IPA情報セキュリティ10大脅威2026にみる、AI時代のサイバーリスク

「IPA情報セキュリティ10大脅威 2026に見る、AI時代のサイバーリスク」アイキャッチ画像

近年、生成AIをはじめとするAI技術の進展により、組織におけるAIの活用は急速に広がっています。本記事では、IPA「情報セキュリティ10大脅威 2026」の内容をもとに、AIの利用をめぐるサイバーリスクについて整理するとともに、企業に求められる対応の方向性について解説します。

IPA「情報セキュリティ10大脅威」速報版の記事はこちら。「AIの利用をめぐるサイバーリスク」以外の脅威の項目についても知りたい方は、こちらもぜひあわせてご覧ください。
「【速報版】情報セキュリティ10大脅威 2026 -脅威と対策を解説-」

はじめに

業務効率の向上や新たな価値創出の手段として、多くの企業がAIの導入を進めています。一方でAI利用に伴うリスクについても、十分な注意が求められています。こうした状況を反映して、IPA（独立行政法人情報処理推進機構）が公表した「情報セキュリティ10大脅威 2026」において、「AIの利用をめぐるサイバーリスク」という脅威が初めてランクインし、3位に位置付けられました。

なぜいま「AIの利用」が脅威として注目されるのか

IPA「情報セキュリティ10大脅威」は、前年に発生した社会的影響の大きい事案等をもとに選定されたものであり、順位は単純に危険度の高さを示すものではありません。しかし、AI利用に関するリスクが新たに選出されたことは、企業や組織におけるAI活用の拡大と、それに伴う課題の顕在化を示すものといえるでしょう。

2026年3月12日に公開された、IPA「情報セキュリティ10大脅威 2026」解説書では、AIは有用なツールである一方で、十分な理解がないまま利用した場合、情報漏洩や権利侵害といった問題につながる可能性があると指摘されています。特に、生成AIへの入力内容が外部に取り扱われることによる機密情報の漏洩や、生成された情報の正確性を確認せずに業務に利用することによって発生するトラブルなど、従来の情報システム利用とは異なる観点でのリスクが挙げられています。また、AIは利用者の裾野が広く、専門的な知識がなくても活用できるという特性を持っています。そのため、組織として利用状況を把握しきれないまま、個人単位で業務利用が進むケースも想定されます。このような利用形態は、管理の行き届かないリスク、いわゆるシャドーITに類似した問題を引き起こす可能性があります。

AI利用をめぐる主なリスク

IPAはAIの利用拡大に伴い、いくつかの代表的なリスクが指摘しています。これらは、AIの技術そのものというよりも、その利用方法や特性に起因するものが多い点が特徴です。

情報漏洩リスク
誤情報生成リスク（ハルシネーション）
サイバー攻撃の高度化リスク
利用実態の把握困難（シャドーAI）
権利侵害リスク

生成AIへの入力内容に起因する情報漏洩

クラウドサービスとして提供されるAIに対し、機密情報を入力することで、意図せず外部に情報が送信される可能性があるというリスクです。

AIの出力結果に関するリスク

対話型AIは実在しない情報を生成する（＝ハルシネーション）場合があり、このことを十分に理解せずに利用すると、誤った判断や誤情報発信につながるおそれがあります。

AIの悪用によるサイバー攻撃の高度化

AIを活用することで、攻撃の効率化や手口の巧妙化が進む可能性があります。さらに、組織における利用実態の把握が難しい点も重要なリスクです。

シャドーAIのリスク

個人単位でAIサービスを利用されてしまうことで、組織の目の届かない範囲での利用が発生する可能性があります。

著作権侵害などの権利問題

AIの利用に関する理解不足により、著作権侵害などの権利問題が生じる可能性も指摘されています。

AI利用において想定される主な事例

AI利用に伴うリスクは、特別な環境でのみ発生するものではなく、日常業務の中で自然に発生し得るものです。例えば業務の効率化を目的として、従業員が個人で利用している生成AIサービスを業務に活用するケースが考えられます。メール文面の作成や資料作成の補助としてAIを利用する延長で、社内資料の内容や顧客情報をそのまま入力してしまうことがありえます。生成AIはクラウド上で動作しており、入力した内容はサービス側で処理されます。場合によっては、入力内容がサービスの改善や学習に利用されることもありえます。この点を十分に理解しないまま利用すると、機密情報を外部サービスに送信してしまうことになり、情報漏洩につながるおそれがあるのです。

また、対話型AIの回答をそのまま精査せずに業務に利用してしまうことで問題に発展する可能性もあります。調査や資料作成の過程でAIが生成した情報を十分に確認せずに利用した結果、ハルシネーションの内容を含んだまま社内外に共有してしまうといった事態が起こり得ます。このように、AI利用に伴うリスクは特定の専門領域に限らず、日常業務の延長線上で発生する点に特徴があります。

組織における課題

AIの利用が広がる一方で、組織としてこれらのリスクを適切に管理することにはいくつかの課題があります。

社内でのAI利用の促進とルールの策定のバランス

まず、AI利用に関するルールやガイドラインの整備が追いついていない点が挙げられます。現場での利用が先行する中で、組織としての利用方針が明確でない場合、統一的な管理が難しくなります。また、利用状況の把握が困難であることも大きな課題です。クラウド型のAIサービスは個人単位で容易に利用可能なため、組織として誰がどのように利用しているかを正確に把握することが難しくなります。実際には、想定以上に広範囲で利用が進んでいるケースも少なくありません。さらに、ポリシーを整備しても現場に浸透しないという課題もあります。AIは業務効率の向上に直結するため、利便性を優先してルールが守られないケースや、現場ごとに独自の運用が行われるといった状況も発生し得ます。加えて、AI利用と既存のセキュリティ対策との間にギャップが生じる点も課題です。従来のセキュリティ対策は想定していなかった利用形態が増えることで、管理や統制が追いつかない場面が生じる可能性があります。さらに、利用者への教育不足も課題の一つです。AIの特性やリスクに関する教育や周知が十分でないために、組織として意図しない利用が広がり、統制が効かなくなるおそれがあります。

このように、AIの活用においては、ルール整備や利用状況の把握といった基本的な対応に加え、実際の運用における課題も踏まえた継続的な対応が求められます。

企業が取るべきアクション

AIの利用に伴うリスクに対応するためには、個別の技術対策にとどまらず、組織としての管理と運用の整備が重要となります。AI利用に関しては、ルール整備や教育、基本的なセキュリティ対策の徹底といった観点での対応が求められています。

AIの利用に関するルールやガイドラインの整備
どのような用途でAIを利用してよいのか、入力してよい情報の範囲、利用してはならない行為などを明確に定めることで、利用に伴うリスクを一定程度抑制することが可能となります。
利用状況の把握と管理
AIサービスは個人単位でも容易に利用できるため、組織としてどのように利用されているかを把握し、必要に応じて管理の対象とすることが重要です。これにより、管理の行き届かない利用、いわゆるシャドーAIの発生を抑制することが期待されます。
AI利用者への教育
AIの特性やリスクについて正しく理解させることで、生成結果の確認や適切な情報の取り扱いといった基本的な行動を促すことができます。技術的な制御だけでなく、利用者の理解を前提とした運用が不可欠です。
基本的なセキュリティ対策の徹底・見直し
認証の適切な運用や情報管理の強化といった既存の対策は、AI利用においても引き続き基盤となるものです。その上で、AIの利用が業務に広く組み込まれる中では、従来の対策だけでは対応しきれない場面も想定されるため、AI利用を前提としたセキュリティの見直しや再設計が必要となる可能性もあります。

このように、AIの安全な活用には、ルール、管理、教育、AIを前提とした基本的なセキュリティ対策といった複数の観点からの継続的な取り組みが重要です。

AI時代に求められるセキュリティ支援

こうした課題に対応するためには、組織単独での取り組みだけでなく、専門的な支援の活用も有効です。以下のようなセキュリティ支援の例が挙げられます。

セキュリティ診断・リスクアセスメント
AI利用に伴うリスクを把握するためのセキュリティ診断やリスクアセスメントが重要となります。現状の利用状況や潜在的なリスクを可視化することで、適切な対策の検討につなげることができます。
運用監視体制の強化
AIの利用状況を継続的に監視し、問題の早期発見や対応を行う体制を整備することで、リスクの低減が期待されます。
AI利用ガイドライン策定支援
組織の実態に即したルールを整備し、現場で実際に運用可能な形に落とし込むことが求められます。

さいごに

「情報セキュリティ10大脅威 2026」において、「AIの利用をめぐるサイバーリスク」が新たにランクインしたことは、AI活用の拡大と、それに伴う課題の顕在化を示すものといえます。AIに関するリスクは、新たな技術そのものに起因するというよりも、その利用方法や理解不足に起因する側面が大きい点が特徴です。そのため、対策としては、ルール整備や利用状況の把握、教育といった組織的な対応に加え、基本的なセキュリティ対策を継続して実施することが重要となります。

また、IPAが示す通り、10大脅威の順位は危険度の高さを示すものではなく、自組織の状況に応じて適切にリスクを評価し、優先順位を定めて対策を講じることが求められます。 AIの活用は今後さらに進むことが想定されますが、その利便性を最大限に活かすためにも、リスクを正しく理解し、組織として適切に管理・運用していくことが重要です。

【関連ウェビナーのご案内】
本記事では、生成AIの利用に伴うサイバーリスクと、企業への影響について整理しました。AIの活用が進む一方で、情報漏えいや誤利用、統制の難しさといった課題が現実のものとなっています。では、こうしたリスクは実際にどのように悪用され、どのような攻撃として現れているのでしょうか。2026年4月15日に開催のウェビナーでは、生成AIを悪用した具体的な事例をもとに、サイバー脅威の実態と防御戦略を詳しく解説します。リスクの「背景」だけでなく、「実際に何が起きるのか」を理解したい方は、ぜひご参加ください。

ウェビナー最新情報はこちら

BBSecでは

当社では様々なご支援が可能です。お客様のご状況に合わせて最適なご提案をいたします。当当サイトSQAT^® jpのお問い合わせページよりお気軽にお問い合わせください。後日営業担当者よりご連絡させていただきます。

SQAT^® 脆弱性診断

BBSecの脆弱性診断は、精度の高い手動診断と独自開発による自動診断を組み合わせ、悪意ある攻撃を受ける前にリスクを発見し、防御するための問題を特定します。Webアプリケーション、ネットワークはもちろんのこと、ソースコード診断やクラウドの設定に関する診断など、診断対象やご事情に応じて様々なメニューをご用意しております。

SQAT^® ペネトレーションテスト

「ペネトレーションテスト」では実際に攻撃者が侵入できるかどうかの確認を行うことが可能です。脆弱性診断で発見したリスクをもとに、実際に悪用可能かどうかを確認いたします。

編集責任：木下

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2026年2月17日2026年3月30日

特別寄稿／AI時代のセキュリティ戦略：トライコーダ上野宣氏が語る、攻撃と防御の最前線【後編】

生成AIの進化により、サイバー攻撃と防御の双方でAI活用が加速する現代。前編では、AIがもたらす脅威の変化と、企業が直面する新たなリスク構造について、上野宣氏に解説いただきました。

後編では、こうした環境変化を踏まえ、企業はどのようにセキュリティ戦略を再構築すべきか、その具体的な方向性と実践のポイントについて掘り下げます。

前編「AIが変える攻撃の現状と、防御側AI活用のリアル」はこちら

AI時代に増えるリスクと、経営が取るべきアクション

企業が直面するAIセキュリティリスク

AIを活用する企業は、攻撃の標的になるだけでなく、自社が導入したAIがリスクの起点になる可能性も抱えます。ここで重要なのは、「AIを守る」という視点です。 AIは、データアクセスを統合し、業務フローに深く入り込みます。言い換えると、AIは便利なツールであると同時に、新たなリスクになり得ます。

以下では、AI活用が進む現場で起きやすいリスクを、実務の観点で整理します。

生成AI利用による情報漏えい・シャドーAI

現場が便利さを優先して、個人アカウントの生成AIに機密情報を入力してしまう、いわゆるシャドーAIは、シャドーITと同じ構図で広がります。入力データの扱い（学習に使われるのか、保存されるのか）、ログに残るのか、社外に送信されるのか。利用ルールと技術的な制御がないと、情報資産の漏えいに繋がる可能性があります。

対策は利用を禁止することではありません。ほとんどの従業員は悪意を持ってシャドーAIをするわけではなく、ビジネスに活用しようとしているだけです。現場の生産性要求は止められないからこそ、次のような使えるガードレールが必要です。

会社が認めるAI利用チャネル（法人契約、社内AI、承認済みツール）を用意する
機密分類に応じて「入力禁止」「要マスキング」「要承認」などを定義する
DLP、プロキシ、CASB等で、持ち出し・入力を技術的に抑止する（可能な範囲で）
利用ログを残し、例外管理を行う

プロンプトインジェクション／RAG汚染：AIアプリ特有の攻撃面

社内ナレッジ検索（RAG）やAIチャットボットを業務に組み込むと、従来のWeb脆弱性とは別の攻撃面が生まれます。

プロンプトインジェクション：悪意ある指示でAIの挙動を変え、機密を引き出す
RAG汚染：参照ドキュメントに誘導文を仕込み、誤誘導・情報漏えいを誘発
権限モデルの破綻：AIが見えてはいけない情報を横断的に回答してしまう
ツール連携の悪用：AIに「メール送信」「DB更新」「ワークフロー実行」などを許すと、誤操作や悪用の影響範囲が一気に広がる

