適応型エージェントAIワーム——次世代のエンタープライズ脅威として台頭

AIワームの拡散マップ。出典：トロント大学

次世代の適応型AIワームマルウェアに対する防御策を探す取り組みが本格化しています。NotPetya、Stuxnet、MSBlast、あるいはSQL Slammerといった過去の有名なワーム事案に匹敵するような世界規模のインシデントを未然に防ぐことが目標です。

AI適応型ワームは、ゼロデイ脆弱性や既知だが未修正のソフトウェア欠陥、保護されていないシークレット情報を自律的に探索しながら急速に自己増殖する自律エージェントです。複数の環境をまたいで活動しながら、動的に自らの形態を変えていく能力を備えています。

この脅威の進化に先手を打つため、トロント大学・カナダのAIインキュベーターVector Institute・エンタープライズソフトウェア企業ServiceNow・ケンブリッジ大学のAI/機械学習（ML）セキュリティ研究者たちは、新しい環境に適応しながら脆弱性を探索し、システムを侵害するプログラムを自ら生成して拡散する概念実証（PoC）エージェントAIワームを作成しました。また、サイバーセキュリティ企業BeyondTrustの研究者たちも、AIワームの能力を構築・検証する取り組みを進めています。その目的は、ウイルス学における「機能獲得（gain of function）」研究と同様に——潜在的なパンデミアクから世界を守る方法を研究するために病原体を人工的に作り出すように——実際の脅威を模倣した検体を研究するものです。

エージェント型の適応AIワームは現時点ではまだ実際の攻撃では確認されていませんが、BeyondTrustのチーフセキュリティアーキテクト、キナード・マックワード氏は、6か月から1年以内にそのような事態が発生すると予測しています。同氏は今週開催されたfwd:cloudsec North America Conferenceの参加者にそう語りました。

「私個人としては、AIを活用したワーム攻撃は差し迫った脅威だと確信しています」と同氏は述べました。「ターゲットになるのは、皆さんのような幅広いアクセス権限を持つ開発者やエンジニアだと思います。攻撃はクラウドを経由して横断的に広がり、多くの企業が回復できないダメージを受けるでしょう」

攻撃者はすでに、歴史的に「ワーム」を定義する自己増殖機能と悪意あるツールを組み合わせ、開発者やソフトウェアサプライチェーンを標的にし始めています。2025年9月には、「Shai-hulud」と呼ばれるワームがNode Package Managerのリポジトリに侵入し、開発者の認証情報やシークレットを盗んで新たなパッケージに感染を広げていることを複数のサイバーセキュリティ企業が警告しました。その翌月には、VS Code拡張機能を悪用する「Glassworm」攻撃が発見され、開発者のマシンが侵害されることが明らかになりました。

他のマルウェア運営者も、攻撃実行中の難読化を高めるために大規模言語モデル（LLM）を活用し始めています。ただし、多くの攻撃者はマルウェアのコーディング支援にLLMを用いており、実行時の機能としてではなく補助的な用途にとどまっています。

AIで刷新された古典的サイバー脅威

AIワームは脅威の次なるステップですが、まったく新しいアイデアというわけではありません。ワームという概念と同様、AIを搭載したデジタルプログラムはフィクションの世界にすでに登場しています。ダニエル・スアレスの『Daemon』（2006年）ではシステムを自律拡散するAIが描かれ、ダニエル・H・ウィルソンの『Robopocalypse』（2011年）では、AIがデジタルの封じ込めを脱してデバイスに拡散する様子が描かれています。

現実のAIエージェントはより地に足のついたものです。トロント大学の研究者たちが自身のサイトで説明しているように、それらは「固定された攻撃コードを、各ターゲットの脆弱性にリアルタイムで適応する目標指向型の推論」に置き換えるものです。エージェントはデバイスからデバイスへと跳躍しながらネットワーク内を拡散し、現在の環境に適応してシークレットを盗み、対象システム自身のリソースを逆手に取って脆弱性を探索します。

「従来のワームは、それが悪用する特定の脆弱性にパッチを当てることで止めることができました」と研究者たちは述べています。「しかし私たちの適応型ワームはそのような方法では止められません。再帰的な推論ループを用いて、拡散しながら多様な脆弱性を検出・悪用するからです」

このワームは、意思決定や推論能力の駆動に、小規模な無償AIモデルのみを使用していると研究者たちは述べています。AIエージェントは各マシン上で自律的に脆弱性や機密情報を特定し、それらの弱点を利用して自らを拡散させます。

