過去12カ月の間に、AIが人間の関与をほとんど介さずにエクスプロイト実行のワークフローを自律的に実行し、数十のセッションにまたがって数千件ものコマンドを生成した侵入事例を、研究者たちが確認しています。これはCheck Pointの『AI Security Report 2026』が報告している内容です。
AIを悪用したサイバー攻撃
最も大きなリスクをもたらす攻撃者は、人間の介入を必要とせずに攻撃チェーンの複数段階にわたってAIを統率できる者たちです。彼らは高性能なAIモデルを入手し、その安全対策を取り除くことでこれを実現しています。
攻撃者は、商用モデルの悪用、盗まれたAI認証情報の使用、無償公開されているオープンソースモデルの自己ホスティング、あるいはサイバー犯罪向けに構築されたAIツールへのアクセス権の購入といった手段によってAI機能を手に入れています。
ジェイルブレイクは、AIモデルが悪意ある指示に従うことを防ぐ安全機構を無効化する手法です。攻撃者は巧妙に作り込んだプロンプトを使って安全対策を回避しますが、こうした手口は随時パッチが適用され塞がれていきます。より持続性の高い手法として、AIコーディングエージェントを標的にし、すべてのセッション開始時に自動的に読み込まれるCLAUDE.mdのようなファイルに悪意ある指示を仕込む方法があります。一度仕込まれると、そのファイルが削除されるまでジェイルブレイクは有効なまま残り続けます。
AIはコードの生成・改良・デバッグを通じてマルウェア開発に広く利用されており、経験の浅い攻撃者でもより高性能なツールを作れるようになっています。犯罪グループや国家主導の攻撃者集団も、AI支援による開発への依存を強めています。さらに、実行中にAIモデルと通信してコマンドを生成したり、動作をリアルタイムで適応させたりするマルウェアという、規模は小さいものの増加傾向にあるカテゴリーも存在します。
AIはコードを十分に高い精度で解析できるため、脆弱性の発見やエクスプロイト開発を加速させています。公開情報の開示から実際に動作するエクスプロイトが登場するまでの時間はますます短縮されており、攻撃者は脆弱性の公開からわずか数時間でエクスプロイトを作り出すケースも珍しくありません。テストとパッチ適用の速度こそが、今や最大のボトルネックとなりつつあります。
AIシステムへの攻撃
企業各社は、メール、文書、コード、ブラウザ、業務ワークフローにAIを組み込んでおり、その結果AIは機密データへのアクセス権やユーザーに代わって行動する権限を得るようになっています。AIは企業環境の一部として定着し、攻撃対象領域を拡大させ続けています。AIシステムを狙う攻撃の大半は、AI特有のリスクと従来型のソフトウェア脆弱性という2つの大きなカテゴリーに分類されます。
言語モデルは、指示とデータを区別することなく単一のテキストストリームとして処理します。これにより、信頼できないコンテンツが本来はデータであるにもかかわらず指示として解釈されてしまう可能性があり、プロンプトインジェクションや悪意ある設定ファイル、メモリ操作といった攻撃を許してしまいます。
AIツールは、他のソフトウェアと同様の弱点をそのまま引き継いでいます。自律型のAIエージェントは、過剰な権限で動作したり、新たなコンポーネントをインストールしたり、人間による監視をほとんど受けずに外部からの入力を信頼したりすることで、こうしたリスクをさらに拡大させています。
Check PointリサーチのVPを務めるLotem Finkelstein氏は次のように述べています。「有能な攻撃者とそれ以外を隔てていた専門知識の壁は消えつつあり、防御側はもはや相手側で人間がペースを設定していると想定することはできません。今後も優位を保てる組織とは、AIの利用方法をガバナンスし、今や依存関係にあるAIシステム自体を保護し、人間の速度ではなくマシンの速度で防御を行える組織です」。
デジタルIDをめぐる脅威
生成AIは、大規模に説得力のあるなりすましIDを作り出すことを可能にし、信頼を確立する方法そのものを変えつつあります。かつては聞き慣れた声、ビデオ通話に映る顔、政府発行のID、あるいはライブでの会話が本人確認の妥当な証拠として通用していました。しかし今では、これらのいずれも低コストかつ高い精度で合成できてしまいます。
生成AIによるなりすまし攻撃は、事前録画されたコンテンツの段階から、リアルタイムでのやり取り、そして自律的な運用へと進化を遂げています。ほぼすべての段階がすでに実際の攻撃で確認されているか、犯罪者向けマーケットプレイスを通じて入手可能となっています。唯一目立った例外として残っているのは、自律的かつ対話的な動画のみです。

メディアの種類と成熟度別に見た生成AIによるなりすまし脅威(出典:Check Point)
訓練を受けた観察者であっても、AI生成の顔を正しく識別できたのはわずか約41%にとどまり、一般の人々の場合は約30%にとどまりました。
ソーシャルエンジニアリングは2025年における主要な攻撃手段であり、メールにとどまらず、電話やメッセージアプリ、Microsoft TeamsやSlackといったコラボレーションプラットフォーム、偽のウェブサイト、なりすましによるライブでの接触などを組み合わせた連携型キャンペーンへと拡大しました。
複数チャネルを組み合わせた攻撃は今や標準的な手法となっており、Marks & SpencerやJaguar Land Roverを狙ったScattered Spiderの攻撃、さらにはSalesforce顧客を標的としたShinyHuntersによる電話ベースのキャンペーンなど、大規模な情報漏洩事案において中心的な役割を果たしてきました。FBIは、音声を悪用した詐欺だけで2億5,000万ドル(250 million)以上の被害額が発生していると見積もっています。
企業のAIデータ露出
2025年10月から2026年5月にかけて、生成AIは複数の業務分野にわたって組織の生産性活動に欠かせない存在となりました。この期間中、毎月87%から93%の組織が、少なくとも1件以上の高リスクなAI利用を経験していました。
高リスクなプロンプトの割合が最も高かったのはヨーロッパで、これにラテンアメリカ、北米が続きました。この差がわずかであることは、AIに関連するデータ露出が地域差の少ないグローバルな課題であることを示しています。また、ヨーロッパの事例は、プライバシー規制だけではリスクの高いAI利用を防げないことを裏付けており、一方でラテンアメリカは報告対象期間中に最も急速な増加を記録しました。
高リスクなプロンプトの発生率が最も高かった業種はビジネスサービスで、これに卸売・流通業、通信業が続きました。ビジネスサービスはまた最も急速な伸びも示しており、文書作成やコミュニケーション、顧客対応にAIの活用が広がっていることを反映しています。こうした場面では、追加の文脈情報を共有することで機密情報が露出するリスクが高まります。
AIインフラのセキュリティ確保
専用のLLM環境やAIファクトリー、ハードウェアベースの展開を通じてAIインフラを構築する企業は、ハードウェアワークロード、コンテナ、推論API、LLMエンドポイントにまたがって攻撃対象領域を拡大させています。
AIの攻撃対象領域の中で最も危険な部分は、多くの場合、組織自身の目に見えていない部分です。外部に露出したモデルサーバー、エージェントの管理パネル、推論エンドポイントは攻撃者から絶えず探索の対象とされていますが、多くの組織はこうした資産を把握しきれていないのが実情です。
翻訳元: https://www.helpnetsecurity.com/2026/07/15/check-point-ai-security-report-2026/