はじめに

AI は様々な場所で利用されています。
推論、画像生成、利用者の利便性を高めるために多くのサービスが提供されています。

多くの企業では AI を活用してビジネスを改革する動きがあると思います。
それは、攻撃者にとっても同様であり、攻撃者は AI を完全に使いこなしています。

AI に善悪の概念はありません。
企業を狙う攻撃者は、AI を活用して攻撃を仕掛けることが当たり前になっています。

従来、日本は『日本語』という障壁の高さから、フィッシング等の攻撃を受けにくい性質がありました。
AI による進化は、日本語の壁すら容易く突破してきています。

この記事では、2026年にセキュリティ業界が受ける影響について考察します。

攻撃者による AI 活用

攻撃者は、AI 活用が当たり前になっています。
いくつかの文脈で、攻撃者の AI 活用について見てみます。

ソーシャルエンジニアリング

ソーシャルエンジニアリングは、人に対する攻撃の類型です。
たとえば、フィッシング、ビジネスメール詐欺、水飲み場攻撃など、人という脆弱性を攻撃します。

AI による日本語作成は、翻訳ツールなどと比べて圧倒的に高い精度を誇ります。
普段目につくところであれば、インプレッションゾンビ (SNS のインプレッションを稼ぐ AI) に代表されるように、文脈を理解して、適切な返答内容を AI が自動生成できるようになっています。

近年では、会社の社長名を装い連絡を試みる攻撃も発生しています。
社内であれば、別の手段で確認も可能ですが、顧客名を用いることも予測されるため、注意が必要です。

近年の AI は、日本の商習慣を学習しています。
ビジネスメール詐欺 (BEC) による攻撃を見抜くことは、おそらく人間には不可能なレベルまで巧妙化しています。

参考
【重要】社長⋅役員を装う「LINEグループ作成依頼」メールによる詐欺にご注意ください

ディープフェイク

ディープフェイクは、AI が LLM (大規模言語モデル) だけでなく音声、映像も推論可能になったことで問題が大きくなっています。

SNS では、有名人の顔や音声をモデリングした AI によるフェイク動画が出回っています。
しかし、攻撃の対象は有名人だけではありません。

数枚の写真、数秒の音声があれば、個人を模倣するディープフェイクは作成可能です。

ソーシャルエンジニアリングにもつながりますが、電話やテレビ会議などで会話の相手がディープフェイクであることを認識することは難しいと考えられます。

参考
生成AIで岸田首相の偽動画、SNSで拡散…ロゴを悪用された日テレ「到底許すことはできない」
ビデオ会議の相手は知らない他人だった。香港で37億円のディープフェイク詐欺事件、被害を防止する3ヶ条

AI による攻撃試行

従来の攻撃では、攻撃対象の発見や、攻撃ツールの準備、攻撃の実行などを攻撃者自身が実施していました。

クラウドのセキュリティサービスを提供している Sysdig によると、昨今の攻撃は攻撃可能な標的を発見してから攻撃まで、10分しかかからないそうです。
短時間で行われる攻撃を防ぐために、検知5秒、解析5分、対応5分という極めて厳しいベンチマークを設定しています。

従来の日本の商習慣では、メールによるエスカレーションと会議による判断が一般的です。
しかし、攻撃を検知してエスカレーションのためのメールを人間が書いている間に攻撃は完了しています。

参考
5/5/5 ベンチマーク

これは、攻撃者が AI を活用し、これらの攻撃活動を完全に自動化していることと推察できます。
AI による自動化は、攻撃の「試行回数」を爆発的に増やし、かつ「成功率の高い手法」を AI が学習・選択し続けることを意味します。
これにより、『運悪く狙われる』のではなく『脆弱性があれば即座に、執拗に突かれる』状態へと変化しています。

脆弱性が残る理由として、「内部システムだから」、「利用者が限られているから」、「お客様が古いブラウザでアクセスしているから」などの理由が考えられます。
最新のセキュリティ対策に追従していないこれら全ての隙が、自動化された攻撃の格好の餌食となります。

