HALBo
AIを導入すればするほど、攻撃者に渡す「入口」が増える——MIT Technology Reviewが2026年5月に報じたこの指摘は、多くのIT部門が薄々感じていた不安を言語化したものだ。チャットボット、AIエージェント、コード生成ツール。便利なツールが増えるたびに、企業のシステムは新しい弱点を獲得している。問題は「AIを使うかどうか」ではなく、「広がり続ける攻撃面にどう対処するか」に移りつつある。
AIが「攻撃面」を広げるとはどういうことか
セキュリティの世界では「アタックサーフェス(攻撃面)」という概念がある。攻撃者が悪用できる入口の総量を指す言葉だ。ドアが多い建物ほど、不法侵入のリスクが上がる——それと同じ構造がデジタル空間でも起きている。
従来のシステムは、ルールベースで動いていた。「この操作は許可、あの操作は拒否」という明確な境界があった。ところがLLM(大規模言語モデル)を組み込んだシステムは、自然言語という曖昧な入力を処理する。曖昧さは、悪用の余地でもある。
具体的な脅威として注目されているのが「プロンプトインジェクション」だ。悪意ある文章をAIへの指示に紛れ込ませ、本来とは異なる動作をさせる攻撃手法である。たとえばメールの要約を依頼したAIエージェントが、メール本文に仕込まれた悪意ある指示を読み取り、添付ファイルを外部に送信してしまう——そうした事例が研究者によって繰り返し実証されている。
エージェントが「権限」を持つほど、リスクは乗数的に増える
問題がさらに深刻になるのは、AIエージェントが現実の操作権限を持つ場面だ。カレンダーを管理し、メールを送り、社内システムにアクセスする——そうした「自律型AI」の導入が急速に進んでいる。AnthropicのCoworkのように、コードなしでPCの操作を代行するAIも登場している。
エージェントに権限を与えることは、攻撃者にとっても魅力的なターゲットができることを意味する。AIエージェントを乗っ取れば、そのエージェントが持つ権限をそのまま悪用できる。人間が1つひとつ確認するよりも、AIが自動で処理する量の方が圧倒的に多い。つまり、攻撃が成功したときの被害規模も、従来とは比べものにならない。
また、AIエージェントが別のAIエージェントと連携する「マルチエージェント」構成では、信頼の連鎖が攻撃経路になる。A社のエージェントがB社のエージェントを信頼して命令を実行する仕組みの中で、B社のエージェントが侵害されていたら——その連鎖は止めようがない。
攻撃者側もAIを使っている
防御側だけがAIを使っているわけではない。攻撃者もAIを活用し始めている。これがMIT Technology Reviewが指摘する、もう一つの構造的変化だ。
フィッシングメール(偽のリンクや添付ファイルで個人情報を騙し取るメール)は、従来であれば不自然な日本語や文体の揺れで気づくことができた。しかしLLMを使えば、ターゲットの役職・文体・関心事に合わせた精巧な文面を、大量かつ低コストで生成できる。「騙された男と、盗んだ男」でも触れたように、詐欺の精度と量は同時に向上している。
さらにAIはコードも書く。セキュリティの専門知識が乏しい攻撃者でも、マルウェア(悪意のあるソフトウェア)の作成や脆弱性の探索をAIに手伝わせることができる。参入障壁が下がるほど、攻撃者の母数は増える。
従来型防御の限界——「境界を守る」発想が崩れた
20年以上にわたって企業セキュリティの基本だった「境界防御」の考え方がある。社内ネットワークと外部の間にファイアウォールを設け、内側は安全、外側は危険という二分法で守る発想だ。しかしクラウドの普及とリモートワークの拡大で、すでにこの境界は曖昧になっていた。AIの普及は、その崩壊を加速させている。
LLMは外部のAPIと連携し、ウェブを参照し、外部サービスと対話する。「内側にいる」ことと「安全である」ことが、もはどイコールではない。加えてAI自体が誤動作しやすいという性質もある。好感度を上げると正確さが下がるという研究が示すように、AIは「正しい答えより、聞こえの良い答え」を選ぶ傾向がある。これはセキュリティ判断を委ねる上で、本質的なリスクになる。
Verizonが毎年発行する「データ漏洩調査報告書(DBIR)」によると、サイバー攻撃の被害の大半は技術的な脆弱性よりも人的ミスや認証情報の窃取から始まるとされる。AIが人間の代わりに大量の判断を下す時代では、「人的ミス」の定義そのものが変わる。AIの誤判断が、新しい「人的ミス」になる。
ビジネスへの影響——経営課題になりつつあるAIセキュリティ
この問題は、IT部門だけが向き合うべき技術課題ではない。AIを業務に組み込む判断は経営層が行い、その判断がセキュリティリスクの大きさを直接左右する。
たとえば顧客対応にAIチャットボットを導入した場合、そのチャットボットが顧客の個人情報にアクセスできる設計になっているなら、チャットボット自体が攻撃のターゲットになる。導入の意思決定をしたのが経営者であっても、被害を受けるのは顧客であり、責任を問われるのも企業だ。
保険会社や規制当局も動き始めている。EUのAI法(AI Act)は高リスクなAIシステムに対してリスク管理の義務を課しており、セキュリティ要件もその一部に含まれるとされる。日本でも経済産業省がAIのリスク管理に関するガイドラインの整備を進めており、対応が遅れた企業は法的・評判面の双方でリスクを負う可能性がある。
MIT Technology Reviewの報告が示す核心は、「AIを使うかどうか」の議論はすでに終わっているという点だ。多くの企業はすでに何らかの形でAIを使っている。問われているのは「どう使えば安全か」という設計の問題であり、それは経営判断の問題でもある。
守る側の現実——AIでAIを守る時代へ
皮肉なことに、広がった攻撃面を埋めるためにもAIが必要になっている。人間のアナリストが手作業でログを確認していた時代は終わった。1日に発生するセキュリティイベントの数は、大企業では数百万件に達するとも言われる。AIなしには処理できない量だ。
異常検知、脅威の自動分類、インシデント対応の優先順位付け——これらをAIが担うことで、限られたセキュリティ人材が本当に重要な判断に集中できるようになる。ただしここでも問題は残る。守るためのAI自体が、攻撃のターゲットになりうるからだ。
「AIで守る、AIで攻める」という構図は、軍備拡張に似た螺旋を描いている。重要なのは技術への過信を避け、AIがカバーできない部分を人間が補う「ハイブリッドな防御設計」を持つことだとされる。ゼロトラスト(何も信頼しない、常に検証する)というセキュリティ原則が改めて注目されているのも、この文脈からだ。
まとめ
AIは業務効率を上げると同時に、攻撃者が狙える入口を静かに増やしている。技術の問題である以上に、導入の設計と意思決定の問題だ。AIを使い始めた企業は、そのツールがどんな権限を持ち、何と連携しているかを今一度点検する価値がある。
