サイバーインサイト 2026：AI時代のマルウェアとサイバー攻撃

2026年以降の最大の要点は、AI、そしてとりわけエージェント型AIの到来と、その効果的利用が加速度的に進むことで、攻撃シナリオが革命的に変わるという点です。唯一の疑問は、それがどれほど速いかです。

Armisで脅威インテリジェンス責任者を務めるMichael Freemanは次のように予測しています。「2026年半ばまでに、完全自律のエージェント型AIシステムによって引き起こされた、あるいは大きく促進された侵害により、少なくとも1社の主要なグローバル企業が被害を受けるだろう。」

彼は続けて、これらのシステムは「強化学習とマルチエージェント協調を用いて、偵察やペイロード生成から、ラテラルムーブメント、データ持ち出しに至るまで、攻撃ライフサイクル全体を自律的に計画・適応・実行する。リアルタイムのフィードバックに基づいて継続的に手法を調整する。単一のオペレーターが、エージェントの群れを標的に向けて指し示すだけでよくなる」と述べています。

英国NCSCはやや慎重です。「完全自動化されたエンドツーエンドの高度なサイバー攻撃が[2027年より前に]実現する可能性は低い。熟練したサイバー攻撃者がループ内に残る必要がある。しかし熟練したサイバー攻撃者は、攻撃チェーンの要素の自動化をほぼ確実に試し続けるだろう…」

どちらの見解も正しい可能性があります。今後数年でAIの敵対的利用がどう展開するかは、まだ分かっていません。分かっているのは、人工知能に支援され、攻撃が量・速度・標的化の面で増大するということです。

マルウェア、悪意ある攻撃、そしてAI

影響

攻撃チェーンのほぼあらゆる区間はAIで自動化できます。例として、攻撃者が新たに公開されたパッチをリバースエンジニアリングし、脆弱性のエクスプロイトを開発し、どの企業が脆弱かを突き止めるまでの速度が挙げられます。これは平均的な企業がパッチ適用を開始するよりも、ほぼ確実に早いでしょう。

2つ目の例は、従来のスプレー・アンド・プレイ（ばらまき）攻撃の規模で、精密に標的化された攻撃を配信できることです。RapidFortのCEOであるMehran Farimaniは、「マルウェアははるかに標的化され、個人的なものになっている。攻撃者は大量の『スプレー・アンド・プレイ』戦術から離れ、特定の個人、組織、またはシステムに焦点を当てている」と述べています。 

彼は続けて、「ソーシャルメディア、侵害、オンライン行動から収集したデータを用いることで、正当なものに見える攻撃を作り込み、非常に特定の脆弱性を突くことができる。将来のマルウェアはより賢く、よりステルスになるだろう。防御に適応し、ユーザーの習慣から学び、通常の活動に溶け込む」と述べています。 

PromonのCPTOであるShaun Cooneyは、「『スプレー・アンド・プレイ』は忘れよう。これは狙撃銃での大量標的化に近い」と付け加えます。

DryRun SecurityのCEOであるJames Wickettは、AI利用の低コストが精密標的化の進展を後押しすると付け加えます。「経済性が逆転した」と彼は言います。「脆弱性発見からエクスプロイトに至るまでのコストは、以前は数週間と数千ドルが必要だった。今やほぼゼロだ。だから大量の『スプレー・アンド・プレイ』キャンペーンではなく、単一のシステム、単一の企業、場合によっては単一の開発者向けに作られたマイクロ標的型攻撃が増えるだろう。」

3つ目の例は、AIに関するメディアの見出しとなりがちな脅威、すなわち脆弱性検出、エクスプロイト生成、マルウェアペイロード配信、データ持ち出しまで、攻撃ライフサイクル全体の自動化です。AppOmniのCSOであるCory Michalは、これを「vibe-hacking（バイブ・ハッキング）」の台頭と呼びます。「私たちは、攻撃者がAIを使ってデータ抽出コード、偵察スクリプト、さらには防御に適応する中間者攻撃（adversary-in-the-middle）ツールキットまで自動生成しているのを観測している。彼らは本質的に、生成AIを使って本物らしい振る舞いをより巧妙に模倣し、ソーシャルエンジニアリングの誘い文句を洗練し、侵入と悪用の技術的側面を加速する『vibe-hacking』を行っている。」

