の文書化事例がスペインで発生しました。攻撃者はクローン化した従業員の声を使ってシステムアクセスを要求しました。脅威は送金に限定されなくなったのです。

マルウェア生成

国家主体の攻撃者は、AI 搭載マルウェアフレームワークを運用で展開し始めました。

ロシアの APT28 は PROMPTSTEAL と呼ばれるシステムを武器化しました。これはオープンソースの言語モデルにリアルタイムで問い合わせ、回避挙動を適応させます。Google の Threat Intelligence Group は、2025 年後半までに同様のファミリーを 5 つ文書化しました:PROMPTFLUX、PROMPTSTEAL、FRUITSHELL、PROMPTLOCK、QUIETVAULT。これらは事前プログラムされた回避ロジックに依存しません。動的に生成するため、シグネチャベース検知の信頼性はますます低下します。

マルチモーダル運用

北朝鮮のUNC1069グループは、初の「完全なマルチモーダル AI 攻撃」と見られるものを実行しました。ソーシャルエンジニアリング用のテキスト生成。視覚的検証のためのディープフェイク動画。音声確認のための音声合成。暗号資産関連の経営層を狙い、言語の壁と視覚的信頼シグナルの両方を、単一の協調した作戦で突破しました。

フィッシングの転換点が重要だったのは、測定できたからです。

しかし、それが特別だったわけではありません。AI は攻撃ライフサイクル全体で、人間の有効性を上回り始めていました。2025年3月は、そのパターンをもはや無視できなくなった瞬間にすぎません。

フィッシングは常に、人間の問題として扱われてきました。言語、トーン、タイミング、文脈。防御側は、攻撃者はいずれミスをすると考えてコントロールを設計してきました。不自然な言い回し。文化的なズレ。雑なパーソナライズ。

それらの前提は、静かに無効化されました。

同時に、基盤技術も影響を増幅する形で変化しました。長文コンテキストモデルが登場し、コンテキストウィンドウは数千トークンから数十万へ、場合によっては 100 万を超えるところまで拡大しました。これはフィッシングを良くしただけではありません。スケール可能にしたのです。

AI モデルは、受信箱、公開プロフィール、文書を一度に取り込めます。関係性をマッピングし、会話を追跡し、大規模ターゲット群に対して一斉に、固有で高度にパーソナライズされたメッセージを生成できます。かつて慎重で手作業だったソーシャルエンジニアリングが、バッチ処理になりました。

品質とスケールが同時に閾値を越えました。

防御側優位の静かな崩壊

ここから、防御側の優位は構造的に侵食され始めました。

攻撃がより創造的になったからではありません。正当な通信と区別できないものが、スケールして生まれるようになったからです。言語シグナルの信頼性が失われ、疲労が消え、人間のミスが制約でなくなりました。

当時、この変化は破局的には感じられませんでした。フィッシングは以前から問題でした。損失も以前から高かった。外から見ると、2025 年 3 月は長年のトレンドの中のデータポイントのひとつに見えたでしょう。

内側から見ると、それはシステムが傾いた瞬間でした。

その後に続いたもの、自律性、経済性、工業化された攻撃はすべて、この崩れの下流にあります。

4. 支援から自律へ

AI が人間の有効性の閾値を越えた後、残りは静かに、そして速く展開しました。攻撃者が突然野心的になったからではありません。自制が経済合理性を失ったからです。

2025 年半ばまでに、犯罪向け AI エコシステムは、推定年間 2,000 万~4,000 万ドルを生み出すダークウェブ AI マーケットへと成熟しました。月数百ドルで、調査を自動化し、マルウェアの亜種を生成し、スケールしたパーソナライズド・フィッシングを作り、リアルタイムに適応するツールへアクセスできるようになりました。参入コストは劇的に下がり、スキルは制約ではなくなりました。

その時点で、人間はオペレーションの中で最も効率的な部分ではなくなっていました。

自律性は飛躍ではありませんでした。最適化でした。

自律性を可能にしたもの

長文コンテキストモデルはスケールを提供しましたが、真の運用自律性には十分ではありませんでした。

それにはインフラが必要でした。

GTG-1002 のオペレーションは Model Context Protocol と呼ばれるものに依存していました。これは AI が外部ツールにアクセスできるようにする仕組みです。テキストを分析するだけではなく、ネットワークスキャナー、ウェブスクレイパー、悪用フレームワークを直接呼び出せます。AI はアクションを推奨するだけでなく、実行しました。

Retrieval-Augmented Generation も同様の役割を果たしました。コンテキストウィンドウに全面依存する代わりに、これらのシステムは外部ナレッジベースをリアルタイムに問い合わせます。エクスプロイト DB、CVE リポジトリ、攻撃手法の文書。実効的な知識ベースは無制限になります。

LangChain や AutoGPT のようなエージェント・オーケストレーション・フレームワークが、それらをつなぎ合わせます。偵察が脆弱性発見につながり、脆弱性発見がエクスプロイトを生成し、エクスプロイトがペイロードを展開し、ペイロードが横方向移動を可能にする。各ステップが次にフィードされ、人間の調整なしに連鎖します。