こうしたリスクは、アプリの仕様・権限・データ設計の問題として現れるため、情シス・開発・セキュリティが一体で設計し直す必要があります。

学習データ汚染・モデル改ざん・信頼できない出力

モデルそのもの、あるいは学習・評価・運用のパイプラインが攻撃されると、判断の信頼性が崩れます。たとえば、学習データやナレッジに悪意ある情報が混ざる、モデルの設定が変えられる、評価（テスト）が形骸化する。こうした問題は、結果として「AIが間違った結論を自信満々に出す」形で表面化します。業務に組み込むほど、誤りは事故になります。

重要業務ほど根拠（参照元）を提示できる設計が必要
出力の正しさを検証できない領域では人の確認を前提にする
仕様変更・データ更新・モデル更新は変更管理（レビュー、承認、ロールバック）に乗せる

モデル盗難・データ推定・API悪用

外部APIや自社モデルを提供する側になると、今度は「モデルを盗まれる」「APIを乱用される」「出力から学習データが推定される」といった論点が生まれます。ここでは、認証・認可、レート制限、監査ログ、鍵管理、テナント分離など、従来のAPIセキュリティの要諦がそのまま効いてきます。

ガバナンス・法令・説明責任

AIは出力が意思決定に影響するため、誤りがビジネス事故に直結します。個人情報・機密情報・著作権・差別・説明責任など、論点は多岐にわたります。

AIの利用に関する法規制も急速に整備されつつあり、2024年8月にはEUでArtificial Intelligence Act（欧州AI規制法）が施行されました。違反時の罰則は最大で全世界年間売上高の7%または3,500ユーロと非常に厳しいものです。

海外取引がある企業であるほど、規制動向を踏まえたガバナンスが必要になります。重要なのは、法令対応を法務任せにせず、セキュリティと一体で運用設計に落とすことです。

経営層・CISOが取るべきアクション：AIセキュリティを“経営課題”にする

AI時代のセキュリティ戦略は、現場の頑張りだけでは成立しません。経営が意思決定すべきポイントは、概ね次の3つに分けられます。

方針（何を守り、どこまで許容するか）

AIの利用目的と禁止事項を明文化（機密分類と紐付ける）
人が最終責任を持つ領域を定義（例：与信、採用、重要判断、法的判断）
委託・SaaS・外部APIの利用条件（データの持ち出し、学習利用、ログ保管、保存期間）
例外申請の道を用意し、現場がこっそり使う状況を減らす

体制（誰が意思決定し、運用を回すか）

AIガバナンス（責任者・審査プロセス・例外管理）の設置
CISO/CSIRT/SOCとAI開発・運用の接続（棚卸し・脅威モデリング・運用手順）
インシデント対応計画の更新（AI由来の誤回答、漏えい、改ざん、なりすましを含める）
監査・品質・法務・広報も巻き込み、事故時の説明責任を担保する

実装（どう測り、どう改善するか）

AIアプリのセキュリティ評価（権限設計、ログ、監査、耐プロンプト攻撃、データ境界）
継続的なテストと監視（レッドチーミング、監視指標、評価データ更新）
教育の刷新（AI時代のフィッシングやディープフェイクを含む訓練）
サードパーティ評価（ベンダーのデータ取り扱い、透明性、監査可能性）

ここで、経営層・CISOが最初の一手として取り組みやすいのが、「AI利用の棚卸し」です。「誰が、どのAIを、何の業務で、どんなデータを扱っているか」を把握できない限り、リスク評価も投資判断もできません。

棚卸しの結果をもとに、次のような優先順位付けを行います。

高優先：機密データ×外部AI×自動実行（ツール連携）
事故時の影響が大きく、設計変更が必要になりやすい領域
中優先：社内AI×業務支援（要約・検索）
ルールと権限、ログ、監査で事故を起こしにくい設計にする
低優先：公開情報×個人利用（学習目的）
教育・ガイドライン中心でコントロールする

「AI導入＝生産性向上」の議論は進みやすい一方で、「AI導入＝新しいリスクの導入」という議論は後回しになりがちです。だからこそ、経営とCISOが同じテーブルで、“AIで守る”と“AIを守る”を同時に設計することが、競争力に直結します。

CISO/経営が迷わないための90日ロードマップ

AIセキュリティはやることが多く見えますが、最初から完璧を目指すと止まります。ここでは、取り掛かりやすく、成果が見えやすい90日プランを例示します。

0〜30日：現状把握とルール整備（止血）
- AI利用の棚卸し（部署・用途・データ種類・外部/社内）
- 重要データの分類と、AI入力可否ルール（暫定版でもよい）
- 決裁・送金・機密共有の“なりすまし耐性”点検（電話確認、二要素、手順の固定化）

31〜60日：AIアプリの設計レビューと運用の接続（再発防止）
- RAG/チャットボット等の権限設計レビュー（最小権限、データ境界、回答制御）
- 監査ログ設計（入力・参照・出力・実行の記録）
- SOC/CSIRTがAI起因の事故を扱えるよう、手順と訓練シナリオを更新

61〜90日：継続改善の仕組み化
- 定期評価（レッドチーミング/診断/演習）の計画化
- KPIの設定（例：棚卸しカバー率、AI入力ルール遵守率、初動時間、復旧時間）
- ベンダー・委託先に対する要求事項（データ取扱い、監査、透明性）のテンプレ化

AIは導入のスピードが速い分、暫定のガードレールを早く敷き、走りながら改善する発想が現実的です。

技術責任者向け AIアプリを“事故らせない”ための設計ポイント

CTO/開発責任者の立場では、「AIを入れるかどうか」より「AIをどう組み込むか」が勝負になります。特に事故を起こしやすい論点は、次の5つです。

権限とデータ境界：AIの回答が横断参照にならないよう、検索・参照段階でアクセス制御する
根拠提示：可能な限り参照元（文書ID、URL、更新日時）を出し、検証可能性を担保する
入力と出力の制御：機密らしき文字列のマスキング、出力フィルタ、禁止操作の明確化
ツール連携の安全化：実行系は二重確認・最小権限・レート制限・停止スイッチを前提にする
監査ログと再現性：入力・参照・出力・実行を記録し、事故時に再現できるようにする

便利さは機能追加で得られますが、信頼性は設計でしか得られません。AIを業務に組み込むほど、セキュリティは後付けでは間に合わなくなります。

次の5年で起きること、起きないこと

今後数年で見えているのは、次の潮流です。

攻撃の自動化はさらに進む：偵察から侵入、横展開まで“部分最適”が積み上がる
防御は「検知」から「耐性設計」へ：侵入前提で、権限・ネットワーク・データの分離を徹底する
AIセキュリティが専門領域として独立：従来のAppSec/CloudSecに、AI特有の評価観点が加わる
規制・顧客要求が増える：説明責任、監査、データ管理が調達条件になる
人材の取り合いが起きる：AI×セキュリティ×事業の三領域を理解する人材が不足する

AI関連のセキュリティは、単一の製品カテゴリに収束しにくい領域です。LLMの挙動評価、プロンプト攻撃耐性、データ境界、監査ログ、運用プロセスなど論点が横断的だからです。そのため今後は、ツール導入に加えて、第三者による評価（診断・レビュー・レッドチーミング）と、運用を回す支援（監視・手順整備）がセットで求められる場面が増えていくでしょう。

一方で、変わらないものもあります。資産管理、脆弱性管理、特権管理、バックアップ、監視、訓練などのいわゆる基本は、AI時代でも依然として高い効果を示します。AIがさまざまな能力を拡張してくれる機能を提供するため、基本が弱い組織ほど被害も増幅されます。

まとめ：これからのセキュリティに携わる人へ

攻撃も防御もAI時代に突入し、企業は「AIで守る」だけでなく「AIを守る」視点を持つことが不可欠になりました。重要なのは、AIを恐れることでも、AIに依存することでもありません。現場の運用と、経営の意思決定をつなぎ、継続的に改善できる仕組みを作ることです。

そして、これからセキュリティ業界に携わりたい人、すでに現場で経験を積みステップアップしたい人に伝えたいのは、AIが広がるほど「基礎」が価値を増すという事実です。攻撃者がAIで効率化するほど、守る側には、設計・運用・検証の地味な力が求められます。AIは学習すれば追いつけますが、現場の勘所である何を優先し、どこに投資し、どう回すかは、積み上げでしか身につきません。

最後に、AI時代のセキュリティを一言で表すなら、「スピードの時代」です。攻撃のスピードが上がる以上、防御も“検知してから考える”では遅れます。平時からの設計（境界・権限・ログ）と、迷わず動ける手順（初動・連絡・隔離・復旧）が、被害の差になります。AIはそれを加速してくれる道具にも、穴を広げる要因にもなります。だからこそ、今このタイミングで戦略を更新する価値があります。

付録：企業が「今すぐ」着手できるチェックリスト

AI利用の棚卸し（ガバナンスの入口）

生成AIの利用実態（シャドーAI）を把握できているか
どの部署が、どのAI（外部/社内）を、どの業務に使っているか一覧化できているか
取り扱うデータ（機密/個人情報/顧客情報/ソースコード等）を分類できているか
外部AIに投入するデータのマスキング・匿名化・要約など、代替手段を用意しているか

AIアプリ（RAG/チャットボット等）の設計・運用

権限（誰が何にアクセスできるか）をAIの回答レベルまで落とし込めているか
参照データの取り込み経路は管理され、改ざん検知やレビューがあるか
監査ログ（誰が何を聞き、何を参照し、何を出力したか）を残せているか
ツール連携（実行系）を許す場合、二重確認・最小権限・停止スイッチがあるか

AI時代の“人”への対策

フィッシング訓練はAI時代（自然文・音声・偽装）に合わせて更新したか
なりすまし対策（決裁・送金・機密共有の手順）を見直したか
インシデント対応訓練で「深夜の役員なりすまし」「AIの誤回答による事故」などを扱っているか

ブロードバンドセキュリティからのご案内

AI活用が進むほど、攻撃面は「システム」だけでなく「データ」「運用」「人」に広がります。まずは現状の棚卸しと、優先順位付けが重要です。ブロードバンドセキュリティ（BBSec）では、脆弱性診断（Web/アプリ/クラウド）に加え、運用設計・監視・セキュリティ運用支援まで、状況に合わせてワンストップでご支援可能です。必要に応じて、AI導入・AIアプリ運用に伴うリスクの洗い出しや、運用プロセスの整備もご相談いただけます。

―END―
【前編】「AIが変える攻撃の現状と、防御側AI活用のリアル」はこちら

執筆：上野宣氏
株式会社トライコーダ代表取締役
奈良先端科学技術大学院大学で山口英教授のもと情報セキュリティを専攻、2006年にサイバーセキュリティ専門会社の株式会社トライコーダを設立。2019年より株式会社Flatt Security、2022年よりグローバルセキュリティエキスパート株式会社、2025年より株式会社ブロードバンドセキュリティの社外取締役を務める。あわせて、OWASP Japan代表、一般社団法人セキュリティ・キャンプ協議会理事、NICT CYDER推進委員などを歴任し、教育・人材育成分野にも尽力。情報経営イノベーション専門職大学（iU）客員教員。

編集責任：木下・彦坂

スペシャル記事 TOPに戻る
バックナンバー TOPに戻る

年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

サービスに関する疑問や質問はこちらからお気軽にお問合せください。

2026年2月17日2026年3月30日

特別寄稿／AI時代のセキュリティ戦略：上野宣氏が語る、攻撃と防御の最前線【前編】

生成AIの急速な進化は、私たちの業務やビジネスの在り方だけでなく、サイバーセキュリティの常識そのものを塗り替えつつあります。攻撃者によるAI活用が高度化・自動化を加速させる一方で、防御側もまたAIを駆使した新たな対策を模索する時代に突入しました。攻撃と防御の双方でAI化が進むなか、企業はこれまでの延長線上にある対策だけで十分と言えるのでしょうか。いま、セキュリティ戦略そのものの再定義が求められています。

本記事では、現ブロードバンドセキュリティ（BBSec）およびグローバルセキュリティエキスパート株式会社の社外取締役、そして長年にわたりサイバーセキュリティ分野を牽引してきた上野宣氏に、AIとセキュリティを取り巻く最新動向、企業が直面する課題、そしてこれからの時代に求められる戦略の方向性について伺います。

後編「AI時代に増えるリスクと、経営が取るべきアクション」はこちら

AIが変える攻撃の現状と、防御側AI活用のリアル

生成AI（LLM）の普及によって、サイバー攻撃のコストが劇的に低下しています。フィッシング文面の作成、標的企業の調査、マルウェアの作成、侵入後の横展開など、これまで人手と経験を必要としていた工程が、現在では半自動化されつつあります。犯罪ビジネスとして収益最大化を狙う攻撃者にとって重要なのは「時間を掛けて大物を狙うこと」ではなく、「いかに効率的に稼げるか」です。その結果、防御側には「特定の攻撃を止める」だけではなく「被害を最小化し、迅速に復旧する」という視点がこれまで以上に求められています。一方、防御側も、EDR/XDRやログ分析の高度化、セキュリティ運用（SOC/CSIRT）の自動化など、AIを取り入れた対策が急速に進んでいます。

また、独立行政法人情報処理推進機構（IPA）が2026年1月29日に公開した「情報セキュリティ10大脅威 2026 [組織編]」では、「AIの利用をめぐるサイバーリスク」が初めて3位に選出されました。

攻撃と防御の双方でAI化が進む現在、企業のセキュリティ戦略はどう変わるべきなのでしょうか。本稿では、攻撃者の視点で侵入を行うペネトレーションテストの経験を踏まえ、AI時代のセキュリティ最前線を整理し、現場と経営の双方が「明日から動ける」論点を提示します。

AIが変えるサイバー攻撃の現状

攻撃者は「巧妙さ」よりも「スケール」と「成功確率」を取りに来る

AIがもたらした本質的な変化は、攻撃手法そのものの高度化ではありません。最大の変化は攻撃のスケール（量）と、標的に適した攻撃手法を選択できる確率が大きく向上した点にあります。