これは進化のプロセスそのものだと、Berryville Institute of Machine Learning（BIML）の創設者であるゲーリー・マクグロー氏は言います。ワームが「翼を持つウイルス」だとすれば、AIワームは「翼と頭脳を持つウイルス」だと同氏は表現しています。

問題は、30年にわたってソフトウェアの脆弱性に取り組んできたにもかかわらず、大多数の企業が依然として広大な攻撃対象領域を持つソフトウェアを使い続けていることです。脆弱性発見技術やAnthropicの「Mythos」が持つとされる能力によって、攻撃対象領域の「単位面積あたり」の脆弱性数は減少するかもしれません。しかしソフトウェアの総量——そして攻撃対象領域そのもの——はかつてないほど拡大していると、マクグロー氏は指摘します。

「脆弱性管理には2つの側面があります」と同氏は言います。「私たちはより優れたソフトウェアを構築し、技術的負債を着実に解消していくでしょう。しかし一方で、これまでにないペースでソフトウェアを生み出し続けているのも事実です」

セキュリティ強化へのタイムリミット

研究者にとって、AIワームの能力を解明することは極めて重要な意味を持ちます。2002年8月、3人の研究者による論文「How to 0wn the Internet in Your Spare Time（暇つぶしでインターネットを支配する方法）」は、脆弱なサーバのリストを事前に用意してワームの拡散を加速させる「フラッシュワーム」の概念を論じていました。その5か月後、まさにその通りのワームが現実のものとなります。SQL Slammerワームがインターネット上に拡散し、10分足らずで感染可能なホストの90%に到達したのです。

ただし、攻撃を試みる者にとって技術的なハードルも存在します。クリプトジャッキングは攻撃者がプロセッサやメモリを乗っ取りながら被害者に気づかれずに済むことを示していますが、AIワームの場合はその一桁上の存在感を示すことになると、AIサイバーセキュリティ企業7AIのシニアAI・セキュリティエンジニアであるオーガスト・ムーア氏は指摘します。

「誰も監視していないシステムに潜伏するのははるかに容易です」と同氏は述べています。一方で、一般的なシステム上でオープンウェイトモデルが動作すれば、その痕跡は格段に検出しやすくなるといいます。「VRAMに数十ギガバイトが常駐し、推論を実行する理由のないホスト上でMLランタイムが動いていれば、バックグラウンドのノイズに紛れることはまずできません」

それでも攻撃者は急速に能力を向上させていく可能性が高く、企業はAIワームの作成を困難にするためにAIの基盤モデルに頼ることはできません。現時点では「悪意あるAIワーム」といった検索ワードはAIモデルによってブロックされますが、BeyondTrustのマックワード氏は多くの簡単な回避手段を発見しています。たとえば、プロンプトを精査して「危険なワード」を自動的に除去するメタスキルスクリプトなどが挙げられます。

ワームを発生前に封じ込める

AIワームに対してエンタープライズネットワークを強靭にするには、堅牢化と可視性の確保が不可欠だと、マックワード氏はDark Readingに語っています。AIワーム攻撃に耐えるうえで最小権限の原則は重要なアプローチであり、企業はエンドポイントやクラウドのテレメトリーを強化し、自動修復アクションの整備に取り組むべきだと同氏は言います。

「重要なのは、攻撃が始まる前に食い止めること、そしてシグナルを検知した瞬間に即座に行動し、より広い被害範囲を把握できるようにすることです」と同氏は述べました。「ワームは過剰な権限を持つロール、本番環境への人的アクセス、シークレットの無秩序な拡散を見つけると勢いを増しました。しかし私たちはこれまでに経験したことのない規模でこれに対処しなければならず、AIを活用したワームへの参入障壁は低いのです」

トロント大学の研究者たちも、防御側にとって最善のアプローチとして、検出の強化・攻撃対象領域の縮小・拡散の制限の3点に焦点を当てています。

「ゼロトラストアーキテクチャは、すべてのアクセス要求に対して継続的な認証を要求することで、足がかりを確立した後の横方向への移動を制限します」と研究者たちは研究に付随するFAQの中で述べています。「ネットワークのマイクロセグメンテーションは、侵害された単一のマシンから到達可能なホストの範囲を制約します。私たちのテスト環境はフラットネットワークという最悪のケースを想定したものでした——基本的なセグメンテーションを施すだけでも、ワームの到達範囲は大幅に制限されるでしょう」