長文コンテキスト + ツールアクセス + オーケストレーション。

この組み合わせが、自律性の閾値を可能にしました。

Part 2 では、なぜこれらのシステムが設計者の想定よりはるかに安全でなかったのかを検証します。

2025年9月:目に見える境界を越えて

その最適化は、2025 年 9 月に目に見える閾値を越えました。

Anthropic は、中国の国家支援とされる 1 件のオペレーション(GTG-1002)を、推定約 80~90% の自律性でサイバーオペレーションを実施していたと評価しました。つまり、偵察、ネットワークマッピング、資産発見、脆弱性スキャン、エクスプロイト選択、展開の大部分が、アクション間に人間の直接入力を挟まずに行われ、一方で人間は承認権限を保持し、約 30 のターゲット組織にわたって運用セキュリティを管理していた、ということです。

このオペレーションは機械速度で動いていました。数千のリクエスト。秒間複数。人間のオペレーターが手動で調整するのは物理的に不可能な実行速度でした。

人間は最終承認権限を保持し、運用セキュリティを管理していました。しかし作業そのもの (実際の実行) は機械駆動になっていました。

その後、複数の研究者が、これが真の運用自律性に該当するかを疑問視しました。開示が限定的で、人間の意思決定ポイントが依然として存在することを挙げています。

その批判は妥当です。

重要なのは、完全自律のサイバーオペレーションが日常化したということではありません。していません。重要なのは、自律性に必要な技術的・経済的条件の大部分がすでに整っていることです。残っているギャップは、多くの防御側が想定するより狭い。

実行が自律化すると、スケールは無限になります。単一のオペレーションは、互いに無関係に見える多数のインシデントへと分裂します。人間ペースの脅威を前提にしたコントロールは、設計が悪いからではなく、前提が成り立たなくなるために機能不全になります。

セキュリティチームにとってこれが重要な理由

SOCで働く人にとって、最も重要な要点はこれです。あなたが競争しているのは人間の攻撃者ではありません。機械速度で動くオーケストレーション・パイプラインです。疲れず、同じミスを二度と繰り返しません。

そして、まだピークに達してすらいません。

次にどこへ行くのか

Part 2 では、その背後にある技術的現実を掘り下げます。脱獄危機。モデルのコンテキスト分離の失敗。最初の C2 レス自律マルウェアファミリー。攻撃者が飛躍することを可能にした仕組みの数々、防御側が 2021 年のプレイブックを更新している間に。

Part 3 はさらに厳しい内容になります。攻撃者の速度が「時間」ではなく「秒」で測られる世界で、防御側が実際に何ができるのかを話します。

ここまでの結論はシンプルです。AI はサイバー犯罪を加速しただけではありません。その性質を変えました。ツールを武器に変え、攻撃者を、より自律的なシステムを運用するオペレーターに変えました。

私たちはもう、人間だけと戦っているのではありません。

すでに機械速度で動作するシステムと向き合っています。そしてモデル世代が進むたびに、それらを動かし続けるのに必要な人間の介入は減っていきます。

念のため言えば、防御側も AI を使っています。脅威検知。インシデント対応。脆弱性管理。ツールは双方にあります。

非対称性は能力ではありません。経済性です。

AI を持つ単独の攻撃者が、数千の組織を同時に標的にできます。並行して反復し、リアルタイムに適応する。防御は同じようにはスケールしません。この不均衡こそが、この変化を一時的ではなく構造的なものにしています。

---

データの制限事項

いくつかの制限事項を認識しています。

  • 金銭的損失の数字は被害者の自己申告に依存している(過少申告の可能性が高い)
  • 一部の事件(特にハイブリッドアクターによるもの)の帰属は依然として不確かである
  • GTG-1002の自律性に関する主張は独立した検証を欠いている
  • ダークウェブのユーザー数は、マーケットプレイスの分析に基づく推定値である

参照

  1. Anthropic. (2025, November 13). Anthropic disrupts state-sponsored cyber operation. Anthropic Security Blog.
  2. Hoxhunt. (2023, 2025). AI Phishing Effectiveness Studies. Multiple reports.
  3. SPRF India. (2025, July). Digital Threats Analysis. Research report.
  4. SlashNext. (2023). Generative AI & Cybersecurity and related press coverage on post-ChatGPT phishing volumes (e.g., Decrypt).
  5. Microsoft Threat Intelligence & OpenAI. (2024, February 14). Staying ahead of threat actors in the age of AI. Microsoft Security Blog.
  6. Google Threat Intelligence Group. (2025, November). Advances in threat actor usage of AI tools. GTIG Report, 18 pages.
  7. Zscaler ThreatLabz. (2024). 2024 ThreatLabz AI Security Report. 536.5B AI/ML transactions analyzed (Feb-Dec 2024).
  8. ENISA. (2024). Threat Landscape Report 2024. European Union Agency for Cybersecurity.
  9. Cisco Talos. (2024, November). Death by a Thousand Prompts: Multi-Turn Jailbreak Success Rates. Research paper.
  10. Author's analysis. (2025). Dark web AI marketplace intelligence. Based on Group-IB, Recorded Future, Trend Micro data.
  11. Dark web pricing intelligence. (2025, June–November). WormGPT marketplace analysis.
  12. Author's analysis. (2025, November 24). Long Context Window Models – Security Implications Analysis.

よくあるご質問(FAQ)