フィッシング／ビジネスメール詐欺（BEC）の高精度化
役職や業務内容、業界用語に合わせた文面、自然な敬語表現、過去メールの文体模倣、会話の継続まで、生成AIが支援することができます。結果として「日本語が不自然」「誤字が多い」といった従来の判別ポイントが機能しなくなっています。さらに、メールに限らず、チャット（Teams/Slackなど）やSMS、SNSのDM、ビデオ会議（Zoom/Teamsなど）など複数チャネルを横断した心理的誘導も増えています。
ディープフェイク（音声・映像）によるなりすまし
役員の音声を模した緊急指示など、本人になりすましたリアルタイムの会話を通じた詐欺など、人の心理を突く攻撃が進化しています。特に決裁フローが「口頭承認」「チャットでOK」で通る組織ほど影響が大きくなります。
2024年初頭には、香港でCFOをディープフェイクで偽装し、ビデオ会議を通じて2,500万米ドル（約38億円）を詐取した事件が報じられました。従来、本人確認は「見て・聞いて・確認する」という感覚に依存していましたが、その前提自体が崩れています。

[CFO（最高財務責任者）になりすまして2500万米ドルを送金させたディープフェイク技術｜トレンドマイクロ](https://www.trendmicro.com/ja_jp/research/24/c/deepfake-video-calls.html)

マルウェアの派生と検知回避の高速化
既存コードの改変、難読化、検知回避の試行錯誤を短時間で回せるため、シグネチャ依存の検知は追随が難しくなります。加えて、侵入後の活動（権限昇格、横展開、永続化）に必要なコマンドや手順を考えるコストが下がり、攻撃者の習熟速度が上がります。
偵察（Recon）と脆弱性悪用の自動化
公開情報（OSINT）の収集、サブドメイン列挙、設定不備の探索、既知脆弱性（CVE）の当たり付けなど、攻撃の前工程が加速します。攻撃者は「露出している資産」「更新されていないミドルウェア」「放置された管理画面」のような守りの穴をAIで素早く見つけ、手当たり次第に試行します。
生成AIによるコード生成とその限界
生成AIは攻撃コードのたたき台（PoC）や、攻撃後の痕跡隠し（ログ削除や設定変更）の手順を提案することができます。攻撃者が高速に試行錯誤を行うことができるようになりました。ただし、生成物は常に正しいとは限らず、環境依存のミスも多くあります。AIは攻撃を容易にしますが、万能ではありません。

2024年5月にはIT分野の専門知識を持たない人物が、生成AIを悪用してランサムウェアを作成し逮捕されたという国内事案も起きています。従来は一定の技術力が必要だった領域でしたが、AIが参入障壁を引き下げています。
[生成AI悪用しウイルス作成、有罪判決…IT知識なくとも「１か月ぐらいで簡単に作れた」｜読売新聞](https://www.yomiuri.co.jp/national/20241025-OYT1T50209/)

AIは攻撃者にとって新しい武器というより、「既存の攻撃を、安く、速く、個別最適化して量産する装置」として機能しています。

守る側が見落としがちな本質的脅威：攻撃者の「工数」ではなく「意思決定」が変わる

AIで工数が下がると、攻撃者の意思決定が変わります。たとえば以前なら「ROI（投資利益率）が合わない」と見送られていた中堅企業や子会社、地方拠点も、数を打つ前提で標的に入りやすくなります。また、ランサムウェアのように侵入後に人が関与する攻撃でも、初期侵入の候補が増えるだけで全体の被害母数は増えます。

企業は「自社は狙われない」ではなく、狙われる前提で、侵入しにくく・侵入されても広がらない設計に投資する必要があります。

一方で、AI攻撃にも限界があります。生成物の誤り、環境依存、権限・ネットワーク制約など、現実の侵入は地味な制約だらけです。だからこそ防御側は、AIを過度に恐れるよりも、AIによって「攻撃の頻度と質が上がる」前提で、基本対策を徹底しつつ、運用を強化することが重要になります。

防御側のAI活用と、その限界

「検知モデル」と「生成モデル」は役割が異なる

防御側のAI活用を考える際、まず押さえたいことは、AIには大きく2種類の使い方があることです。

検知（判別）に強いAI：振る舞いから異常を検知し、アラートを出す（EDR/XDR、UEBAなど）
生成（要約・支援）に強いAI：文章の要約、問い合わせ応答、手順提案、チケット起票など運用補助を担う

両者を混同すると、「AIを入れたのに検知できない」「要約は便利だが判断が危ない」といったミスマッチが起きます。導入時はAIに何を任せ、何を人が担うかを明確にすることが出発点になります。

AIはすでに防御のコアである

防御側のAI活用は、AI製品を買えば解決という単純な話ではありません。多くの企業で現実に進んでいるのは、次のような領域です。

EDR/XDRの検知ロジック強化
従来のルールベースに加え、行動分析や相関分析を組み合わせ、攻撃の兆候を早期に拾う。
ログ分析／異常検知の高度化
分散したログを統合し、普段と違う通信・認証・権限変更などを検知する。特にクラウドでは、設定変更（IaC、権限付与、APIキー利用）のログが要になります。
SOCの一次分析（トリアージ）の効率化
アラート要約、関連ログの自動収集、影響範囲の仮説立て、過去事例の類推など、人が疲弊する作業をAIが肩代わりする。SOAR（自動対応）と組み合わせ、軽微なインシデントを自動封じ込めする例も出ています。
脅威インテリジェンスの取り込み
攻撃者のTTPやIoCを取り込み、自社ログと突合する。AIは情報の整理・関連付けに強い一方、最終的な妥当性判断は人が担う必要があります。
AIが得意なのは「大量データの整理・優先順位付け」であり、最終判断（ビジネス影響、止める/止めない、復旧手順）は人間の責務として残ることです。

AI防御の落とし穴

AIを活用した防御には、以下のようなリスクがあることを知っておいて下さい。

誤検知／見逃し（False PosITive/Negative）
AIはもっともらしい出力を返しますが、誤りをゼロにはできません。誤検知が多いと現場はアラート疲れを起こし、逆に見逃しが増えます。
説明可能性（ExplAInabilITy）の不足
「なぜ検知したのか」が説明できないと、現場の納得も、経営への説明も難しいことがあり、監査や顧客説明に耐えない可能性もあります。
データの偏り／経時変化
組織の利用状況、システム構成、攻撃トレンドは常に変わります。過去データに最適化されたAIは、時間とともに精度が落ちる可能性があります。
生成AIの幻覚（ハルシネーション）
運用支援にLLMを使う場合、誤った要約や根拠不明の推論が混ざることがあります。検証手順（根拠ログの提示、再現確認）を確立しておくことが必須となります。
機密ログの扱い
生成AIにログを投入する場合、そのログ自体が機密情報の塊です。保存、外部送信、学習利用、権限管理の設計を誤ると、防御強化のつもりが漏えいリスクになります。
AIは防御の万能薬ではなく、運用を強くするための一要素に過ぎません。AIを導入するなら「どのKPIを改善するのか（初動時間、検知率、分析工数、MTTRなど）」を定義し、運用とセットで設計する必要があります。

―【後編】「AI時代に増えるリスクと、経営が取るべきアクション」に続く―

編集責任：木下・彦坂

スペシャル記事 TOPに戻る
バックナンバー TOPに戻る

年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

サービスに関する疑問や質問はこちらからお気軽にお問合せください。

2026年2月4日2026年2月8日

ビジネスメール詐欺（BEC）の脅威と企業に求められる対策 -2026年最新の脅威と対策ガイド-

Security NEWS TOPに戻る
バックナンバー TOPに戻る

近年、企業を狙った巧妙な「ビジネスメール詐欺（BEC: Business Email Compromise）」が世界的に急増しています。本記事では、BECの概要や実際の被害事例、典型的な手口と最新動向について解説し、企業が取るべき対策と今後の備えとして必要な社内体制づくりについて提言します。

ビジネスメール詐欺（BEC）とは何か

「ビジネスメール詐欺（BEC）」とは、巧みに偽装した電子メールを企業の従業員に送りつけ、経理送金などの不正行為を実行させる詐欺手口です。攻撃者は取引先や経営者になりすまして「請求書の振込先が変更になった」「至急資金を用意してほしい」といったメールを送り、社員を信用させて偽の口座へ送金させます。その名の通りBusiness E-mail Compromise（＝”ビジネス Eメール詐欺”）の頭文字を取って「BEC（ベック）」とも呼ばれます。一般的なマルウェア添付型メールとは異なり、ビジネスメール詐欺のメールにはマルウェア添付や明らかな不審リンクがない場合も多く、一見「通常の業務メール」に見える点が非常に厄介です。

ビジネスメール詐欺（BEC）の特徴

ビジネスメール詐欺は高度なソーシャルエンジニアリング（巧妙な人為的なだまし）の一種であり、技術的手口と心理的誘導を組み合わせて実行されます。攻撃者はターゲット企業や関係者について徹底的に調査し、社員の権限や性格、役職に至るまで把握します。その上で「海外出張中の社長」を装って部下に緊急送金を命じたり、「取引先担当者」を装い請求書の振込口座変更を通知したり、あるいは「秘密裏の相談」を持ちかけて警戒心を解き、相手に疑う隙を与えないよう仕向けます。このようにBECは人間の認知・判断の隙を突いて金銭を騙し取る巧妙な詐欺であり、IPA（情報処理推進機構）の「情報セキュリティ10大脅威」でも毎年TOP10入りするなど極めて深刻な脅威です。

ビジネスメール詐欺の手口と最近の傾向

独立行政法人情報処理推進機構（IPA）による注意喚起などで紹介されているBECの典型的な手口は、大きく以下の5タイプに分類されます。

・取引先との請求書の偽装
・経営者等へのなりすまし
・窃取メールアカウントの悪用
・社外の権威ある第三者へのなりすまし
・詐欺の準備行為と思われる情報の詐取

なお、この分類は、米国政府系機関のIC3（Internet Crime Complaint Center：インターネット犯罪苦情センター）の定義によるものであり、IPA以外にも、多くのセキュリティ機関で使用されているものです。実際の攻撃では、これら複数の手口を組み合わせて巧妙に仕掛けられるケースもあります。例えば「詐欺の準備行為と思われる情報の詐取」で社内情報を下調べした上で「取引先との請求書の偽装」+「経営者等へのなりすまし」で請求書詐欺を行う、といった具合です。また攻撃者はメール送信元を偽装する際、本物のドメインに一文字追加するなど判別しづらい偽アドレスを使うため、受信者が違和感を持ちにくい工夫がされています。

ビジネスメール詐欺実行のプロセス

ビジネスメール詐欺の背後では、攻撃者が入念な準備を重ねています。典型的な実施プロセスは下記の通りです。

1．標的とする企業の選定
2．フィッシング、マルウェア感染などのサイバー攻撃による電子メールアカウント乗っ取り
3．乗っ取った電子メールアカウントを用いた情報の収集・分析
　例：
　・組織図や人事情報
　・意思決定者や経理担当者などのキーパーソンの氏名・役職・権限・業務管掌
　・企業の業務プロトコルや各種社内規定、企業文化
　・毎月の経理処理のスケジュール
　・主要取引先の担当者氏名・役職・権限、取引の詳細
　・ターゲット候補に関する情報
　（性格や気質、言葉遣いの癖、趣味やプライベート、出張・休暇情報など）
4．ターゲット、攻撃シナリオの決定
　例：経理担当者A氏をターゲットにし、大口取引先B社の経理担当者C氏になりすます
5．詐欺ドメインの取得
　例：大口取引先B社とよく似たドメインの取得、メールサーバの設定他
6．なりすましメール送信
　例：A氏に対し、C氏を装った電子メールを送信
7．攻撃成功
（なりすましであることに気づかれることなく、メールの内容にもとづく行動を起こさせる）
　例：A氏がなりすましメールの指示通りに、攻撃者の口座へ入金処理を実施

例えば、決裁者が出張中で不在のタイミングを狙い撃ちし、その間隙に乗じて部下に大量送金を依頼するなど、周到にシナリオが練られています。ターゲットを絞り込み時間をかけて攻撃するため、1件あたりの被害額は莫大になる傾向があります。

生成AIを利用したメール文面の巧妙化

近年の大きな傾向の特徴の一つとして、生成AIの普及によるメール文面の巧妙化があります。当初BECは英文メールで海外取引のある企業が狙われるケースが目立ちました。しかし2022年以降の生成AIの普及により、日本語の文面も非常に自然で巧妙になってきています。生成AIは、単に文章を作成するだけでなく、ターゲット企業の業界用語や社内の言い回し、文化的なニュアンスまで学習し、極めて説得力のあるメールを作成します。例えば、製造業の企業に送られるメールには業界特有の専門用語が適切に使われ、金融機関に対しては金融規制に関する正確な知識を踏まえた内容が含まれます。これにより、従業員が不自然な表現という従来の判断基準で詐欺を見抜くことは極めて困難になっています。

さらに、生成AIは多言語対応も容易にしました。攻撃者は英語、日本語、中国語、韓国語など、ターゲットに応じて完璧な言語でメールを作成できるため、「海外取引がない企業は安全」という考えは完全に通用しなくなっています。

ビジネスメール詐欺の被害事例

実際にビジネスメール詐欺による被害は国内外で多発しており、日本国内でも被害が急増しています。

2017年末に大手企業で数億円規模の被害が発生し注目が集まり、その被害総額は2023年末時点で全世界累計約554億ドル（約8兆円）を超え、2024年には生成AIの普及により攻撃が前年比1,760%増加する*1 など、脅威は加速度的に拡大しています。1件あたりの平均被害額は13万7,000ドル（約2,000万円）に達し*2、高額案件では467万ドル（約6億8,000万円）の被害も報告されています*3。

