インドのコンピュータ緊急対応チーム(CERT-In)は、サイバー犯罪の世界においてAIの活用が進む中、防御側は悪用されたNデイ脆弱性のパッチ適用または緩和措置を12時間以内に完了するよう努めるべきだと述べた。
同組織が推奨するこの半日以内という期限は、インターネットに公開されているシステムや「重要資産」システムに影響し、かつ実際に悪用されていることが確認されている脆弱性にのみ適用される。
該当するケースにおいてCERT-Inは、防御側に対し「可能な限り12時間以内にパッチ適用、緩和措置、または露出の排除を行うこと」を求めている。
内部システムに影響を与える標準的な深刻な脆弱性(CVSSスコア9.0以上)や、内部システムに影響を与える既知の悪用済み脆弱性など、それ以外の欠陥については、防御側はより余裕のある24時間以内の対応が認められる。
今回の改訂された推奨事項は、CERT-Inが今週公開した新しいガイドの一部として示されたもので、情報セキュリティの専門家がAIを利用したサイバー攻撃からより効果的に防御できるよう支援することを目的としている。
「AIを活用したサイバー攻撃の悪用により、敵が脆弱性、公開サービス、脆弱なID、セキュアでないAPI、設定の誤ったシステムを特定し、武器化して悪用するまでに要する時間が短縮されている」とCERT-Inの報告書は述べている。
「組織が相互接続されたデジタルインフラ、クラウドエコシステム、ソフトウェアサプライチェーン、オペレーショナルテクノロジー、AIを活用したプラットフォームへの依存を深めるにつれ、AIを活用したサイバー脅威が各分野に与える潜在的な影響は拡大し続けている。」
CERT-Inの報告書は、2026年に相次いだ一連のニュースを受けたものであり、攻撃側・防御側の双方においてAIがサイバーセキュリティの重要な要素として位置づけられつつあることを示している。
特にエージェント型AIの分野は、この1年で急速に成熟した。OpenClawのようなコンシューマー向けツールは、技術的な知識を持たないユーザーでも自律型技術を試しやすくし、その認知度や能力への関心を高めている。
エージェントはシステムに大きな変更を加えるために必要なすべての権限を備えているが、各国の情報機関が最近指摘したように、その動作が予測不能になる場合があり、悪意ある行動を引き起こしやすい側面もある。
セキュリティの専門家は自分たちのワークフローにおけるAIエージェントの可能性を見出し始めているが、攻撃者にとってこの技術は、偵察や攻撃から権限昇格、データ窃取に至るまで、プロセス全体を加速させる機会を意味している。
CERT-Inは、エージェント型AIを報告書の推奨事項の背景にある主要な懸念事項の一つとして挙げており、組織が依存するサプライチェーンの多様化が進む中、ある脆弱性が相互接続されたシステムに連鎖的な被害をもたらす可能性があると警告している。
エージェント型AIに加え、AnthropicのMythosやOpenAIのGPT-5.5といったフロンティアモデルの登場も懸念材料だ。これら2つのモデルはサイバー分野の有力なワークホースとして認定されており、攻撃者が重大な脆弱性を迅速に発見・悪用する能力をさらに強化する恐れがある。
12時間の対応期限:現実的か?
サイバーセキュリティの実務者であれば誰もが、パッチ適用プロセスの煩雑さを証言するだろう。「アップデート」をクリックするだけでは済まないのが実情であり、それゆえに12時間というパッチ適用期限は、一部の人々には当初、非現実的に映るかもしれない。
重大な脆弱性の開示と同時に緊急の警告や即時パッチ適用の要請が発せられることは珍しくないが、これらはパッチ適用に必要なシステム停止時間や、適用後に他の機能が影響を受けないかどうかを確認するためのテスト工数を考慮していない。
Microsoftはこうした事例を数多く経験してきており、多くの読者も痛感したことがあるだろう。
CISAの既知の悪用済み脆弱性カタログも著名なリソースの一つでパッチ適用の期限を設定しているが、対象は連邦機関のみであり、期限は通常2〜3週間、最も深刻な脆弱性でも数日程度に設定されている。
The Registerに意見を寄せたサイバーセキュリティの専門家たちは、CERT-Inの推奨事項について、12時間はパッチを適切にテストして展開するには短すぎるという点で一致しながらも、同組織のアプローチ自体には一理あると評価した。
Huntressでセキュリティオペレーションのシニアマネージャーを務めるDray Agha氏は、「可能な限り12時間以内にパッチ適用、緩和措置、または露出の排除を行うこと」というCERT-Inの推奨は、12時間以内に完全なパッチ適用を義務付けているわけではないという但し書きがある点から、概ね妥当な助言だと述べた。
「隔離、アクセス制限、パッチが準備できるまでの機能無効化といった一時的な緩和措置を明示的に奨励することで、パッチ適用の期限が実現可能かつ必要な封じ込め戦略へと転換される」とAgha氏はThe Registerに語った。
「これはHuntressが重大な脅威に対して提供するガイダンスとも一致している。私たちはコミュニティに対し、できる限り早急に一時的な緩和措置を講じて『危機を脱出』し、その後、企業の事業継続性に配慮したより計画的なパッチ適用戦略を策定するよう助言することが多い。」
Agha氏はさらに、AIを活用したサイバー攻撃が現実の環境で日々確認されており、脆弱性が悪用されるまでの時間が短縮されていると指摘し、防御側はこの新しい現実に適応しなければならないと強調した。
AIが普及する以前は、既知の悪用済み脆弱性に対する緩和またはパッチ適用の12時間期限は厳しすぎると見なされていたが、高度なツールや自動化の普及が脆弱性管理に求められる水準を塗り替えつつある。
「防御側は、より迅速な緩和措置に焦点を当てるよう運用を根本的に見直す必要がある。AI以前の時代でも、Huntressでは数時間以内に脆弱性が悪用される事例を目撃してきた。12時間すら猶予がなかったのだ」とAgha氏は述べた。
同氏は、12時間というガイドラインは恣意的な期限というよりも、「組織がセキュリティへの取り組みをコンプライアンス対応を超えた継続的な防御態勢へと転換するための必要な意識改革を促すもの」だと説明した。
「そのためには、セキュリティ態勢にIT部門だけでなく、企業の事業部門も参加することが求められる。AIを活用した攻撃の広がりは、標的となった企業に対してより速く、より深刻な連鎖的悪影響をもたらすからだ。事後対応よりも事前の防御の方がはるかに望ましい。」 ®
