APC 技術ブログ

株式会社エーピーコミュニケーションズの技術ブログです。

株式会社 エーピーコミュニケーションズの技術ブログです。

トップ > Cyber Security > AIがいきなり3位——IPA「情報セキュリティ10大脅威 2026」が示すもの

AIがいきなり3位——IPA「情報セキュリティ10大脅威 2026」が示すもの

Cyber Security Platform Engineering

こんにちは、エーピーコミュニケーションズ ACS事業部の福井です。

2026年1月、IPAが「情報セキュリティ10大脅威 2026」を公表しました。組織向けランキングで「AIの利用をめぐるサイバーリスク」が初登場で3位に入りました。ランサム攻撃・サプライチェーン攻撃という常連トップ2と並んで、AIリスクが同じ土俵に立ったということです。

「将来的には問題になるかもね」という話ではなく、今すぐ統制・運用の対象にすべき脅威として公的に認定されたインパクトは大きいと思っています。

IPA「情報セキュリティ10大脅威 2026」組織編トップ3

順位 脅威 備考
1位 ランサム攻撃による被害 継続的首位
2位 サプライチェーンや委託先を狙った攻撃
3位 AIの利用をめぐるサイバーリスク 今年初選出

IPAがこの3位に含めているリスクは幅広く、主に以下の3軸です。

  • AIの不十分な理解・利用による情報漏えい・権利侵害
  • AI生成物を検証せず鵜呑みにすることによる誤認・意思決定ミス
  • AIを悪用したサイバー攻撃の容易化・巧妙化

今回のブログは、この3軸のうち「攻撃への悪用」と「AI基盤そのものが標的になる」という2点にフォーカスします。

なお、1月のランキング発表に続き、2026年3月12日にはIPA公式サイトにて「情報セキュリティ10大脅威 2026」解説書[組織編]が正式公開されました(アンケートへの回答で無償ダウンロード可)。各脅威について「脅威の詳細」「被害事例」「対策」が体系的にまとめられており、組織としてAIリスクに向き合う際の一次資料として参照する価値があります。

国家支援ハッカーが「Gemini」を攻撃インフラとして使う時代

Google Threat Intelligence Group(GTIG)のレポートが2025年末に注目を集めました。中国・イラン・北朝鮮・ロシアなどの国家支援グループが、GoogleのAI Gemini を攻撃の各フェーズで実際に使用していたというものです。

具体的な用途として報告されているのは:

  • 偵察フェーズ:標的組織・人物のOSINT、業界・技術調査の効率化
  • 武器化フェーズ:フィッシングメール文面生成、スクリプト作成
  • 侵害後フェーズ:窃取データの分類・整理、次の横展開先の調査

ここで重要なのは「AIが攻撃の突破口になった」のではなく、「攻撃者が普通にクラウドAIを業務ツールとして使っている」という点です。もはや攻撃側のAI活用は特別なことではなく、ごく当たり前の作業効率化になっています。

防御側が「AIで脅威検知を自動化しよう」としているのと全く同じロジックで、攻撃側も「AIで攻撃準備を自動化している」わけです。

「メールを踏まなくても感染する」——AIエージェント経由の乗っ取り攻撃

2026年1月、ブラウザに統合されたGeminiを悪用したプロンプトインジェクション系の攻撃手法が報告されました。ユーザーが特定の操作をしなくても、AIエージェントの行動計画を書き換えることで、Zoom起動・ファイルダウンロード・IoT制御などを自動実行させるという内容です。

さらに2026年3月には、ChromeのGemini統合機能「Live in Chrome」に脆弱性(CVE-2026-0628)が見つかり、悪意ある拡張機能がGeminiに寄生してカメラ・マイクへのアクセスをユーザーの許可ダイアログなしに取得できる可能性が指摘されています。

この2事例が示しているのは、

「AIアシスタント+OS/ブラウザ統合」という構成が、それ自体として新しい攻撃面(Attack Surface)になっている

ということです。「怪しいメールのリンクを踏まない」「不審なファイルを開かない」という旧来の啓発はもはや不十分で、AIエージェントが持つアクション権限の範囲と、そこへの入力経路を管理するという新しい脅威モデルが必要になっています。

RAG改ざん——ハルシネーション対策が「確信を持って嘘を吐く装置」に変わるリスク

多くの企業がLLMの回答精度を上げるためにRAG(Retrieval-Augmented Generation)やGroundingを導入しています。「外部の正しいドキュメントを参照させることでハルシネーションを減らす」という設計思想です。

