2026年5月19日、米Verizonが公開した年次セキュリティー報告書で、AIを活用した脆弱性悪用が、盗まれた認証情報による侵害件数を上回ったことが明らかになった。生成AIの普及により、サイバー攻撃の速度と規模が急拡大しており、防御側の対応時間は急速に縮小している。
AIで脆弱性探索 攻撃速度が急加速
ベライゾンが分析した3万1000件超のセキュリティー事案では、AIによって特定された脆弱性(※)を悪用したケースが全体の31%を占めた。これは、従来主流だった認証情報の盗用を利用した侵害を上回る結果となる。
報告書では、サイバー犯罪者がAIを利用することで、既知の脆弱性を悪用するまでの時間が劇的に短縮されたと指摘した。従来は数カ月あった防御側の対応猶予が、現在では数時間単位まで圧縮されているという。
さらに、攻撃者は生成AIを標的選定や侵入経路の分析、マルウェア開発、フィッシング文面の生成など幅広い工程で利用している。平均で15種類、多いケースでは50種類もの攻撃手法にAIが活用されていた。
現時点では、AIは主に「運用効率化」の役割にとどまり、新しい攻撃手法そのものを生み出す段階には達していないとされる。
しかし攻撃サイクルの高速化だけでも企業側への負荷は大きく、セキュリティー対策の前提が変わり始めていると言える。
※脆弱性:ソフトウェアやシステムに存在する欠陥や設計上の弱点のこと。攻撃者に悪用されると、不正侵入や情報漏えいにつながる可能性がある。
“AI対AI防衛”が企業標準になる可能性
今回の報告は、AIがサイバー攻撃の「高度化」だけでなく、「高速化」を引き起こしている点で重要である。攻撃そのものが革新的でなくても、発見から実行までの時間が短くなれば、企業のパッチ適用や監視体制は追いつきにくくなる。
特に生成AIの進化によって、攻撃コード生成や偽装メール作成のコストが急低下している。これまで高度な技術者しか実行できなかった攻撃が、より少人数かつ短時間で可能になるリスクがある。
一方で、防御側もAI導入を加速させている。異常通信の検知、自動パッチ適用、リアルタイム分析などでは、すでにAI活用が広がり始めた。今後は「AIを導入していない企業」そのものが、攻撃対象として狙われやすくなる可能性もある。
なお、報告書には、米AI企業Anthropicの最新モデル「Claude Mythos」に関連するデータは含まれていない。
AI性能が今後さらに向上すれば、サイバー攻撃の自動化が新たな段階へ進むとの見方も強まりそうだ。