LINE誘導型CEO詐欺

特に2025年の年末以降に急増しているのが、経営者を装って従業員に「LINEグループを作成してほしい」とメールで依頼し、QRコードの送信を求めるというLINE誘導型CEO詐欺の手口です。この攻撃はURLリンクが含まれないため、従来のセキュリティツールでは検知が困難です。具体的な被害報告例は下表の通りです。

被害公表日	概要
2025年12月27日	北海道函館市の企業で約4,980万円の被害が報告*4
2026年1月7日	長野県飯田市の企業で2,950万円の被害*5
2026年1月20日	東京都内の組織14件で計6億7,000万円の被害*6

LINE誘導型攻撃の実態については以下の記事でも解説しています。あわせてぜひご覧ください。
「【注意喚起】「業務上の理由で…」そのメール、本当に上司ですか？―年末年始を狙うLINE誘導型ソーシャルエンジニアリングの実態」

ビジネスチャットツールでのなりすまし詐欺

ビジネスメールだけでなくChatworkやMicrosoft Teamsなどのビジネスチャットツールでのなりすまし詐欺も増加しており、攻撃の多様化が進んでいます。2026年1月には、Chatworkが公式に注意喚起を発表し、「経営者を装った不審なコンタクト申請」が多発していることを警告しました*7 。この攻撃では、攻撃者が社長や役員の名前とプロフィール写真を使用してアカウントを作成し、従業員にコンタクト申請を送ります。承認されると、「緊急の案件で手が離せない」「機密事項なので他言無用」といったメッセージで信頼を築き、最終的に送金指示や機密情報の提供を求めます。チャットツールが標的となる理由として、従業員の警戒心の低さやセキュリティ設定の甘さなどがあります。

2026年のBECトレンド予測：進化する脅威への備え

ビジネスメール詐欺は、技術の進歩とともに急速に進化を続けています。2026年に向けて、企業が警戒すべき最新トレンドをご紹介します。

AIによる攻撃の高度化

生成AI技術の普及により、ビジネスメール詐欺は劇的に進化しています。2024年第2四半期の調査では、フィッシングメールの約40%がAI生成コンテンツであると特定されており*8、この割合は今後さらに増加すると予測されています。従来は不自然な日本語表現で見破れた詐欺メールも、現在ではネイティブレベルの完璧な多言語メールが簡単に生成可能です。

さらに深刻なのが、AI音声合成技術による「電話確認」の突破です。ディープフェイク音声により経営者の声を高精度で模倣できるため、従来の対策である「電話での本人確認」も無力化される恐れがあります。2026年はこの攻撃がさらに洗練されることが予想されます。

攻撃対象の拡大

ビジネスメール詐欺の戦場はメールからチャットツールへ拡大しています。2026年1月にはChatworkが公式に注意喚起を発表し、Microsoft Teams、Slack、LINEなどでのなりすまし詐欺が急増しています。また、実際に取引先企業のアカウントを侵害して攻撃する「VEC（Vendor Email Compromise：ベンダーメール詐欺）」が2023年から2024年にかけて66%増加したという報告もあります*9。VECは正規のアカウントから送信されるため検知が極めて困難で、自社だけでなくサプライチェーン全体のセキュリティ対策が必要です。

日本特有の課題

日本企業の最大の課題はDMARC導入の遅れです。2026年1月の日本経済新聞の報道によれば、最も効果的な「拒否」設定を行っているのはわずか15%（米欧は約60%）にとどまっています。また、東京だけでなく長野、北海道、新潟など全国各地で被害が発生しており、地方企業におけるセキュリティ意識や専門人材の不足という地域格差も深刻な問題となっています。

攻撃者は防御の弱い企業を優先的に狙うため、日本企業は早急な対策強化が求められています。

ビジネスメール詐欺に企業が取るべき対策

ビジネスメール詐欺の被害を防ぐには、「技術」「人」「プロセス」の三位一体となった多面的な対策が求められます。

技術的対策

メール認証技術の導入が最優先です。SPF、DKIM、特にDMARC「拒否」設定を実装し、なりすましメールを受信前にブロックしましょう。また、全従業員への多要素認証（MFA）導入を推進し、アカウント乗っ取りを防止しましょう。

メール認証技術（SPF・DKIM・DMARC）の導入ポイントについては、以下の記事でも解説しています。あわせてぜひご覧ください。
「ソーシャルエンジニアリング最前線【第4回】企業が実践すべきフィッシング対策とは？」
フィッシング対策に重要なメール認証技術とは？SPF・DKIM・DMARCの導入ポイント

基本的なセキュリティ対策の強化
ウイルス対策・不正アクセス対策・OSの更新・IDやパスワードの管理・二要素認証の採用など、一般的なセキュリティ対策は、ビジネスメール詐欺実行のプロセスの「フィッシング、マルウェア感染などのサイバー攻撃による電子メールアカウント乗っ取り」にも有効です。

人的対策

定期的なセキュリティ研修で、BECの最新手口を全社員に周知します。擬似BEC攻撃メールによる訓練を実施し、不審なメールを見抜く力を養成しましょう。メールだけでなく、Chatwork、Slack、Microsoft Teamsなどチャットツールでのなりすまし対策教育も重要です。

プロセスの再構築

振込先口座の変更や高額送金の指示がメールで来た場合、必ず事前登録された電話番号に直接確認する社内ルールを徹底します（メール本文の連絡先は使用しない）。複数人承認制を義務化し、LINEやTeamsのアカウント情報を求められた場合も同様に電話確認を必須とします。

ビジネスメール詐欺の脅威は、技術の進歩とともに進化を続けています。企業は、「自社は大丈夫」という楽観的な見方を捨て、常に最新の脅威情報にアンテナを張り、継続的に対策をアップデートする姿勢が求められます。

ビジネスメール詐欺ではどこまで自社の情報を集められるのか？

ビジネスメール詐欺は「ターゲットについて調べに調べたうえで実行される」と述べました。相手を欺くために練りに練られたメールを、最も攻撃に弱いと見立てたターゲットに送る。それがターゲットの元に届いてしまったとき、その後できる対策は決して多くはありません。

そこで求められるのが、前述したビジネスメール詐欺実行のプロセスの、なるべく早期の段階にフォーカスした対策です。具体的には、2および3のフェーズ、すなわち「電子メールアカウントが乗っ取られて攻撃のための情報が収集、分析される」段階を想定してセキュリティ課題を抽出し、対策を立てることをおすすめします。「シフトレフト」に関する記事で言及しているように、対策は、プロセスの前段階であればあるほど効果的です。

株式会社ブロードバンドセキュリティ（BBSec）では、標的型攻撃への対策として開発された「SQAT® APT」というサービスを提供しています。本サービスでは、攻撃が成功した場合、「社内の情報がどこまで収集されてしまうのか」、「どこまで侵入を許してしまうのか」、「何を知られてしまうのか」、といった点を把握できるようになっており、ビジネスメール詐欺対策としても威力を発揮します。

もっともうま味のある成果を狙って、もっとも弱いところを突いてくる。それがビジネスメール詐欺です。起こりうる被害を可視化して対策を立て、早い段階で攻撃の芽を摘みましょう。

G-MDR^®

サイバー攻撃への防御を強化しつつ、専門技術者の確保や最新技術への投資負担を軽減します。
https://www.bbsec.co.jp/service/mss/gmdr.html
※外部サイトにリンクします。

エンドポイントセキュリティ

組織の端末を24/365体制で監視。インシデント発生時には端末隔離等の初動対応を実施します。
https://www.bbsec.co.jp/service/mss/edr-mss.html
※外部サイトにリンクします。

インシデント初動対応準備支援

拡大するサイバーセキュリティの脅威に対応するために今すぐにでも準備すべきことを明確にします。

https://www.bbsec.co.jp/service/evaluation_consulting/incident_initial_response.html
※外部サイトにリンクします。

まとめ

ビジネスメール詐欺（BEC）は取引先や上司を装った偽メールで社員を欺き、不正送金等を行わせる犯罪であり、高度に人の心理の弱みを突くソーシャルエンジニアリング攻撃の一種です。
攻撃者はメールアカウント乗っ取りなど技術的手段も駆使しつつ、企業や従業員に関する綿密な事前調査を行い、練り込んだシナリオで標的を信じ込ませます。
発生すると被害額が極めて大きくなりやすく、企業規模・業種を問わず警戒が必要です。
ビジネスメール詐欺の被害を防ぐには、メール詐欺に焦点を合わせた多面的な対策（技術・プロセス・教育）を実施することが効果的です。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2025年12月11日2025年12月11日

【2025年版】ランサムウェアギャング大図鑑：脅威マップと攻撃の特徴第3回：今後のトレンドと企業が取るべき対策

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ランサムウェアギャング大図鑑：第3回今後のトレンドと企業が取るべき対策アイキャッチ画像

急速に変化を続けるランサムウェアの脅威についてシリーズ第3回では、2025年以降に予測される攻撃トレンドと、防御の要となる企業の対策ポイントを解説します。AIを活用した攻撃の自動化、地域・業種特化型の攻撃、そして“多重恐喝”の常態化など、脅威はさらに高度化しています。被害を防ぐために企業がとるべき対策や実践的な技術的対策から組織的な備えまで、最新の防御戦略をわかりやすく紹介します。

はじめに：2025年のランサムウェア攻撃と企業への脅威

これまでの2回にわたり、ランサムウェアの進化と市場の変動、そして主要なランサムウェアギャングの勢力図の変化を見てきました。第1回では、ランサムウェア攻撃がどのように進化してきたかを、技術的な進歩や新たな攻撃手法を中心に解説しました。第2回では、ランサムウェアギャングの台頭とその戦略の変化に焦点を当て、特に「RaaS（Ransomware-as-a-Service）」の普及による攻撃の多様化を説明しました。

そして「ランサムウェアギャング大図鑑」シリーズ最終回の第3回では、これらの現状を踏まえて予測される2025年以降のランサムウェア攻撃のトレンドと、企業が今後取るべき対策をご紹介します。攻撃者の進化と企業の防御策がかみ合わないと、被害は拡大する一方です。したがって、最新の脅威動向をしっかりと把握し、適切な対策を講じることが不可欠です。

今後のランサムウェア攻撃のトレンド

ランサムウェア攻撃は年々進化を続けており、攻撃者の手法はますます高度化しています。以下のトレンドが、2025年以降のランサムウェア攻撃を特徴づけると予測されます。

AIおよび機械学習を悪用した攻撃の高度化

ランサムウェア攻撃者は、攻撃をより手軽に仕掛けるため、AIや機械学習を活用し始めています。今後、生成AIの技術は、以下のような形で攻撃に悪用されると予測されています。

攻撃のターゲティング精度の向上

AIを活用することで、攻撃者はターゲットをより詳細に分析し、最も脆弱な部分を狙った攻撃が可能になります。過去の攻撃パターンやデータを学習させることで、企業にとって最も致命的な脆弱性を見つけ出すことができます。

攻撃プロセスの自動化

攻撃の自動化により、従来よりも高頻度かつ広範囲にわたる攻撃が実施される可能性が高まります。AIを利用することで、攻撃者は迅速に脆弱性を見つけ出し、効率よく攻撃を仕掛けることができるようになります。

フィッシング攻撃の進化

AIを駆使して、よりリアルで説得力のあるフィッシングメールが生成され、従業員が引っかかりやすくなります。

サプライチェーン攻撃の増加

サプライチェーン攻撃は2025年以降、さらに拡大することが予測されています。攻撃者は、特に信頼性の高い企業の取引先やパートナーを標的にし、その脆弱性を悪用して間接的に大手企業のネットワークへアクセスする手法を取ります。サプライチェーンでは多くの企業がネットワークを共有しているため、一度攻撃者の侵入を許してしまうと、その後広範囲に影響が及びます。

ランサムウェア(RaaS)モデルの深刻化

今後、RaaSのサービスプロバイダがさらに多様化し、攻撃者が手軽にランサムウェアを利用できる環境が整っていくでしょう。これにより、より多くの犯罪者がランサムウェア攻撃に参入し、その結果として攻撃が広範囲に及ぶことが予測されます。

ゼロデイ攻撃の増加

ゼロデイ攻撃は、未公開の脆弱性を突いた攻撃です。攻撃者は、パッチが公開される前に脆弱性を悪用し、感染拡大を狙います。これからのランサムウェア攻撃において引き続き重要な手段として使用されるでしょう。

ゼロデイ攻撃についてSQAT.jpでは以下の関連記事を公開中です。こちらもあわせてぜひご覧ください。
「世界で多発するゼロデイ攻撃とは？Apple・Google・Ciscoを襲った脆弱性の実態と対策」
https://www.sqat.jp/tamatebako/39750/

企業がとるべきセキュリティ対策

今後、ランサムウェア攻撃はさらに巧妙化し、企業に対する脅威が増大すると予測されます。企業は以下のような対策を講じることにより、リスクを最小限に抑えることができるでしょう。

多層防御策の強化

ランサムウェア攻撃を防ぐためには、単一の防御策では不十分です。多層防御を導入し、複数のセキュリティ対策を重ねることで攻撃のリスクを大幅に低減できます。具体的には以下のセキュリティ対策例が挙げられます。

エンドポイントセキュリティ（EDR）の強化

EDR（Endpoint Detection and Response）を導入し、攻撃を早期に発見できる体制を整えます。これにより、サイバー攻撃の初期兆候をいち早く検出することが重要です。

