攻撃者が優位に立つ4つの重大な脅威

出典：tadamichi / Getty Images

ガートナー セキュリティ＆リスク管理サミット — メリーランド州ナショナルハーバー — 4つの重大な脅威に対する企業の防御は太刀打ちできない状態にあり、早急な改善が求められています。

これは今週開催されたガートナー セキュリティ＆リスク管理サミットに登壇した複数のアナリストが指摘したものです。月曜日のセッションでは、ガートナーのVPアナリストであるJohn Watts氏が、ディープフェイク、ソフトウェアサプライチェーンリスク、プロンプトインジェクション、AIアプリケーションへの侵害を、企業にとって最も差し迫った4つの脅威として挙げました。

これら4つの脅威は、脅威アクターの動向と企業防御に対する攻撃の有効性を対比させた、ガートナーの2026〜27年版ThreatScapeチャートの上位に位置づけられています。Watts氏は、組織のセキュリティ能力と現行のソリューションがいまだ十分でないため、これらのケースでは「攻撃者が優位に立っている」と述べました。

他のガートナーアナリストも会議全体を通じて多くのセッションでこれらの脅威を強調し、追加のコントロールと強化されたポリシーによってセキュリティ態勢を改善するよう企業に促しました。しかし、それは言うは易く行うは難しといえるかもしれません。

ディープフェイクとソフトウェアサプライチェーンリスク

つい最近まで、ビッシング（音声フィッシング）やビデオ会議を悪用した攻撃におけるAIの役割は不明確でした。しかし、その時代はとうに過ぎ去りました。Watts氏は、ディープフェイクは「明らかに問題となっている」と述べています。

ガートナーによると、組織の62%がソーシャルエンジニアリングや顔認証・音声認証の回避を伴うディープフェイク攻撃に何らかの形で遭遇しています。火曜日のセッションでは、ガートナーのディレクターアナリストであるZachary Smith氏が、一部のディープフェイク検出技術が現在は機能しているとしても、AIの市場の動きが非常に速いため、明日には機能しなくなる可能性があると指摘しました。

その点を踏まえてSmith氏は、追加の認証要件に加え、発信者ID偽装やSIMスワッピングを検出するツールを組み合わせた多層セキュリティアプローチの導入を組織に促しました。「ディープフェイク攻撃を止めるためにディープフェイクを検出する必要はありません」とSmith氏は述べ、認証チェックに失敗させるだけで攻撃者を阻止できると説明しました。

HuntressのサイバーセキュリティアドバイザーであるBryson Byrd氏はDark Readingに対し、追加の認証措置は不可欠だと語っています。「多要素認証はパスワードだけに適用されるものではありません。今や、あらゆるものに対して必要なのです」と同氏は述べています。

ディープフェイクと同様に、サプライチェーン攻撃も目新しいものではありません。しかし、Shai-Huludのような自動化されたワームの登場により状況が変わりました。このワームは、認証情報やシークレットを大量に収集してリポジトリへの侵害を継続しようとする攻撃者にとって、大きな力の乗数となっています。

ワームの問題に加え、組織はサードパーティプラットフォーム上でのコード保護にも苦労しています。GitHubはシークレットスキャンのようなセキュリティ機能を導入していますが、組織がそれを省略して機密データを露出させてしまうケースがあります。Watts氏は、いくつかの改善が行われてはいるものの「NPMはある種の混乱状態だ」と述べました。

しかし組織は、ソフトウェアおよび開発環境を取り巻くコントロールを適用しなければなりません、とWatts氏はさらに強調しました。そのコントロールには、強固なバージョン管理ポリシー、シークレットのスキャンと管理、CI/CDパイプラインへの最小権限の原則の適用が含まれます。

プロンプトインジェクションとAIアプリケーションへの侵害

プロンプトインジェクションはAI企業とその顧客にとって継続的な課題です。しかし、AIエージェントの急速な普及により、その脅威はさらに深刻になっています。Watts氏は、脅威アクターがたとえばウェブページに悪意あるプロンプトを仕込んでエージェントがそれを読み込むのを待つことで、間接的なインジェクション攻撃を実行できると説明しました。

Watts氏はGoogleのデータを引用し、2025年11月から2026年2月にかけて間接プロンプトインジェクション攻撃が32%増加したことを示しました。「大きな問題は、エージェント型・自律型AIになるにつれ、実行チェーンが一度汚染されると、すべてが崩壊していくということです」と同氏は述べました。「そこから本当に回復することはできません。」

Watts氏は、プロンプトインジェクションセキュリティに注力すると主張する一部のセキュリティベンダーは、悪意あるプロンプトに典型的に登場するキーワードを探しているに過ぎないと指摘しました。「それでは機能しません」と同氏は言い切りました。不正AIエージェントに関する別のセッションでは、ガートナーのリサーチバイスプレジデントであるDennis Xu氏が、プロンプトインジェクションやジェイルブレーク攻撃を100%阻止する方法は存在しないと強調しました。

サードパーティのソリューションのみに頼るのではなく、Watts氏はAIシステムに対してペネトレーションテストとレッドチーミングを実施し、プロンプトインジェクションを発見して対処するよう組織に促しました。

最後に、Watts氏はAIアプリケーションへの侵害を取り上げました。これはさまざまな原因から生じる可能性があります。たとえば、2025年に開示されたAI関連のCVEは2,130件に上り、前年比で約35%増加したとWatts氏は指摘しました。さらに、メモリポイズニング攻撃や安全でないリソース・インフラも侵害につながる可能性があります。

「AIアプリケーションを構築・拡張し、AIからより多くの成果を得ようとすればするほど、攻撃対象領域が広がっていきます」と同氏は述べており、それこそが脅威アクターの期待するところです。

たとえばOpenClawが業界全体に急速に広まるような状況は、事態をさらに悪化させるだけです。数多くの重大な脆弱性が報告されているこの人気オープンソースAIフレームワークは、今年初めのリリース以来、多くの組織によって広く——そしてしばしば安全でない形で——展開されています。

「現在でも、スキャンを実行して管理者権限でインターネット上に公開されているOpenClawを見つけることができます」とWatts氏は述べました。「人々がこうしたことをどのように行っているかについて、何らかのコントロールを確実に設けなければなりません。」