企業による AI 活用の不備

企業内においても AI の活用は進んでいます。

Web ページ上の AI アシスタントや、企業内の問い合わせサポート、他にも BI ツールと融合したデータ分析など、多くの場所で AI が活用されています。

これらの公開されたサービスは、攻撃者の標的となり得ます。

公開範囲の設定ミス、ジェイルブレイク (脱獄) による内部データへのアクセス、データ汚染による不適切な回答など、複数の攻撃が考えられます。

また、統制が追いつかない企業では、安価な AI エージェントを勝手に個人が利用すること (Shadow AI) も考えられます。
その場合、企業の統制外のところで、勝手に外部に企業情報が漏洩するリスクも考えなければなりません。

また、昨今の AI 活用で広がっているところで言えば、『自律型 AI エージェント』です。
AI がメールの送受信やファイル操作の権限を持つため、一度 AI が乗っ取られれば(ジェイルブレイク等)、人間を介さずに重要情報の窃取や送金指示が完結してしまうリスクを孕んでいます。

自社の安全な AI 利用だけであってもリスクは存在しています。
『間接的プロンプトインジェクション』(外部データを読み込む AI を悪用する手法のこと) として、悪意ある Web サイトなどを読み込ませることで、安全であるはずの自社の AI に対して不正な処理を代行させることが可能です。

これらの攻撃を防ぐためにも、AI に対する権限付与は最小限にして、上位の権限は明示的な許可を求めるなどの対策が必要です。

高度な AI 攻撃を防ぐためにできること

AI for Security (AI によるセキュリティ)


従来のセキュリティは、『人が守る』ことが一般的でした。

10分という極めて短い攻撃サイクルに対し、人間がログを解析し、会議を開いて対応を判断する猶予は残されていません。

これからの SecOps は、検知から隔離、初期対応までをAIが自律的に実行する『AI-Driven SOC』への移行が不可欠です。

人間は「判断の最終責任」を負う役割へシフトし、実働はAIに任せるというマインドセットの転換が求められます。

内部統制強化

AI の攻撃の対象は、システムから『人間』に、その範囲を広げています。

ソーシャルエンジニアリング的な攻撃、特にディープフェイクによる攻撃は、人の心理に働きかけ、システム的な防御を迂回してビジネス情報を詐取される可能性が高いです。

内部訓練に AI による個人攻撃のシナリオを追加したり、メールなどの脆弱な連絡手段に対する自動隔離機能など、高度な攻撃 (APT 攻撃) に対する備えを強化する必要が出てきています。

先に挙げた通り、ビジネスメール詐欺などは被害額が莫大になる可能性があります。
AI は個人に特化した攻撃が可能であるという点に、注意が必要です。

参考
JAL3.8億円詐欺被害 ビジネスメールに割り込み偽請求【サイバー護身術】

レジリエンスの強化

これだけ高度化された攻撃に対して、100%防ぐことができるソリューションは存在しません。

アスクルの事例にもあるように、サプライチェーン攻撃も含めて全体で完全な防御を引くことは現実的ではないためです。

参考
アスクル株式会社のランサムウェア攻撃被害報告書を読み解く

アスクル社の事例や、近年のサプライチェーン攻撃が示す通り、100%の防御は不可能です。
2026年のセキュリティ戦略の柱は、『いかに早く、正しく立ち直るか』というレジリエンス(回復力)にシフトしています。

具体的には、ポイントインタイムリカバリ(PITR: Point-in-Time Recovery)を含む安全で変更・削除が不可能なバックアップ。
構成情報のコード化 (Infrastructure as Code) による攻撃を受けた環境の破棄と、運用環境の即時回復。

これらを組み合わせることで、攻撃を受けないこと、攻撃を広げないこと、攻撃を受けても回復できることを組み合わせた防御が企業には求められています。

守るべきは「ビジネスの継続性」そのものです。

まとめ

AI 活用が進んでいるのは企業による正しい利用だけではありません。
攻撃者にとっても、AI は素晴らしいツールであり、AI を活用した攻撃はすでに発生しています。

かつてのように『不自然な日本語』を頼りにした人間による判断は、もはや防御策としては機能しません。
攻撃の主体が『人』から『高速な AI エンジン』へと完全に移行したことを認識する必要があります。

企業には、AI がビジネスに変革を与えたように、ビジネス継続にも改革が求められています。