ゼロトラストモデルの導入

ゼロトラスト（Zero Trust）アーキテクチャの導入により、企業はすべてのアクセスの信頼性を常に検証し、最小限のアクセス権を付与することが求められます。

サプライチェーンリスク管理

企業は自組織のサプライチェーンの脆弱性をしっかりと把握し、取引先やパートナー企業に対するセキュリティ評価を強化する必要があります。

バックアップと復旧体制の整備

ランサムウェア攻撃を受けた場合、迅速な復旧ができる体制を整えておくことが重要です。具体的には以下のような例が挙げられます。

オフラインバックアップの実施
ランサムウェアはオンラインバックアップも暗号化する可能性があるため、オフラインでバックアップを保持することが必要です
復旧計画のテスト
定期的にバックアップと復旧手順をテストし、実際の攻撃時に速やかに復旧できるよう準備します

インシデント対応計画の策定

ランサムウェア攻撃を受けた場合、迅速な対応が求められます。企業はインシデント対応計画を策定し、発生時の対応マニュアルや手順を明確にした上で、組織内での訓練を定期的に行うことが重要です。インシデント対応チームの迅速な対応が企業の存続に直結します。

まとめ：2025年のランサムウェア脅威への最適な防御策

ランサムウェア攻撃はますます巧妙化し、企業にとってその脅威は深刻化しています。しかし、適切な対策を講じることで、企業はリスクを最小化することができます。進化する攻撃トレンドに対応するために、企業は多層防御、ゼロトラスト、サプライチェーンリスク管理、バックアップ体制の強化、インシデント対応の準備を万全に整えることが求められます。今後もランサムウェア攻撃は進化し続けるため、自組織の環境に応じた適切なセキュリティ対策を実施し、組織内のセキュリティ意識を高めていくことが求められるでしょう。

―連載一覧―

第1回：ランサムウェアの進化と2025年の市場構造
第2回：2025年注目のランサムウェアギャング徹底分析

限定キャンペーン実施中！

今なら新規お申込みで 初回診断料金 10％OFF！
短期間での診断が可能な「SQAT® with Swift Delivery」で、あなたの企業をサイバー脅威から守りませんか？

ウェビナー開催のお知らせ

2025年12月17日（水）13:00～14:00
【好評アンコール配信】
「インシデント対応入門：サイバー攻撃・情報漏洩への緊急対応手順解説」
2026年1月14日（水）13:00～14:00
【好評アンコール配信】
「今さら聞けない！ソースコード診断あれこれ」

最新情報はこちら

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

2025年12月17日（水）13:00～14:00
【好評アンコール配信】「インシデント対応入門：サイバー攻撃・情報漏洩への緊急対応手順解説」

2026年1月14日（水）13:00～14:00
【好評アンコール配信】「今さら聞けない！ソースコード診断あれこれ」

最新情報はこちら

2025年12月5日2025年12月11日

【2025年版】ランサムウェアギャング大図鑑：脅威マップと攻撃の特徴第2回：2025年注目のランサムウェアギャング徹底分析

Security NEWS TOPに戻る
バックナンバー TOPに戻る

世界では100を超えるランサムウェアギャングが活動しており、勢力図は日々変化しています。シリーズ第2回では、LockBitやQilin、Cl0p、Akiraなど、2025年現在も活発に活動している主要なランサムウェアギャングを中心に、その手口・特徴・攻撃傾向を徹底分析します。また、BlackCatやRansomHubなど衰退したグループの動向にも触れ、再編を繰り返すランサムウェア市場の「現在地」を整理し、企業が注視すべき最新の脅威を明らかにします。

2025年の勢力図 ― ランサムウェア市場の再編

2025年現在、ランサムウェアの勢力図は大きく塗り替えられています。かつて世界中で猛威を振るったContiやREvil、そしてRansomHubが姿を消した一方で、LockBit、BlackCat（ALPHV）、Play、Cactus、8Base、Medusa、Akiraなどが急速に台頭し、攻撃の主導権を握っています。特にLockBitは依然として最も活発なグループの一つであり、世界各国の企業・自治体・医療機関を標的に、短期間で多層的な攻撃を展開しています。

また、2024年以降は「RaaS（Ransomware-as-a-Service）」モデルの成熟が進み、開発者と実行者（アフィリエイト）が分業化されることで、攻撃のスピードと規模がかつてないほど拡大しました。いまや、技術力の低い犯罪者でも高度なランサムウェア攻撃を実行できる環境が整いつつあります。一方で、法執行機関による摘発や暗号資産取引の監視強化により、いくつかの有力組織は活動停止になりました。代表例がRansomHubであり、2024年に急速に勢力を拡大したものの、2025年4月にはオンラインインフラがダークウェブ上で停止し、現在は「再編中」または「後継グループへ移行中」とみられています。

現在も活発な主要なランサムウェアギャング（2025年時点）

2025年時点で活動が顕著な代表的グループを一覧で紹介します。

グループ名	主な特徴	最近の動向
Qilin（キリン）	製造業への攻撃を中心に活動、日本でも被害多数	2025年700件超の攻撃を確認。被害最多
LockBit（ロックビット）	三重恐喝モデルの先駆者、RaaS最大手	摘発から数か月後、再登場。その際、「LockBit 5.0」を提供
BlackSuit（ブラックスーツ）	BlackCatの後継とされる。カスタム暗号化ツール、情報漏洩の脅迫	2024年に本格的な活動を開始。以前のBlackCatの戦術を引き継ぎつつ、新たな攻撃手法を採用
Play（プレイ）	シンプルな脅迫文と独自の暗号化方式を使用。正規ツール悪用が特徴	教育・行政・製造業を標的に拡大。再現性の高い攻撃手法で模倣も多い
Cactus（カクタス）	VPN機器の脆弱性を悪用。暗号化前に自身をパスワードで保護	欧州企業を中心に感染が拡大中。RaaS化も進行
Medusa（メデューサ）	攻撃的な恐喝と高額な身代金要求	医療・教育機関を中心に攻撃継続。複数の新アフィリエイトを獲得
Akira（アキラ）	VPN経由での侵入とActive Directory攻撃に長ける	北米・アジア企業への侵入増加。身代金の要求額は比較的低め*10https://www.ic3.gov/CSA/2024/240418.pdf

LockBit・BlackSuitが象徴する「持続型」攻撃モデル

LockBitは2021年以降、継続的なバージョンアップを重ね、現在の「LockBit 5.0」では暗号化速度の向上や複数OS対応を実現しています。また、被害者データを公開する「リークサイト」の運用を巧妙化し、支払い圧力を高める戦略を維持しています。一方で、米司法省などの国際捜査により一時的に活動が停止する局面も見られましたが、数週間で再建されるなど、組織の分散性と復元力が注目されています。同様に、BlackSuitは、2023年に登場したBlackCat（ALPHV）の後継とされ、依然としてRust言語を使用したカスタマイズ暗号化を得意とするグループです。BlackSuitの特徴的な点は、以前のBlackCatが行っていた情報漏洩の脅迫に加えて、さらに新たな攻撃手法を採用している点です。特に、金融機関や医療機関をターゲットにした攻撃が増加しており、その手法の精緻化が進んでいます。2024年には本格的に活動を開始し、これまでのBlackCatの後を継いで攻撃を継続中です。業界を超えて、感染経路や攻撃対象を広げると同時に、その特異な手法で注目を集めています

両者に共通するのは、「迅速な再編」と「収益性の最大化」を重視する点であり、捜査・報復措置を受けても体制を再構築し、ブランドを維持する巧妙な経営的戦略をとっています。

新興勢力：Qilin、Play、Cactus、8Base、Medusaの特徴

Qilinは2025年に最も多くの攻撃を仕掛けたランサムウェアグループの一つで、製造業をターゲットにしたカスタマイズ攻撃が特徴です。2025年に入ってから、短期間で700件以上の攻撃を記録し、特に日本企業を多く標的にしています。特徴的なのは、被害者の業界や規模に合わせた細かな調整を行い、効率的に侵入する手法です。2025年9月には、アサヒグループホールディングスに対する攻撃が大きな注目を浴びました。Qilinは、LockBitやDragonForceと連携して攻撃を行うことがあり、今後のランサムウェア市場において、さらなる影響力を持つと予測されています。

その他に急速に台頭した新興勢力の一つがPlayです。Playは2022年に登場した比較的新しいグループながら、独自の暗号化方式とシンプルな脅迫メッセージで知られています。標的選定の傾向は特定の業界に偏らず、政府機関・教育機関・中堅企業まで幅広い範囲に及びます。また、侵入後の横展開において、既知の脆弱性よりも「正規ツールの悪用」を多用する点が特徴的です

さらに、Cactusと8Baseも注目すべき新興勢力です。CactusはVPNやCitrixなどの正規アクセス経路を悪用して侵入し、通信を暗号化する独自の戦術を採用することで検知を困難にしています。被害は欧州を中心に広がり、暗号化ツールをRaaSとして提供する動きも見られます。8Baseは中小企業を中心に攻撃を展開し、データ窃取を重視する「二重脅迫型」戦略を強化しています。LockBit系列の派生とされ、独自の強い脅迫文や被害者情報の大量公開で知られます。2024年中頃をピークに報告数は減少していますが、依然として活動を続けています。また、Medusaは、支払い期限をカウントダウン表示する公開サイトを運用するなど、恐怖心を煽る戦略を取るグループとしても知られています。教育・医療機関を標的とする傾向が強く、倫理的・社会的インパクトの大きさからも注目されています

勢力構造の変化が示す今後の方向性

これらの動向から、2025年以降のランサムウェア市場には次のような変化が予測されます。

短命化するグループと再編の加速

RansomHubのように短期間で急成長し、消滅するケースが増えています。これは法執行機関の摘発強化や、内部リークによる情報流出が影響しているとみられます。

RaaSの分散化と匿名化の進行

大規模組織の崩壊後、開発者が小規模な派生RaaSを乱立させる傾向が見られます。結果として、検知・追跡がより困難になると予測されます。

生成AIや自動化の活用

脅迫文や交渉メッセージの自動生成、被害者選定の最適化など、AI技術の導入が進みつつあります。今後は攻撃プロセス全体の自動化が一層進む可能性があります。

まとめ：常に変動する「勢力の地図」

ランサムウェアの世界では、勢力の興亡が常態化しています。LockBitのような巨大グループでさえ摘発の影響を免れず、次々と新たな派生組織が生まれています。企業としては、「どのグループが脅威か」を追うだけでなく、「どのような攻撃パターンが再利用されているか」を分析することが重要です。攻撃者の名前が変わっても、手口は進化しながら再利用されるため、継続的な脅威インテリジェンスの収集と脆弱性管理が不可欠です。

―第3回へ続く―

【参考情報】

サイバーインシデント緊急対応

セキュリティインシデントの再発防止や体制強化を確実に行うには、専門家の支援を受けることも有効です。BBSecでは緊急対応支援サービスをご提供しています。突然の大規模攻撃や情報漏洩の懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

2025年12月10日（水）14:00～15:00
「【最短7営業日で報告書納品】短納期で実現するWeb脆弱性診断の新提案-SQAT^® with Swift Delivery紹介セミナー」

2025年12月17日（水）13:00～14:00
【好評アンコール配信】「インシデント対応入門：サイバー攻撃・情報漏洩への緊急対応手順解説」

2026年1月14日（水）13:00～14:00
【好評アンコール配信】「今さら聞けない！ソースコード診断あれこれ」

最新情報はこちら

2025年11月27日2025年11月27日

【2025年版】ランサムウェアギャング大図鑑：脅威マップと攻撃の特徴
第1回：ランサムウェアの進化と2025年の市場構造

Security NEWS TOPに戻る
バックナンバー TOPに戻る

2025年、ランサムウェアは依然として世界中で深刻な脅威となっています。二重恐喝型から、データ漏洩やDDoSを組み合わせた多重恐喝型へと進化し、被害は企業規模を問わず拡大中です。本シリーズでは、最新のランサムウェア勢力図を全3回で徹底分析します。第1回では、RaaS（Ransomware as a Service）の登場によって急成長したランサムウェア市場の構造と、勢力図がどのように変化してきたのかを詳しく解説します。

ランサムウェア攻撃の現状と被害拡大

2025年、ランサムウェアは依然として世界で最も深刻なサイバー脅威の一つとして位置づけられています。近年は暗号化による業務停止だけでなく、窃取したデータを公開・販売する「二重恐喝」や、DDoS攻撃を加えた「多重恐喝」など、攻撃の多様化が進んでいます。BlackFogの分析によると、2025年初頭のランサムウェア攻撃件数は前年同月比で20〜35％増加しており、増加傾向が続いています*2。特に製造、医療、自治体など、社会インフラに関わる業種への攻撃が目立ちます。日本国内でも被害は増加傾向にあり、企業規模を問わず中堅・中小企業への侵入事例が相次いでいます。攻撃者は直接的な金銭目的だけでなく、他国のサプライチェーンを狙った地政学的背景を持つケースもあり、もはや”無関係な企業は存在しない”状況です。

RaaSモデルがもたらした犯罪の分業化

ランサムウェアがここまで拡大した最大の要因が、「RaaS」と呼ばれるサービス型犯罪モデルの普及です。RaaSは、開発者が作成したランサムウェアを他の攻撃者（アフィリエイト）に貸し出し、得た身代金を分配する仕組みです。技術力を持たない犯罪者でも容易に攻撃を実行できるようになったことで、ランサムウェア攻撃の“裾野”が急拡大しました。

「LockBit」、「Cl0p」、「BlackCat」といった代表的なランサムウェアギャングは、このRaaSモデルを最も普及させたグループです。各アフィリエイトは攻撃対象の選定や侵入手口を独自に開発し、成功報酬を得るビジネス形態を採用しています。まるで企業のような組織構造を持ち、専用のリークサイト運営、広報担当、カスタマーサポートまで存在します。攻撃が商業化・効率化されることで、ランサムウェアはもはや“闇市場の産業”といえる規模に達しています。