ところが、これを攻撃者視点で裏返すと——

「検索インデックスやベクターストアを汚染すれば、AIの出力ごとコントロールできる」

ということになります。具体的なシナリオ:

  • 社内ナレッジベースに、改ざんされた規定書・手順書・マニュアルを混入させる
  • ベクターストアに悪意ある攻撃者がコントロールするドキュメントを注入する(特に外部コンテンツを取り込む仕組みがある場合)
  • 検索スコアを操作して、偽の「高権威ドキュメント」が常に上位に来るようにする

こうなると、AIはハルシネーションしていない状態で、しかし嘘しか返さないという最悪のケースに陥ります。ユーザーはGroundingされた回答だからと信頼し、その誤情報に基づいて意思決定をしてしまいます。

IPAが3位の説明で「AI生成物を十分に検証せずに鵜呑みにすることで生じる問題」を挙げているのも、まさにこの文脈です。RAGやGroundingを導入している組織ほど、そのRAG基盤を汚染・改ざんされたらどうなるか、という逆方向の脅威モデリングが今すぐ必要です。

AIの盾 vs AIの武器——OpenClaw的なエコシステムをどこまで信用できるか

最近はAIベースのセキュリティプロダクトが急速に増えています。脆弱性診断、ペンテスト自動化、ログ異常検知、マルウェア解析——いずれも「AIが人間の目の届かない範囲まで網羅的にカバーする」という売り文句です。

観点 AIベースの盾(防御側) AIベースの武器(攻撃側)
用途 脆弱性発見、異常検知、運用自動化 偵察、フィッシング生成、脆弱性探索
強み 人手で追えないログ・設定の網羅的処理 攻撃準備のスピードと自動化
主なリスク ブラックボックス化、権限過大、RAG汚染による誤検知 攻撃ノウハウの民主化、スケールアップ
信頼性の課題 ベンダー任せ、そのAI自体が攻撃面になりうる 高度な攻撃にはまだ人間の判断が必要

OpenClawのようなセキュリティ特化のAIエージェントを考えると、これらのツールが外部システムへのアクセス権限・API呼び出し権限を持つのは当然です。しかし現実には、それぞれのエージェントが権限境界をどこまで適切に切っているか、入力・出力の検証をどこまでやっているかは、かなりブラックボックスです。

「AIでセキュリティを強化しよう」と導入したツールが、それ自体として攻撃面になっているというのは、十分ありえるシナリオです。

どこまで信用するか——ガードレール設計こそが2026年の現実解

AIベースの盾が増えるのと同じスピードで、AIベースの武器も洗練されています。今後この軍拡競争はさらに加速するでしょう。

そのなかで、今すぐ組織として取れるアクションをまとめると:

  1. AIエージェントの権限を最小化する — 「できること」ではなく「やらせること」だけを明示的に権限付与する
  2. RAG基盤の脅威モデルを立てる — インデックスへの書き込み権限、取り込み元ソースの信頼性評価、出力の定期監査
  3. AI生成物を最終確認なしで自動実行しない — エージェントが提案する操作の承認フローを残す
  4. セキュリティAI製品もゼロトラストで評価する — 「AIが守ってくれる」ではなく「そのAI自体がどのデータに触れ、何の権限を持つか」を確認する

LLMやAIエージェントは、賢いけれど自分が何を信じているかを疑えないという根本的な特性を持っています。だからこそ、人間側がそのガードレールを設計・維持する責任は変わりません。

「どのAIを使うか」よりも先に、「どこまでAIを信用するか」「どこにガードレールを敷くか」を決める。それが、2026年時点の現実解だと思います。

参考リンク

ACS 事業部のご紹介

私の所属する ACS 事業部では、開発者ポータル Backstage、Azure AI Service などを活用し、Platform Engineering + AI の推進・内製化を支援しています。

www.ap-com.co.jp www.ap-com.co.jp www.ap-com.co.jp

また、GitHub パートナーとしてお客様に GitHub ソリューションの導入支援を行っています。 GitHub Copilot などのトレーニングなども行っておりますので、ご興味を持っていただけましたらぜひお声がけいただけますと幸いです。

一緒に働いていただける仲間も募集中です! ご興味持っていただけましたらぜひお声がけください。 ※求人名の冒頭に【ACSD】と入っている求人が当事業部の求人です。

www.ap-com.co.jp www.ap-com.co.jp

本記事の投稿者: 福井