これらの要素がエージェント型AIのオーケストレーションの下で連鎖できるようになれば、ワンクリックの完全自動攻撃に一歩近づきます。

SentinelOneで脅威発見・対応担当SVPを務めるSteve Stoneは、「LLM対応マルウェアは、すでに概念実証から実運用へ移行している」と述べます。「私たちが発見したMalTerminal（実行時にランサムウェアやリバースシェルのコードを生成できる、最も早期に確認されたGPT4駆動のマルウェア）に加え、ESETのPromptLockサンプル、そしてLameHugやPromptStealのような新たなキャンペーンは、攻撃者がAIを試しながら、多形性で自己進化するペイロードを作り出そうとしていることを示している。」

彼は続けて、「これらのツールはコードと会話の境界を曖昧にし、悪意あるロジックを動的に生成して従来のシグネチャを回避できるようにする」と述べています。 

AIエージェントはすでに各段階を準備でき、エージェント型AIはそれらをワンクリックの背後で連結する“接着剤”になります。まだそこまで到達していませんが、可能性は存在し、その未来は間違いなく訪れるでしょう。 

ランサムウェア

恐喝は、その成功ゆえに悪意ある攻撃の主要目的であり続けるでしょう。FinCENによれば、2022年から2024年の3年間で身代金として21億ドルが支払われました。2023年は11億ドル（過去最高）に達しましたが、2024年には7億3400万ドルへと減少しました。

2年ではトレンドとは言い難いものの、多くの論者は、身代金支払いへの圧力強化とサイバー防御の改善により、ランサムウェアは徐々に成功しにくくなっていると考えています。直感に反して、もしそれが事実なら、この「トレンド」はAIの台頭によって、反転するのではなくむしろ強まる可能性があります。

GuidePoint Securityで脅威インテリジェンス担当マネージング・セキュリティ・コンサルタントを務めるJason Bakerは説明します。「AI生成のランサムウェア、あるいは恐喝に使われる他のマルウェアは、利用者にとって問題をもたらす。つまり、彼らはそれがどう動くのか、問題をどう切り分け、どうトラブルシュートやデバッグをするのかを十分に理解できない可能性が高い。」

彼は続けて、恐喝者の立場を想像してみてほしいと言います。「被害者が支払ったのに、AI生成の復号ツールが動かない。どう直す？ 直す動機はあるのか？ そして、あなたが自分のやった損害を元に戻せないと知れ渡ったら、人々はいつまで身代金を払い続けるのか？」

DDoSの復活？

DDoSはランサムウェアの成功によって減少しましたが、ランサムウェアが衰退すれば復活するかもしれません。ThalesのアプリケーションセキュリティCTOであるDavid Holmesは警告します。「攻撃者は最も古く、最も破壊的なツールの一つに回帰している。サービス妨害攻撃だ。2026年にはDDoS活動が記録的に再燃するだろう。史上最大のボリュメトリック攻撃、そして史上最高の毎秒リクエスト数が観測される。」

彼は、Impervaのネットワークですでに初期兆候が見えていると指摘します。これまで見たどの攻撃よりも50%大きい攻撃が発生しているのです。

「脅威アクターにとって作戦は単純だ。暗号化で恐喝できないなら、代わりにオフラインにする。ここ数年ランサムウェア対策の強化に注力してきた組織は、再び外向きに目を向け、クラウドベースのDDoS防御と適応型の緩和策を強化して次の波に耐えなければならない。攻撃者は消えたのではない。戦術を変えただけだ。そして2026年、彼らは轟音とともに戻ってくる。」 

AIは、これらのDDoS攻撃を可能にし、その効率を高める上で大きな役割を果たすでしょう。

ノー・マルウェアという代替案

ノー・マルウェアという代替案は完全にノー・マルウェアではありませんが、マルウェアはサードパーティのインフォスティーラーに限定されます。

Flashpointのアナリストチームは、「2026年に向けたマルウェアの決定的な変化は、攻撃チェーン全体がインフォスティーラーを中心に統合されることだ。インフォスティーラーは侵入口となり、データブローカーとなり、偵察レイヤーとなり、その後に続くあらゆるものの燃料となっている」と示唆し、2025年上半期にインフォスティーラーによって18億件の認証情報が盗まれたと指摘しています。

チームは続けて、「AI生成マルウェアは見出しになるだろうが、インフォスティーラーがすでに最も難しい部分――初期侵害を大規模に自動化すること――を担っている以上、脅威アクターに完全自律マルウェアは不要だ」と述べます。これらのスティーラーは、もはやパスワードだけを集めるのではありません。セッションCookie、アクセストークン、ホストのメタデータ、ブラウザプロファイルなども収集します。攻撃者は被害者の身元をそのまま引き継げます。