勢力図の変化：旧勢力の衰退と新興ギャングの台頭

2024年後半から2025年にかけて、ランサムウェアの勢力図は大きく変化しました。かつて世界を席巻した「Conti」や「Hive」、「Revil」、「BlackCat（ALPHV）」といった主要なランサムウェアギャングは、国際捜査機関の摘発や内部対立により次々と崩壊しました。しかし、その空白を埋めるように新たな勢力が台頭しています。特に注目されるのが、「Qilin（旧Agenda）」や「Lynx」、「Fog」などの新興グループです。これらは高度な暗号化技術と迅速な展開能力を持ち、企業や自治体を標的にデータ漏洩を伴う攻撃を展開しています。Qilinは日本国内の製造業や医療機関を狙う傾向が強く、すでに複数の被害が確認されています。また、LockBitも摘発を受けながらも「LockBit 5.0」として再始動するなど、ブランドの使い捨て・再構築が常態化しています。2025年のランサムウェア市場は、以前から存在するギャングの復活と新興勢力の台頭が交錯する“過渡期”にあると言えます。

ランサムウェア市場を支える犯罪エコシステム

現在のランサムウェア攻撃は、単独の攻撃者だけでは成り立ちません。その背景には「地下経済圏」とも呼ばれる広大な犯罪エコシステムが存在します。ここでは、侵入経路を提供するアクセスブローカー、情報窃取ツールの開発者、暗号通貨を用いたマネーロンダリング業者など、多様な役割が分業的に連携しています。たとえばアクセスブローカーは、企業ネットワークへの侵入権をオークション形式で販売し、ランサムウェアギャングがそれを購入して攻撃を開始します。また、盗み出したデータを販売する「データリークサイト」は、恐喝手段としても活用され、被害企業名を公開して支払いを促します。

さらに近年は、SNSやダークウェブ掲示板上での広報・採用活動も活発化しており、RaaS提供者が「報酬50％保証」「高成功率ツール」といった広告を出すなど、まるでスタートアップ市場のような競争が繰り広げられています。こうした分業と再利用の仕組みにより、ランサムウェア市場は摘発を受けてもすぐに再生する自己修復的な構造を持ち、世界的な脅威として根強く残り続けています。

まとめ：進化する脅威にどう向き合うか

ランサムウェアはもはや“単なるマルウェア”ではなく、「経済的インセンティブを軸に発展する犯罪ビジネスモデル」へと進化しました。RaaSによる分業体制と匿名性の高い暗号資産の普及が、攻撃の拡大を後押ししています。2025年の時点で確認されている主要なランサムウェアギャングの多くは、過去に摘発・崩壊を経験しながらも、ブランドを変えて再登場しており、摘発による根絶は困難です。今後はAIを利用した自動化攻撃、ゼロデイ脆弱性の悪用、地域特化型の標的選定など、さらに巧妙な戦術が主流になると予想されます。企業に求められるのは、「攻撃を防ぐ」だけでなく、「被害を最小化し、迅速に復旧できる体制」を整えることです。第2回では、2025年時点で活動が確認されている主要なランサムウェアギャングの特徴と手口を詳しく分析し、勢力ごとの違いと警戒すべき動向を解説します。

―第2回へ続く―

【参考情報】

サイバーインシデント緊急対応

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

2025年12月3日（水）14:00～15:00
「【最新事例解説】Qilin攻撃に学ぶ！組織を守る“サイバーレジリエンス強化のポイント”喫緊のランサムウェア被害事例からひも解く ― 被害を最小化するための“備えと対応力”とは？」

2025年12月10日（水）14:00～15:00
「【最短7営業日で報告書納品】短納期で実現するWeb脆弱性診断の新提案-SQAT^® with Swift Delivery紹介セミナー」

最新情報はこちら

2025年9月18日2025年9月28日

AIコーディング入門番外編：オープンソースソフトウェアのサプライチェーン攻撃とタイポの落とし穴

Security NEWS TOPに戻る
バックナンバー TOPに戻る

AIを活用したコーディングが普及する一方で、オープンソースソフトウェア（OSS）を狙ったサプライチェーン攻撃が増加しています。特に、開発者のタイポを悪用する「Typosquatting」や、AIのハルシネーションに便乗する「Slopsquatting」といった手法は、身近で深刻な脅威です。本記事では、実例を交えながらその仕組みとリスクを解説し、安全なAIコーディングを実践するためのポイントを紹介します。

コードを書く人やインフラストラクチャの構築をする人ならば、人生で最低でも一度は経験しているであろうこと、それはタイプミス、いわゆるタイポ（typo）ではないでしょうか。タイポ、些細なミスで、日常的に発生するものなのですが、中には重大なものもあります。

タイプミスが招く落とし穴 ─ Typosquattingとは

皆さんは「タイポスクウォッティング」という言葉をご存じでしょうか。Web関連のお仕事をされている方であれば、URLのタイポスクウォッティング、つまり間違いやすい・紛らわしいURLでユーザーをおびき寄せる手法としてのタイポスクウォッティングをご存じの方も多いかと思います。この手法がオープンソースソフトウェアでも昨今使用されるようになっています。

例えばnpmの場合、

npm install package_name

と入力することでパッケージのインストールを実行できます。インストールしたパッケージは例えばjavascript（react）を利用している環境であれば

import {
コンポーネント名
} from “@/fullpath/to/package_name”;

の形でコードの先頭で利用するパッケージ名を宣言します。

世の中にはこのパッケージ名のよくあるタイプミス（typo）を狙って作られたマルウェアの一種が存在します。そんなマルウェア、何のためにあるのだろうという方も多いと思いますが、例えば暗号資産のウォレットを狙ったマルウェアや、システムへの侵害目的のマルウェアなどが最近では話題になっています。

npmやPythonなどOSSでの事例

Phylum,[Typosquat Campaign Targeting npm Developers]（https://blog.phylum.io/supply-chain-security-typosquat-campaign-targeting-puppeteer-users/）
Socket,[Malicious Python Package Typosquats Popular passlib Library, Shuts Down Windows Systems]（https://socket.dev/blog/malicious-python-package-typosquats-popular-passlib-library）

暗号資産を狙うマルウェアの脅威

暗号資産を狙ったマルウェアについては偽の採用面接中に実行を求められるケースも報告されています。

Socket,[Another Wave: North Korean Contagious Interview Campaign Drops 35 New Malicious npm Packages]（https://socket.dev/blog/north-korean-contagious-interview-campaign-drops-35-new-malicious-npm-packages）

偽の採用プロセスとソーシャルエンジニアリング

採用面接に至るということは例えば採用条件面で魅力的である、採用プロセスに見せかけたフェーズで偽の採用者に対して高い信頼を持つよう誘導されている、著名な企業などに成りすますことで権威性・信憑性を信じさせられる、オンライン環境による信頼レベルを悪用される、といったソーシャルエンジニアリングの基本ともいえる「人」が抱える脆弱性をすでに悪用された状態です。

その状態で、面接というストレスのかかる、失敗が許されないと思ってしまう状況で紛らわしい名称の不正なコードや、不正なパッケージを含むコードを実行させられた場合、気づくことは容易ではありません。面接で突然コードを実行させられることに違和感を覚えてその場を退出することが最善かもしれませんが、Zoomのリモートコントロール機能を使ってマルウェアを実行するケースもあることから、特にすべてをオンラインで完了させるタイプの採用プロセスそのものに対して常に疑わしいかどうか疑問を持ち続けるしか対策はないかもしれません。

Zoomのリモートコントロール攻撃

参考情報：

The Trail of Bits Blog,[Mitigating ELUSIVE COMET Zoom remote control attacks]（https://blog.trailofbits.com/2025/04/17/mitigating-elusive-comet-zoom-remote-control-attacks/）

なお、昨年末に警察庁・内閣サイバーセキュリティセンター・金融庁連名で偽の採用試験関連で注意喚起が出ています。今一度ご確認ください。

警察庁／内閣サイバーセキュリティセンター／金融庁「北朝鮮を背景とするサイバー攻撃グループ TraderTraitor によるサイバー攻撃について（注意喚起）」（令和6年12月24日）（https://www.npa.go.jp/bureau/cyber/pdf/20241224_caution.pdf）

タイポよりも怖い？生成AI時代の新たな罠 ─ Slopsquatting

生成AIやAIエージェントの普及でAIを使用したコーディングを行う人も増えていると思います。「typoもないし、いいじゃない？」と思う方も多いと思いますが、生成AIには「ハルシネーション」という最大の難点があります。人間のtypoぐらいの頻度で遭遇する現象の一つといっても言い過ぎではないかもしれません。そんなハルシネーションを狙って、偽のパッケージが用意されていたら？という内容のレポートが公開されました。

参考情報：

トレンドマイクロ株式会社「スロップスクワッティング：AIエージェントのハルシネーションにつけ込む攻撃手法」（https://www.trendmicro.com/ja_jp/research/25/g/slopsquatting-when-ai-agents-hallucinate-malicious-packages.html）

生成AI単体には生成内容の検証メカニズムがありません。このため、AIエージェントを利用したコーディングの場合はエージェント側の機能として備わっている検証機能を利用することが必要です。具体的な手法はレポートにも記載がありますが、日進月歩で新たな機能が登場する現状では最新の情報も併せて探すことをお勧めします。また、エージェントを用いない場合も含めて、以下のようなリスク回避策を基本とするのもよいかもしれません。

参照するパッケージ・モジュールを限定して、typosquattingやslopsquattingなどのリスクを回避する
やむを得ず新しいパッケージ・モジュールをインストールする場合は人の手を介したチェックを行うことで、リスクを抑制する

実際に筆者もプロンプトで利用パッケージを限定していますが、特に利便性の阻害を感じたことはありません。また、周囲とのコミュニケーションでパッケージ・モジュールの情報の交換、推奨などの情報を得ることも多くあり、AI時代のコーディングとはいえコミュニケーションも併せて重要であることを実感しているところです。

プロンプトエンジニアリングと検証の重要性

前出のレポートで指摘されている原因の一つにはプロンプトの一貫性やあいまいさといった自然言語による指示ならではの問題があります。プロンプトエンジニアリングなどについては以下の記事でもご紹介しています。ただし、モデル側の実装状況などによりユーザー側の努力の反映には限界があるため、必ず生成結果に対する人のチェック（一種のHuman in the Loop）はプロセスとして欠かさないことが望まれます。

正規リポジトリの乗っ取りという最大の脅威

2025年7月、npmの開発者をターゲットにしたフィッシングが報告されました。この後、複数のパッケージの乗っ取りが報告されています。

npm開発者を狙ったフィッシング事例

Socket,[npm Phishing Email Targets Developers with Typosquatted Domain]（https://socket.dev/blog/npm-phishing-email-targets-developers-with-typosquatted-domain）
フィッシングの被害に関連する実際のSNS投稿: https://x.com/JounQin/status/1946297662069993690
https://bsky.app/profile/jordan.har.band/post/3ludlbnstr22wSocket,[npm ‘is’ Package Hijacked in Expanding Supply Chain Attack]（https://socket.dev/blog/npm-is-package-hijacked-in-expanding-supply-chain-attack）

オープンソースソフトウェア（OSS）経由のサプライチェーン攻撃

ここまででお気付きの方も多いと思いますが、今回取り上げた様々な攻撃手法はすべてオープンソースソフトウェア経由のサプライチェーン攻撃として、１つにまとめることができます。プログラミング言語の多く、そしてWebサイトの構築に用いられるJavaScriptのフレームワークの多くはオープンソースソフトウェアとして流通しています。プログラミング言語やJavaScriptのフレームワークは実際に利用するにあたって利便性を向上させる目的で多くのパッケージやモジュール、ライブラリなどがオープンソースとして開発・公開されています。これらのオープンソースソフトウェアは現在では多くが多数のコントリビューターとメンテナーによってGitHub上で公開され、開発が行われています。GitHubからnpmなどのパッケージ管理システムへの公開も一貫して行うことができるため、非常に利便性が高い反面、今までに挙げたような攻撃を仕掛けるための利便性も高くなっています。また、オープンソースソフトウェアは相互に依存性を持つことが多いことから、人気のあるモジュール・パッケージへの攻撃が多数のモジュール・パッケージやシステムへ影響を及ぼすことができます。これが、オープンソースソフトウェアへのサプライチェーン攻撃における最大の特徴ともいえるかもしれません。オープンソースソフトウェアを利用する以上、こういったリスクがあることは十分理解したうえで利用する必要があります。

オープンソースソフトウェアの利用の条件としてセキュリティ面でかなりハードルが高いのは事実ですが、一方で利便性・柔軟性・モダンなシステムの構築といった観点からオープンソースソフトウェアを全く利用しない（プロプライエタリソフトウェアだけで構築する）というのは難しいという現状に鑑みるとやむを得ない選択であるとも言えます。

開発者がとるべき対策

こういったケースに対応するには依存関係のチェックや追跡、SBOMによる管理が必要になります。依存関係のチェックや追跡にはGitHubを使用している場合ならばDependabotの利用、その他のコードレポジトリを対象とする場合は各種の依存関係トラックツールを使用する必要があります。SBOMで自身のコードのコンポーネントと依存関係の管理を合わせて行うことで、システム全体としての管理を行うことが求められます。

まとめ ― AI時代のオープンソースソフトウェア利用に求められる視点

タイプミスを悪用した Typosquatting、AIのハルシネーションに便乗する Slopsquatting、さらには正規リポジトリの乗っ取りといった攻撃は、いずれもオープンソースソフトウェアを媒介とするサプライチェーン攻撃として位置づけられます。これらは利便性と引き換えに大きなリスクを伴い、暗号資産の窃取やシステム侵害といった深刻な被害へとつながりかねません。OSSの依存関係は複雑で、人気パッケージが狙われることで広範囲に影響が及ぶことも少なくありません。そのため、参照パッケージを限定する運用、人による確認（Human in the Loop）、Dependabotなどの依存関係管理ツールの活用、SBOMによる包括的なコンポーネント管理といった対策が不可欠です。AIを活用したコーディングが普及する中でも、「便利だから任せる」のではなく、常に検証と疑問を持ち続ける姿勢が求められます。セキュリティと利便性の両立こそが、これからのOSS利用とAI開発における鍵といえるでしょう。

