7月15日、Help Net Securityが「AI used to help plan the break-in, now it's doing the break-in」と題した記事を公開した。セキュリティ大手Check Pointが発行した「AI Security Report 2026」をもとに、AIが攻撃者側に本格活用される現状と、防御側が直面する課題をまとめた内容だ。AIはもはや攻撃の「補助ツール」ではなく、攻撃ワークフローそのものを自律実行する段階に入りつつある——その実態と規模が、今回のレポートで改めて浮き彫りになった。
レポートの概要:Check Point「AI Security Report 2026」とは
Check Pointは、ネットワークセキュリティ・脅威インテリジェンスを専門とするイスラエル発のセキュリティ企業で、世界100カ国以上に顧客を持つ。「AI Security Report 2026」は同社のリサーチ部門であるCheck Point Researchが発行した年次報告書で、実際に観測された侵害事例、グローバルなテレメトリデータ、および企業内のAI利用ログ(2025年10月〜2026年5月)を横断的に分析したものだ。単なる脅威予測ではなく、実観測データに基づく報告書である点が本レポートの性格を理解する上で重要になる。
「AIが攻撃を自律実行する」段階に入った
これまでAIはサイバー攻撃の「補助ツール」だった。フィッシングメールの文章生成、マルウェアのデバッグ支援といった用途だ。だが今、そのフェーズは終わりつつある。
Check Pointのレポートによると、過去12ヶ月間に記録された侵害の中には、AIが攻撃ワークフローを自律的に実行し、数十のセッションにわたって数千のコマンドを生成した事例が含まれる。人間の介入は最小限だ。
攻撃者がAI能力を入手する手段は多岐にわたる。商用モデルの悪用、AIクレデンシャルの窃取、オープンソースモデルのセルフホスティング、サイバー犯罪向けAIツールの購入——いずれも障壁は低い。
特に注目されるのがジェイルブレイク(安全制御の無効化)の手法だ。プロンプトを巧みに構成してモデルの制約を回避するだけでなく、より持続的なアプローチとして「CLAUDE.md」のような設定ファイルに悪意ある命令を埋め込む手口がレポートで概念実証レベルの事例として紹介されている。AIコーディングエージェントはセッション開始時にこのファイルを自動読み込みするため、ファイルが削除されない限りジェイルブレイクは有効であり続ける。ただし、これは実際の大規模被害として広く観測されているものではなく、攻撃ベクターとして成立しうることを示した研究上の知見として位置づけられている点に留意が必要だ。
脆弱性の悪用速度も加速している。 公開からエクスプロイト完成までの時間が数時間単位に縮まっており、「パッチを適用する速度」が防御側の最大のボトルネックになりつつある。
Check Point ResearchのVPであるLotem Finkelsteinは次のように述べている。
「有能な攻撃者とそうでない攻撃者を分けていた専門知識の壁が消えつつある。防御側はもはや、相手が人間のペースで動いていると仮定できない。先手を打てる組織は、AIの利用を管理し、依存するAIシステムを保護し、人間の速度ではなくマシンの速度で防御できる組織だ」
AI自身が攻撃対象になる
AIが攻撃「する」側に回るだけでなく、AIシステム自体も攻撃対象になっている。
言語モデルは命令とデータを単一のテキストストリームとして処理するため、悪意ある入力を命令として解釈させるプロンプトインジェクションが成立する。OWASPもLLMアプリケーションのトップリスクとして挙げている攻撃手法だ。
さらに、自律型AIエージェントは過剰な権限で動作し、外部入力を無批判に信頼する傾向があるため、従来のソフトウェア脆弱性に加えてAI固有のリスクを拡大させる。
「顔」も「声」も信頼できない時代
ジェネレーティブAIによる「なりすまし」の精度が、人間の識別能力を超えつつある。
レポートによれば、訓練を受けたオブザーバーでさえAI生成の顔を正しく識別できる確率は**約41%、一般人では約30%**にとどまる。
ソーシャルエンジニアリングは2025年の主要な攻撃ベクターとなり、電話、メッセージアプリ、Microsoft Teams・Slackといったコラボレーションプラットフォーム、偽サイト、リアルタイム音声なりすましを組み合わせたマルチチャネル攻撃が常態化した。
具体例として、レポートではScattered SpiderおよびShinyHuntersの関与した攻撃キャンペーンが挙げられている。Scattered Spiderは英国の小売大手マークス&スペンサーや自動車メーカーのジャガーランドローバーを標的にしたことで知られる英語圏中心のサイバー犯罪グループ、ShinyHuntersはSalesforceユーザーを標的にした電話ベースの詐欺キャンペーンで注目を集めたグループだ。いずれも高度なソーシャルエンジニアリングを武器にしており、AI音声なりすましとの親和性が高い。FBIは音声詐欺だけで2億5,000万ドル以上の被害を把握している。
企業内AI利用の87〜93%が「高リスク」
2025年10月〜2026年5月の観測期間において、87〜93%の組織が毎月少なくとも1回の高リスクなAIインタラクションを経験している。この数値は月によって変動があり、レポート全体では87%から93%の幅で推移している。
地域別では欧州が高リスクプロンプトの割合トップで、ラテンアメリカ、北米が続く。欧州のデータは「プライバシー規制があっても危険なAI利用は防げない」という現実を示している。業種別ではビジネスサービスが最も高く、次いで卸売・流通、通信が続く。
AIインフラ自体が見えない攻撃面になっている
LLM環境や推論APIを構築する企業が増えるにつれ、公開状態のモデルサーバー、エージェント制御パネル、推論エンドポイントが攻撃者に継続的に探索されている。多くの組織はこれらのアセットを把握していないという。
AIの攻撃面で最も危険なのは「組織が見えていない部分」だ、とレポートは指摘する。
詳細はAI used to help plan the break-in, now it's doing the break-inを参照していただきたい。