標的ネットワークに侵入した後、熟練した攻撃者は、マルウェアを一切使わずに、データ持ち出しまで実質的に不可視な形でLiving off the Land（LotL）を行えます。

このシナリオは、SafeBreachのシニア・セールス・エンジニアであるAdrian Culleyも支持します。「侵入の好まれる手法は、アイデンティティ主導のマルウェアレス侵入へと普遍的に移行している」と彼は言います。「LotLのTTPに焦点を当てることで、侵入は通常のネットワーク活動に溶け込める。」

インフォスティーラーは容易なアクセスを提供し、LotLはマルウェアを必要とせずにステルスなデータ収集と持ち出しを可能にします。恐喝は依然として優先動機であり得ますが、Barracuda Networksのプリンシパル・コンサルティング・アーキテクト（XDR）であるYaz Bekkarは、「『復号のために払え』ではなく、『漏えいを止めるために払え』と考えるべきだ」と示唆します。

新たな犯罪エコシステム

ハッカーの階層

人工知能の潜在力を最大限に引き出すための即時の技術力を持つのは、高度な組織犯罪グループと国家主体アクターに限られるでしょう。しかしAIは、新規参入者や未熟なハッカーにとっての参入障壁を取り除きつつあります。その結果、将来の悪意あるアクターは、エリート国家主体、組織犯罪、そして急速に拡大するスクリプトキディという3つの明確な階層に分かれるでしょう。 

Bekkarは説明します。「犯罪エコシステムは変わる。AIがあれば、深いスキルではなくアイデアが必要になる。参入障壁がさらに下がるにつれ、低スキルのアクターがより危険になり、その速度も増す。同時に、支配的なギャングが消えることはない。代わりに彼らは『プラットフォーム』やアフィリエイト・プログラムを運営し、AI駆動のキットを貸し出すようになる。」

Farimaniは、「参入障壁が崩壊し、アマチュア攻撃者の到達範囲がはるかに広がった」と述べます。短期的な影響としては、既存のサイバー犯罪ギャングや国家主体アクターによる、より効率的でより精密に標的化された攻撃が増える一方、スクリプトキディによる洗練度の低い攻撃が大幅に増加するでしょう。

スクリプトキディの波がもたらす全体的影響は不明です。Bakerは、「知識の障壁が下がれば攻撃量は増えるが、必ずしも高度化するわけではない。防御の堅い組織は、洗練されていない攻撃の大半を引き続きふるい落とせるだろう」と示唆します。

しかし、PwCのサイバー＆リスク・イノベーション・インスティテュートのリーダーであるMatt Gorhamは警告します。「これらの個人は、資源や情報収集の面で国家に匹敵しないかもしれないが、高インパクトの攻撃を仕掛ける前例のない力を持つようになる。この能力の民主化により、脅威の総量と多様性は大幅に増えるだろう。」

Flashpointのアナリストチームは、「スクリプトキディが国家のように活動できるか？ 能力という意味では無理だ。しかしスティーラーログがターンキーのアクセスを提供することで、彼らが引き起こせる被害は不気味なほど似て見え始める」と付け加えます。

Immersiveのテクニカル・プロダクト・マネジメント・ディレクターであるDave Spencerは、「来年、サイバー攻撃は国家主体の攻撃と同じくらい破壊的になるだろう」と述べます。「犯罪者は害を与えるのに高度である必要はない。Scattered Spiderを見てみろ――ティーンエイジャーがヘルプデスクに電話してパスワードをリセットさせる。高度ではない。」しかし、それは確かに効果的でした。

DryRunのWickettは、「AIが一夜にして誰もがハッカーになるわけではないが、スクリプトキディと新しい特注型APTの間のギャップを縮める」と述べます。

ZeroFoxのインテリジェンス担当VPであるAdam Darrahは続けます。「技術が高度な能力へのアクセスを民主化し続けるにつれ、そのギャップはさらに狭まっていく。結果として、アクターの母集団が大きくなり、ノイズが増え、全体としてリスクが高まる。」スクリプトキディは、より優れたスクリプトキディになるのです。

犯罪の地下世界

1つの疑問が残ります。活発なハッキング世界で起きている激変は、犯罪の地下世界のマーケットプレイスを作り替えるのでしょうか。 

Wickettは、「大金は盗まれたアイデンティティから、盗まれたコードや企業秘密へ移るだろう――AIシステムが直接武器化したり学習したりできるものだ」と示唆します。「生のマルウェアを売るのではなく、人々は特定用途向けのツールチェーンを売るようになる。事前構築された偵察スクリプト、AI駆動のエクスプロイト・ビルダー、特定業界向けのアクセス・キットなどだ。 次の地下マーケットは、RaaS（Ransomware-as-a-Service）のフォーラムのようにはならない。悪意あるアクター向けのGitHubのようになるだろう。」