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

2025年9月24日（水）12:50～14:00
「製造業・自動車業界のためのサプライチェーン対策 -攻撃事例から学ぶ企業を守るセキュリティ強化のポイント-」

2025年10月1日（水）13:00～14:00
「2025年10月Windows10サポート終了へ今知るべきサポート切れのソフトウェアへのセキュリティ対策ガイド」

2025年10月8日（水）14:00～15:00
「ソースコード診断で実現する安全な開発とは？脆弱性対策とDevSecOps実践」

最新情報はこちら

2025年8月28日2025年9月28日

AIコーディング入門
第4回：MCPの脆弱性とA2A脅威分析から学ぶセキュリティ実装

Security NEWS TOPに戻る
バックナンバー TOPに戻る

AIコーディング4アイキャッチ（MCPの脆弱性とA2A脅威分析から学ぶセキュリティ実装）

前回記事で述べたように、AIエージェントの普及に伴い、MCP（Model Context Protocol）やA2A（Agent-to-Agent Protocol）の実装事例が増えています。しかし、標準化が進む一方で、脆弱性やセキュリティリスクも現実化しつつあります。本記事では、AIエージェントの基盤を支える標準プロトコル「MCP（Model Context Protocol）」と「A2A（Agent-to-Agent Protocol）」をさらに深く掘り下げ、AIエージェントを安全に活用するための設計指針と実装上の留意点を整理します。

※本稿は2025年7月上旬に執筆しているものです。ご覧いただく時期によっては古い情報となっている場合もありますので、ご承知おきください。

MCPの脆弱性

MCPの脆弱性の事例としては以下のものが挙げられます。

AsanaのMCPサーバの事例

プロジェクトやタスクを一元管理するプラットフォーム（SaaS）・Asanaが2025年5月から提供し始めたMCPサーバに脆弱性があったもの。脆弱性により、MCPを使用しているユーザーが、LLMと接続しているチャットインターフェース越しに他の組織のプロジェクト、チーム、タスクを含むAsanaオブジェクトを取得できた可能性があるとされています*2。前回ご紹介した「図4:MCP関連の主なセキュリティ課題」にも挙げたように、最小特権の付与の原則の徹底（SaaS提供事業者の場合にはテナント間の厳密な分離も含みます）、リクエストやLLMの生成クエリのログの記録といった課題が改めて浮き彫りになったといえます。

A2Aのセキュリティ課題

MAESTRO脅威モデリングに当てはめたときには以下のような問題があると指摘されています。なおMAESTRO脅威モデリングについては下表でご紹介します。

表:A2Aプロトコルのセキュリティ課題のMAESTROモデル分析

レイヤ	脅威	概要	被害を受ける人・組織	発生確率	影響	軽減策
1	メッセージ生成攻撃 (回避)	攻撃者が悪意のある入力を生成し、エージェントのモデルに誤った、偏った、または有害なメッセージを生成させ、通信中の安全メカニズムを迂回する。モデル出力の非決定論的性質が、これらの攻撃の検出と防止をより困難にする。	A2A エージェントを利用する組織、システムの利用者	高	大	入力検証: エージェントのモデルにコンテンツを送信する前に厳格な入力検証を実施する。入力をサニタイズする。出力検証: 生成されたメッセージのコンテンツに有害なコンテンツ、矛盾、または予期しない動作がないか確認する。コンテンツフィルタリングを使用する。非決定論的なモデルの動作に対する出力検証の堅牢性を高めるために、アンサンブル法や敵対的訓練などの技術を採用する。慎重なプロンプト設計: 敵対的攻撃の影響を受けにくいプロンプトを設計する。モデルをガイドするために少数ショットの例を使用する。
1	モデル抽出	A2A を介した過度または巧妙な対話により、プロプライエタリモデルの動作やパラメータに関する十分な詳細が提供され、モデルの推論または盗難が可能になる。エージェントの自律性が、予期しない情報漏洩につながる可能性のある、緩やかに制御された対話パターンを促進することで、この問題を増幅させる可能性がある。	モデル所有者、企業	低	大（潜在的に）	厳格なレート制限: セッション/ユーザー/エージェントごとの A2A 対話にレート制限を適用する。異常検出: プロービングやデータ抽出の試みを示唆する異常なクエリパターンを監視する。
2	データ汚染 (メッセージ部分)	攻撃者がエージェント間で交換されるメッセージに悪意のあるコンテンツを注入し、意思決定に使用されるデータを侵害する。エージェントの相互作用の動的な性質は、このデータポイズニングが急速に広がり、連鎖的な影響を及ぼす可能性があることを意味する。	エージェント、A2A エージェントの決定に依存する組織	中～高	大	強力な検証: ファイルの整合性チェック、DataParts のスキーマ検証、TextParts のコンテンツフィルタリングを含む、すべてのメッセージパーツに対する厳格な検証を実施する。最小特権: 最小特権の原則に基づいて、機密データへのエージェントのアクセスを制限する。出どころの追跡: メッセージ内のデータの出どころと系統を追跡し、信頼性を評価する。送信元エージェントのIDとデータに適用された変換を考慮するために出どころの追跡を拡張する。
2	機微情報の漏洩	エージェントが、過度に広範な権限、データ管理ミス、またはモデルの幻覚により、A2A 通信または成果物で意図せず機密情報（PII、機密情報）を公開する。	個人（PII の所有者）、機密情報を扱う組織	中	中～大	自動 PII 編集: 個人識別情報（PII）の検出と編集のための自動プロセスを採用する（例: Gemini のフィルター機能）。きめ細かなアクセス制御: エージェントの役割とタスクのコンテキストに応じて堅牢なアクセス制御を実装する。コンテキスト認識型ガードレール: エージェントが機密情報や制限された情報を共有するのを防ぐためにガードレールを追加する。
3	許可されていないエージェントのなりすまし	攻撃者が正当なエージェントになりすまし、機密情報にアクセスしたり、他のエージェントを操作したりする。変化する資格情報や検証可能なクレデンシャルによって示されるエージェント ID の動的な性質は、この脅威をさらに複雑にする。	他のエージェント、A2A プロトコルを利用する組織	中	大	分散型識別子（DIDs）: エージェントに ID 検証のために DID を使用することを義務付ける。ID の変更を検出するために、DID ドキュメントを定期的に更新および再検証するメカニズムを実装する。安全な認証: DID ベースの署名や相互 TLS などの強力な認証メカニズムを実装し、エージェントの ID を検証する。リプレイ攻撃を防ぎ、通信時に資格情報が有効であることを確認するために、タイムスタンプ付き署名を使用する。エージェントレジストリ: エージェントの正当性を検証するために、信頼されたエージェントレジストリを実装する。レジストリは動的なエージェント属性を処理できる必要があり、継続的に更新されるべきである。
	メッセージインジェクション攻撃	攻撃者が A2A メッセージに悪意のあるコンテンツを注入し、受信エージェントの動作を操作する。エージェントの自律性は、侵害されたエージェントが人間の介入なしに悪意のあるメッセージを伝播する可能性があるため、この脅威を増幅させる。	メッセージを受信するエージェント、操作されたエージェントによって制御されるシステム	高	大（潜在的に）	M デジタル署名: すべての A2A メッセージにデジタル署名を実装し、整合性と否認防止を確保する。メッセージが有効と見なされる前に、複数の信頼されたエージェントからの承認を必要とするマルチ署名スキームを実装する。入力検証: メッセージパーツやメタデータを含むすべてのメッセージコンテンツに厳格な入力検証を実施する。コンテンツフィルタリング: メッセージ内の悪意のあるコンテンツを検出してブロックするためにコンテンツフィルタリングを使用する。
	プロトコルダウングレード攻撃	攻撃者がエージェントに A2A プロトコルのセキュリティの低いバージョンを使用させる。非決定論的なエージェントの相互作用により、予測がより困難な追加の攻撃ベクトルが開かれる可能性がある。	A2A エージェント、A2A 通信に依存するシステム	低	大（潜在的に）	安全なプロトコルネゴシエーション: 相互認証を伴うトランスポート層セキュリティ（TLS）などの安全なプロトコルネゴシエーションメカニズムを実装し、エージェントが最も安全なプロトコルバージョンを使用するようにする。廃止ポリシー: 古いプロトコルバージョンに対する廃止ポリシーを明確に定義し、実施する。
	信頼できる企業を装った悪意のある A2Aサーバ	攻撃者が信頼できる企業や組織が運営しているように見せかけた悪意のある A2A サーバをセットアップし、エージェントを騙して通信させ、機密情報を漏洩させたり、悪意のあるタスクを実行させたりする可能性がある。	エージェント、ユーザー/組織（データ窃取の被害者）、A2A 運用に依存する組織、なりすまされた信頼できる企業（評判の損害）	中	大（潜在的に）	サーバ ID の分散型識別子（DIDs）: エージェントと同様に、A2A サーバは DID を使用して識別され、その DID ドキュメントは検証可能で定期的に更新されるべきである。A2A プロトコルは、サーバからエージェントへの通信に DID ベースの認証を義務付けるべきである。 Agent Cards の証明書透明性（CT）: SSL/TLS 証明書に似た証明書透明性（CT）のようなメカニズムを実装する。Agent Cards は公開ログ（例：ブロックチェーンや分散型台帳）に登録でき、エージェントが Agent Card が正当であり、改ざんされていないことを検証できるようにする。相互 TLS（mTLS）認証: エージェントと A2A サーバ間の相互 TLS（mTLS）認証を強制する。サーバードメインの DNSSEC: A2A サーバの Agent Card にドメイン名を含む URL が含まれている場合、DNSSEC でドメインを保護し、DNS スプーフィング攻撃を防ぐ。エージェントレジストリ検証: A2A サーバと対話する前に、エージェントは信頼されたエージェントレジストリを参照し、サーバが正当であることを検証すべきである。 Agent Card 署名検証: エージェントはサーバの公開鍵または DID を使用して Agent Card を暗号学的に検証し、カードが改ざんされていないことを確認すべきである。重要操作に対する多要素認証: 機密性の高い操作の場合、エージェントは A2A サーバと通信する前に多要素認証（MFA）を要求すべきである。行動分析とレピュテーションシステム: なりすましを示唆する異常なサーバ活動パターンを検出するために行動分析を実装する。監査とログ: エージェントと A2A サーバ間のすべての通信の詳細な監査ログを維持する。ハニーポットサーバー: 攻撃者を引きつけ、その技術に関する情報を収集するために、ハニーポット A2A サーバをデプロイする。
4	T4.1: DoS 攻撃	攻撃者が A2A サーバにリクエストを殺到させ、エージェントが通信不能になる。エージェントの自律的な性質は、DoS 攻撃がエコシステム全体に急速に連鎖する可能性があることを意味する。	A2A サーバ、A2A サービスを利用するユーザー/組織、エージェントエコシステム	中～高	大	堅牢なインフラストラクチャ: ダウンタイムを最小限に抑えるために、冗長で地理的に分散されたインフラストラクチャを使用する。 DDoS 防御: 堅牢な DDoS 緩和策を実装する。レート制限: 過剰なリクエストを防ぐためにレート制限を実装する。リアルタイムのネットワーク状況とエージェントの活動パターンに基づいて調整される適応型レート制限を実装する。
5	ログデータの隠蔽・改ざん	攻撃者が悪意のある活動を隠蔽するためにログエントリを変更または削除する。エージェントの動作の複雑で予測不可能な性質は、正当な活動と、操作されたログによって隠蔽された悪意のある行動を区別することをより困難にする。	セキュリティチーム、監査担当者、インシデントレスポンダー、ログの整合性に依存する組織	中	大（潜在的に）	安全なログ記録インフラストラクチャ: 強力なアクセス制御を備えた安全なログ記録インフラストラクチャを使用する。ログ整合性監視: チェックサムまたはデジタル署名を使用してログデータの整合性を検証する。異常検出: エージェントの固有の非決定論性を考慮に入れた高度な異常検出技術を採用する。
6	エージェントの認証情報への認可されないアクセス	攻撃者がエージェントの資格情報（例: 秘密鍵）にアクセスし、エージェントになりすまして悪意のある行動を実行できるようにする。エージェントが検証可能な資格情報を動的に取得および提示するため、侵害されたエージェントは迅速に強力な新しい能力を獲得し、損害の可能性を拡大させる。	エージェント所有組織、侵害されたエージェントがアクセスするシステム	高	大	安全な鍵ストレージ: エージェントの資格情報をコードに直接埋め込まない。ハードウェアセキュリティモジュール（HSM）または安全な鍵管理サービスを使用する。鍵のローテーション: エージェントの資格情報を定期的にローテーションする。多要素認証: ユーザーが実際に制御していることを確認するために MFA を使用する。
	機微情報へのコンプライアンスの欠如	エージェントが PII を含むデータを適切な保護なしに送信、受信、処理する。エージェントの自律性がこれらの脅威を強める。	機密データを扱う組織（法的・経済的罰則）、個人（PII の所有者）	中～高	大（潜在的に。法的・経済的罰則を伴う）	データ最小化: 個人データの収集を削減する。仮名化/匿名化:。データ暗号化: エンドツーエンドの暗号化と鍵の保護を確実にする。
	委任権限の濫用	実装の脆弱性により、エージェントが与えられた権限を超える可能性がある。	権限を委譲した組織、エージェントが動作するシステム	（明示されていない。なお実装に依存する可能性が高い）	（明示されていないが一般的に委任権限の濫用による影響は大きい）	明示的なユーザー同意:。詳細な監査:。厳格なトークン検証:。
7	悪意のあるエージェントの相互作用	侵害されたエージェントが他のエージェントと相互作用し、危害を与えたり、脆弱性を悪用したり、予期しない結果を引き起こしたりする。エージェントの ID が変化し、動作が予測不可能なため、あるエージェントが他のエージェントよりも大きな損害を引き起こす可能性を予測することは困難である。	エコシステム内の他のエージェント、エージェントに接続されたシステム	中～低	高（潜在的に影響度が高いと想定される）	安全なエージェント間通信: エージェント間の相互作用に安全な通信プロトコルと認証メカニズムを使用する。エージェントレピュテーションシステム: エージェントの動作を追跡し、悪意のあるエージェントを識別するためにレピュテーションシステムを実装する。レピュテーションシステムは、エージェントの ID の動的な性質を処理でき、操作に耐性がある必要がある。サンドボックス化: 侵害されたエージェントの影響を制限するために、エージェントを相互に隔離する。エージェントが定義された境界を超えるのを防ぐために、ランタイム監視とポリシー実施を実装する。