Ulster Universityのサイバーセキュリティ教授でIEEEシニアメンバーのKevin Curranも同意します。「自動化は仲介者を混乱させるかもしれないが、特化型AIマルウェア、ゼロデイのコモディティ化、特注の持ち出しサービスといった新たな市場も生み出す。企業IPがより収益性が高く、かつ収益化しやすくなるにつれ、市場はアイデンティティデータと並んで高価値の企業IPや企業秘密へとシフトする可能性が高い。」

Kiteworksで欧州事業のVP兼GMを務めるDario Perfettibileは、地下世界のマーケットプレイスもAI駆動の精密標的化へのシフトに追随すると示唆します。「この変革は、盗まれた認証情報を大量に扱うダークウェブ市場を弱体化させる一方で、特定のデータ交換プラットフォームへの厳選されたアクセスに対する需要を高めるだろう。何百万もの侵害アカウントを売るのではなく、犯罪者は価値あるIP、独自アルゴリズム、競合情報を扱う交換基盤への標的化されたアクセスを仲介するようになる。」

GuidePoint SecurityのBakerは、地下世界の提供物と地上のオペレーションの間に同様の関係を見ています。AI生成マルウェアのトラブルシュート能力をハッカーが懸念するという彼の見立てに触れつつ、「信頼でき、修正可能なマルウェアへの需要はおそらく残るが、顧客基盤はより集中または限定されるかもしれない」と示唆します。「MaaS（Malware-as-a-Service）は依然として収益性の高いビジネスモデルであり、侵入を直接実行するよりも法執行機関の注目を集めにくいと見なされる可能性がある。」

スクリプトキディの増加が見込まれる中、自前でマルウェアを開発する専門性を持たない者が増えるため、MaaS需要はむしろ増える可能性すらあります。

また、ハッカーのAI移行を反映する形で、Barracuda NetworksのBekkarは次のように示唆します。「AIはコモディティ・マルウェアを実質的に無料同然のものに変える。価値が、いまや本当に希少なもの――高品質な初期アクセス、検証済みの企業データ、特注エクスプロイト、そして何より盗まれた知的財産――へと移るにつれ、基本的なキットや汎用アクセスを売り込むブローカーの重要性は低下する。」 

Aikido Securityのセキュリティ研究者であるCharlie Eriksenは縮小を見ています。「大規模なデータブローカーは、盗まれたデータやアクセスの特定タイプを取引する小規模グループへと置き換わりつつある。私たちは、盗まれた公開（パブリッシング）認証情報から始まった複数の主要サプライチェーン侵害でこのパターンを見てきた。市場は盗まれたアイデンティティの取引から、盗まれた信頼の取引へと移行しており、リスクの多くはそこにある。」

Flashpointのアナリストチームは「信頼」要素には同意しますが、必ずしも縮小とは限らないと見ています。「従来のアクセスブローカーを弱体化させるのではなく、インフォスティーラーは彼らを変容させている。RDPやVPNアクセスを手作業で売るのではなく、ブローカーはメタデータで強化されたアイデンティティ・プロファイルを大量に流通させるようになった。デバイス仕様、ジオロケーション、企業ドメイン、セッショントークン、ホスト指紋などだ。」

インフォスティーラーの巨大で拡大する成功に支えられ、「市場は盗まれた認証情報から、確度の高いなりすましを可能にする完全なデジタル・アイデンティティへと移行している。攻撃者が感染端末から開発者ツール、ブラウザに保存されたシークレット、クラウドアプリの認証情報を直接スクレイピングしているため、盗まれたIP、ソースコード、独自データはスティーラーログでより一般的になっている。ダークウェブ市場は、アイデンティティ基盤のサプライチェーンのような様相を帯び始めている。」

地下世界のマーケットプレイスは必然的に地上のハッカー需要に追随しますが、両者はいま流動状態にあります。

AI攻撃時代のサイバーセキュリティ防御

CyXcelのシニア・マネジメント・コンサルタントであるJim Salterは、英国NCSCのコメントを引き合いに出します。「サイバー犯罪者はセクターではなく脆弱性を狙う。したがってデジタル資産を持つあらゆる組織が潜在的な標的である。」

彼は次のように述べます。「あらゆる規模の企業でデジタル基盤への依存が高まるにつれ、サイバー犯罪者が脆弱性を悪用する機会も増える。」潜在的脆弱性の発生も、vibe codingの急速な導入によって増加しています。

GitLabでプロダクトセキュリティ担当VPを務めるJulie Davilaはさらに踏み込みます。「来年は、敵対的エージェントがますます複雑な攻撃を実行するための障壁を下げることで、セキュリティリスクの津波が押し寄せる。言い換えれば、エージェントはシステム内のあらゆる脆弱性を悪用することをはるかに容易にする。すべての脆弱性に対する『悪用されやすさのレバー』が引き上げられたのだ。」

彼女は付け加えます。「効率的なパッチ管理を含む基礎的なセキュリティ衛生を優先してきた組織は、防御の備えがより整い、ソフトウェア環境およびソフトウェアサプライチェーン全体にわたる既存リスクを最小化できるだろう。」

これはCiscoやSplunkのような企業が唱える「サイバー野菜を食べよう」という勧めです。野菜を食べるのは退屈ですが健康に不可欠です。サイバー野菜とは、サイバー衛生の基本――パッチ適用、フィッシング耐性のあるMFA、最小権限、セグメンテーション、バックアップなど――のことです。 

Cisco Foundation AIのグローバル・セキュリティ・アドバイザーであるMick Baccioは次のように述べます。「セキュリティの構成要素、つまりサイバー野菜は昔からある。これをやらなければ悪いことが起きる。AIやソフトウェア開発のような領域にも非常に当てはまる。もちろん銀の弾丸はないが、アカウント乗っ取り、ラテラルムーブメント、本来存在すべきでない脆弱性といった問題の膨大な部分を解決するだろう。」

AIの悪意ある側面を生き延びたいなら、サイバー野菜から始めることが不可欠です。しかし、実際に銀の弾丸は存在しないため、その上に追加のセキュリティ層を重ねる必要があります。

AppOmniのMichalは次のように述べます。「AI対応マルウェアはコードを変異させるため、従来のシグネチャベース検知は無効になる。防御側には、見た目ではなく“何をするか”に焦点を当てる振る舞いベースのEDRが必要だ。検知は、異常なプロセス生成、スクリプト活動、予期しない外向き通信――特にGemini、Hugging Face、OpenAIのようなAI APIへの通信――に着目すべきだ。」

彼は続けて、「エンドポイント、SaaS、アイデンティティのテレメトリにまたがる振る舞いシグナルを相関させることで、組織は攻撃者がAIを悪用している兆候を捉え、データが持ち出される前に阻止できる」と述べます。

RapidFortのFarimaniは強調します。「攻撃側はすでに自動化されているのだから、セキュリティチームの焦点は、露出の最小化と修復までの時間短縮へと移らなければならない。」

要するに、「2026年のサイバー・レジリエンスは、相手を“遮断し続ける”だけでなく、“学習で上回る”ことにかかっている」とSplunkのフィールドCTOでWEFフェローのKirsty Paineは説明します。

「2026年には、検知回避のためにリアルタイムで自律的に適応できるAI対応マルウェアの台頭が見られるだろう。BlackMambaのような研究上の概念実証からすでに兆候はあったが、来年は、人間のオペレーターがキーボードに触れることなく、環境シグナルに基づいて学習し、溶け込み、振る舞いを変更するAI対応マルウェアが、より複雑な攻撃で展開されることが期待される。この変化は、David Biancoの『Pyramid of Pain』の重要性を強める。敵がピラミッド下層の静的アーティファクトへの依存を減らすにつれ、防御側はより上位へ移り、攻撃者のツール、振る舞い、TTPを能動的に妨害することに注力しなければならない。」

最後に

2026年以降、組織はサイバーセキュリティの重要性をいっそう強化する必要があります。人工知能が新たな脅威を発明するというより、これまで以上にステルスに、はるかに速く、そしてはるかに大量に脆弱性を見つけて悪用するようになるのです。

私たちは基本に集中する必要があります。サイバー野菜を食べなければならない。そしてその上に、追加のセキュリティ層を重ねなければならない。攻撃者のAI利用を検知してブロックするために自分たちのAIを使う必要がある。同時に、私たち自身も把握していないかもしれないエージェント型AIのAPIを乗っ取って、彼らが私たちのシステムを逆用できないようにしなければならない。

簡単ではないが、生き残り、繁栄したいのなら、やり遂げなければならない。