出典：「Threat Modeling Google’s A2A Protocol with the MAESTRO Framework」6: Threat Modeling Results: Applying MAESTRO Layer by Layerより弊社翻訳
※ 本図はOWASPが定義するMAESTROモデルをベースに記載されたhttps://cloudsecurityalliance.org/blog/2025/04/30/threat-modeling-google-s-a2a-protocol-with-the-maestro-frameworkの6: Threat Modeling Results: Applying MAESTRO Layer by Layerを弊社にて翻訳、表に編集しなおしたものです。

AIエージェント時代における標準プロトコルのリスク管理

AIエージェントの普及に伴い、MCPやA2Aといった標準プロトコルは不可欠な基盤となりつつあります。しかし、標準化による利便性の裏側には、同じ脆弱性が広範囲に拡散するリスクが潜んでいます。リスク管理の基本は「標準＝安全」と思い込まず、実装ごとにセキュリティ要件を精査することです。特にアクセス制御、暗号化、監査ログといった基礎的な対策をプロトコルレベルで徹底する必要があります。

さらに今後は、従来の「人間を前提としたセキュリティモデル」では対応できない課題が顕在化していくことが予想されます。次回第5回では、Non Human Identity（NHI）の登場や制御不能なAIエージェントといった新たな脅威に焦点を当て、従来型セキュリティの限界とその打開策について考察します。

―第5回「AIとセキュリティ：Non‑Human Identity とAIエージェントの課題」へ続く―

【連載一覧】

第1回「Vibeコーディングとプロンプトエンジニアリングの基礎」
第2回「プロンプト以外で効率化！開発体験の改善手法」
第3回「AIエージェント時代のコーディング：MCPとA2Aとは」
第4回「MCPの脆弱性とA2A脅威分析から学ぶセキュリティ実装」
第5回「AIとセキュリティ：Non‑Human Identity とAIエージェントの課題」
第6回「AIエージェントのセキュリティ対策と今後の展望」

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

2025年9月3日（水）13:00～14:00
「止まらないサイバー被害、その“対応の遅れ”はなぜ起こる？～サイバー防衛の未来を拓く次世代XDR：大規模組織のセキュリティ運用を最適化する戦略的アプローチ～」

2025年9月10日（水）14:00～15:00
「フィッシング攻撃の最新脅威と被害事例〜企業を守る多層防御策〜」

2025年9月17日（水）14:00～15:00
「サイバーリスクから企業を守る ─脆弱性診断サービスの比較ポイントとサイバー保険の活用法─」

最新情報はこちら

2025年8月22日2025年9月28日

AIコーディング入門
第3回：AIエージェント時代のコーディング：MCPとA2Aとは

Security NEWS TOPに戻る
バックナンバー TOPに戻る

生成AIを活用したコーディングの現場で、いま最も注目されているトピックのひとつが「AIエージェント」です。エージェントは人間の最小限の指示をもとに計画・推論・実行を繰り返す自律的な仕組みであり、シングルエージェントからマルチエージェントまで多様なアーキテクチャが登場しています。さらに通信の標準化を担うMCP（Model Context Protocol）やA2A（Agent-to-Agent）といったプロトコルの整備が進み、エコシステム全体に大きな影響を与えています。本記事では、AIエージェントの基本構造、利点とリスク、新しい標準プロトコルの動向について解説します。

※本稿は2025年7月上旬に執筆しているものです。ご覧いただく時期によっては古い情報となっている場合もありますので、ご承知おきください。

AIエージェントとは何か

生成AIを使用したコーディングのなかでも昨今注目を浴びているのがAIエージェント（Agentic AI）を用いたAgenticコーディングです。Agenticコーディングの前にまずはAIエージェントの動きを見てみましょう。AIエージェントは人間による最低限の指示や監督をもとに計画・推論・実行を繰り返す、自律的処理を行うAIです。

シングルエージェントの仕組み

まずはわかりやすい、単一のエージェントのみが動くシングルエージェントのアーキテクチャを見てみましょう。下図はシングルエージェントのアーキテクチャを示したものです。

図1:シングルエージェントのアーキテクチャ

シングルエージェントのアーキテクチャの図 — 参考：OWASP LLM Applications & Generative AI Top 10（https://genai.owasp.org/resource/owasp-top-10-for-llm-applications-2025/）, p.8より弊社翻訳

シングルエージェントモデルではアプリケーションからの入出力（人間による指示）をもとに単一のエージェントが自律的にルーチンを実行し、LLMモデルや関連サービスとの間の連携を図り、出力を行います。人による監督はHuman in the loop（HITL）という形で行われます。この図の中でいうAIアプリケーション（及びエージェント）が各種サービスやデータベースなどと通信する際、昨今ではMCP (Model Context Protocol)を用いた標準化された通信プロトコルが用いられていることが増えています。MCPについては後程解説します。

マルチエージェントの仕組み

一方マルチエージェントのアーキテクチャは下図のとおりです。

図2:マルチエージェントのアーキテクチャ

マルチエージェントのアーキテクチャの図 — 参考：OWASP LLM Applications & Generative AI Top 10（https://genai.owasp.org/resource/owasp-top-10-for-llm-applications-2025/）, p.10より弊社翻訳

マルチエージェントの場合はAIアプリケーション（及びエージェント）と各種サービス、DBなどとのMCPでの通信に加えて、エージェント間の通信（図中のマルチエージェント通信）が必要となります。エージェント間の通信を標準化したものがA2A（Agent2Agent）プロトコルになります。こちらも後程解説します。

AIエージェントの利点とリスク

AIエージェントを利用する場合、人間の監督・指示が最低限で済む一方で、以下のような利点と課題・リスクが存在します。

図3:AIエージェントの利点と課題・リスク

上記に挙げたAIエージェントのリスクのうち、「誤行動・報酬設計の欠陥」と「倫理・説明責任」を取り上げて解説します。

誤行動・報酬設計の欠陥

報酬のミススペックによりエージェントが意図しない行動をとることを指します*2。最近の報告ではエージェントが自身の地位を脅かされる場合や、目標の対立が発生した場合に内通者のような不正行動を低率ながら遂行する可能性が指摘されています*2。

倫理・説明責任

AIエージェントの自律判断の責任を負うのは誰かという問題。倫理的な問題に加えて著作権に代表されるような法的な問題に加えて、信頼性・公平性といった問題についての課題も指摘されています*3https://arxiv.org/pdf/2502.00289v3。

新しい標準プロトコル：MCPとA2A

ここ最近、「MCP」や「A2A」といったキーワードを目にする機会が増えているのではないでしょうか。ここでは簡単にMCPとA2Aについてご紹介します。

MCP（Model Context Protocol）とは

MCPとはAIアプリケーションがLLMにコンテキストを提供する方法を標準化するプロトコルで、Anthropicによって仕様が策定され、現在はオープンソース化されています。現在C#、Java、Kotlin、Python、Ruby、Swift、TypeScript向けのSDKが提供されており、幅広い言語環境で利用できること、AIアプリケーションのUSB-Cポートとして標準化されていること、そして認証認可にOAuth2.1を用いることが必須要件となっている点など、順次仕様が変更されており、新しいプロトコルとして注目を浴びています。またオープンソースであることやそのコンセプトから多くの実装例がすでに存在しています。一方でセキュリティ上の問題点も指摘されています。

図4:MCP関連の主なセキュリティ課題

MCP関連のセキュリティ課題（仕様レベル・実装上の問題、AI・MCA独特の脆弱性、一般的な問題）

A2A（Agent-to-Agent）とは

A2AはGoogleが立ち上げたエージェント間の通信プロトコルで、2025年6月にLinux財団に寄付され、Linux財団を中心に開発が進められています。こちらはGoogleのVertexなどを皮切りに実装が始まっています。A2Aプロトコルはマルチエージェントでの処理のニーズの増大、クラウドでのベンダーロックイン問題の影響でベンダーロックインの回避への強い要求があったことや、AIエージェントに対するコンプライアンスやガバナンス要求（EUのAI法など）の高まりといったところにうまくマッチしたものとも言えます。

AIエージェントは今後の開発を大きく変える存在ですが、その基盤を支えるのがMCPやA2Aといった標準プロトコルです。次回第4回では、これらの仕組みをより詳しく掘り下げ、エンジニアが知っておくべき活用ポイントを解説します。

―第4回「MCPの脆弱性とA2A脅威分析から学ぶセキュリティ実装」へ続く―

【参考情報】

【連載一覧】

―第1回「Vibeコーディングとプロンプトエンジニアリングの基礎」―
―第2回「プロンプト以外で効率化！開発体験の改善手法」―
―第3回「AIエージェント時代のコーディング：MCPとA2Aとは」―
第4回「MCPの脆弱性とA2A脅威分析から学ぶセキュリティ実装」
第5回「AIとセキュリティ：Non‑Human Identity とAIエージェントの課題」
第6回「AIエージェントのセキュリティ対策と今後の展望」

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

2025年9月10日（水）14:00～15:00
「フィッシング攻撃の最新脅威と被害事例〜企業を守る多層防御策〜」

2025年9月17日（水）14:00～15:00
「サイバーリスクから企業を守る ─脆弱性診断サービスの比較ポイントとサイバー保険の活用法─」

最新情報はこちら

はじめに

なぜいま「AIの利用」が脅威として注目されるのか

AI利用をめぐる主なリスク

生成AIへの入力内容に起因する情報漏洩

AIの出力結果に関するリスク

AIの悪用によるサイバー攻撃の高度化

シャドーAIのリスク

著作権侵害などの権利問題

AI利用において想定される主な事例

組織における課題

社内でのAI利用の促進とルールの策定のバランス

企業が取るべきアクション

AI時代に求められるセキュリティ支援

さいごに

SQAT® 脆弱性診断

SQAT® ペネトレーションテスト

AI時代に増えるリスクと、経営が取るべきアクション

企業が直面するAIセキュリティリスク

生成AI利用による情報漏えい・シャドーAI

プロンプトインジェクション／RAG汚染：AIアプリ特有の攻撃面

学習データ汚染・モデル改ざん・信頼できない出力

モデル盗難・データ推定・API悪用

ガバナンス・法令・説明責任

経営層・CISOが取るべきアクション：AIセキュリティを“経営課題”にする

方針（何を守り、どこまで許容するか）

体制（誰が意思決定し、運用を回すか）

実装（どう測り、どう改善するか）

CISO/経営が迷わないための90日ロードマップ

技術責任者向け AIアプリを“事故らせない”ための設計ポイント

次の5年で起きること、起きないこと

まとめ：これからのセキュリティに携わる人へ

付録：企業が「今すぐ」着手できるチェックリスト

AI利用の棚卸し（ガバナンスの入口）

AIアプリ（RAG/チャットボット等）の設計・運用

AI時代の“人”への対策

ブロードバンドセキュリティからのご案内

AIが変える攻撃の現状と、防御側AI活用のリアル

AIが変えるサイバー攻撃の現状

攻撃者は「巧妙さ」よりも「スケール」と「成功確率」を取りに来る

守る側が見落としがちな本質的脅威：攻撃者の「工数」ではなく「意思決定」が変わる

防御側のAI活用と、その限界

「検知モデル」と「生成モデル」は役割が異なる

AIはすでに防御のコアである

AI防御の落とし穴

ビジネスメール詐欺（BEC）とは何か

ビジネスメール詐欺（BEC）の特徴

ビジネスメール詐欺の手口と最近の傾向

ビジネスメール詐欺実行のプロセス

生成AIを利用したメール文面の巧妙化

ビジネスメール詐欺の被害事例

LINE誘導型CEO詐欺

ビジネスチャットツールでのなりすまし詐欺

2026年のBECトレンド予測：進化する脅威への備え

AIによる攻撃の高度化

攻撃対象の拡大

日本特有の課題

ビジネスメール詐欺に企業が取るべき対策

技術的対策

人的対策

プロセスの再構築

ビジネスメール詐欺ではどこまで自社の情報を集められるのか？

G-MDR®

エンドポイントセキュリティ

インシデント初動対応準備支援

まとめ

はじめに：2025年のランサムウェア攻撃と企業への脅威

今後のランサムウェア攻撃のトレンド

AIおよび機械学習を悪用した攻撃の高度化

攻撃のターゲティング精度の向上

攻撃プロセスの自動化

フィッシング攻撃の進化

サプライチェーン攻撃の増加

ランサムウェア(RaaS)モデルの深刻化

ゼロデイ攻撃の増加

企業がとるべきセキュリティ対策

多層防御策の強化

エンドポイントセキュリティ（EDR）の強化

ゼロトラストモデルの導入

サプライチェーンリスク管理

バックアップと復旧体制の整備

SQAT^® 脆弱性診断

SQAT^® ペネトレーションテスト

G-MDR^®