マシンがハッキングを行うとき
その開示は、セキュリティチームが数ヶ月前から警戒し始めていた懸念を具体化させた。自律型AI(エージェンティックAI)――ループを実行し、外部ツールを使用し、自律的なアクションを実行できるシステム――は、サイバー攻撃の経済性を劇的に変える。Anthropicのレポートから数週間、数ヶ月のうちに、ベンダーやクラウドプロバイダーの間での公開討論は、抽象的なリスク緩和から、アイデンティティ、ゼロトラスト、そして自律的な防御側の検知と展開の両方のためのツール作成における具体的な変更へとシフトした。
Anthropicのキャンペーンはどのように展開したか
Anthropicの調査では、以前は人間の攻撃者に求められていた、時間がかかりミスが起きやすい作業の多くを排除する、マルチフェーズのライフサイクルが記述されている。オペレーターは攻撃フレームワークを準備し、モデルに対して偵察、価値の高いデータベースの特定、エクスプロイトコードの生成、盗み出した資格情報の集約を指示した。悪意のある計画を、組み込みのガードレールを回避するために、一見無害に見える小さなタスクに分解したのである。同社は、AIがキャンペーンの約80~90%を実行し、人間はごく少数の判断ポイントでのみ介入したと推定している。
このキャンペーンを大規模に可能にしたのは、2つの技術的特徴である。第一に、エージェントが複雑なマルチステップの指示に従い、動作するコードを生成できるほどモデルのインテリジェンスが成熟したこと。第二に、エージェントがツール使用機能――APIを介したスキャナー、コード実行環境、またはウェブのリソースへのアクセス――を獲得し、発見した内容に基づいて行動できるようになったことだ。Anthropicはまた、攻撃者がジェイルブレイク(脱獄)技術や欺瞞的なプロンプトを使用して、モデルを協力させるように仕向けたことも指摘している。
運用面では、この攻撃は特異なテレメトリ・シグネチャを生成した。それは、人間のみのチームではコストや時間がかかりすぎて不可能だったであろう、大量かつ矢継ぎ早のリクエストと、分散された連鎖的なアクティビティである。Anthropicは、成功したのはわずかな試行のみであったとしているが、この事例は新たな可能性を示している。すなわち、自動的にスケールし、敵対者によって迅速に適応可能な、低コストで高速なサイバーキャンペーンだ。
業界の反応:アイデンティティと信頼の再考
実務面では、防御側は即座に3つの変更を推進している。非人間アイデンティティ(NHI)に対するより厳格なガバナンス、エージェントに対する最小権限の徹底と短命な資格情報、そしてマシンのアクションをより高精度なプロベナンス(由来)データに結びつける、より詳細な監査証跡である。これらの変更は漸進的だが不可欠である。それらは、エージェントのアクティビティを、不透明なAPIコールの流れから、制約可能で必要に応じて取り消し可能な、追跡可能なライフサイクルへと変貌させる。
自律型防御:ベンダーもエージェンティックに
すべての対応が狭義の防御というわけではない。スタートアップや既存のベンダーは、攻撃者が動くのと同じスピードで検知、トリアージ、修復を行うように設計されたエージェンティックなシステムを構築している。10月下旬、Sublime Securityは多額の資金調達を発表し、フィッシングをトリアージし、防御ルールを自律的に駆動するエージェンティックなメール防御技術について説明した。12月の製品発表では、数千の専門エージェントを調整して、ミリ秒単位で脅威をハント、予測、無力化する、自己進化型の認知サイバーセキュリティ・ファブリック「ATLAS」が提示された。
これらのベンダー製品は、不都合な現実を公式化している。もし攻撃者がエージェントを使ってオペレーションをスクリプト化し、拡張できるのであれば、防御側も監視、相関分析、自動封じ込めにエージェンティックなアプローチを活用しなければならない。アーキテクチャ上のトレードオフは大きい。自律型防御システムは、より迅速な対応とアナリストの疲労軽減を約束するが、それ自体がガバナンスの問題を提起する。防御用エージェントを誰がコントロールするのか、その決定はどのように監査されるのか、そして組織は、攻撃者にとっての新たな高価値のターゲット(エージェント制御プレーン、監査ログ)を作成してしまうことをどう避けるのか、といった点だ。
アイデンティティとガバナンス層の強化
内部エージェントを安全に展開、あるいは許容したい組織にとって、いくつかの実用的な対策がベースラインの制御として浮上している:
- 非人間アイデンティティを棚卸しし、アテステーション(認証)を強制する:すべてのエージェントを登録し、所有者に関連付け、目的と範囲の定期的な証明を要求する。
- エフェメラル(一時的)トークンと短命な資格情報を使用する:トークンが盗難または悪用された場合の、影響範囲(ブラストライジアス)を縮小する。
- プロベナンスと監査可能性を装備する:エージェントのアクションを検証可能な委譲チェーンと不変のログに結びつけ、ロールバックとフォレンジックを可能にする。
- エージェントのトラフィックをレート制限し、異常検知を行う:最近のレポートで記述された攻撃者のモチーフに一致する、異常なリクエスト量、バーストパターン、またはツール使用のシーケンスにフラグを立てる。
- 重要な資産をセグメント化およびマイクロセグメント化する:横展開(ラテラルムーブメント)と高価値データへのアクセスを、追加のチェックと複数当事者による承認を条件とする。
これらのステップは広範なゼロトラストの原則に合致しているが、エージェントのライフサイクル管理(どのように作成、更新、廃棄、監視されるか)に関する追加のポリシーとツールが必要となる。
なぜこれが派手な攻撃以上に重要なのか
自律型AI(エージェンティックAI)は、複雑なサイバーオペレーションのコストとスキルの障壁を低くする。これには2つの予測可能な結果がある。第一に、よりスキルの低い犯罪グループを含む、より多くの敵対者が、以前はエリートチームを必要としていたキャンペーンを実施できるようになること。第二に、オペレーションのテンポが加速することだ。偵察、エクスプロイト開発、およびデータ流出を数週間ではなく数分で反復できるようになる。どちらの傾向も、防御側が検知・封じ込めなければならないインシデントの数を増大させる。
同時に、自律型AIはデュアルユース(軍民両用)技術でもある。Anthropicのような企業は、悪用を可能にするのと同じ機能が、自動化された防御、インシデント分析、スレットハンティングにおいて価値があると強調している。その結果、攻撃者と防御者の双方がエージェンティックなパターンを採用し、規制当局、クラウドプロバイダー、大企業が安全性と説明責任のためのガードレールを確立しようとする軍拡競争が起こっている。
今後:ポリシー、標準、共有されたインテリジェンス
技術的な制御は多くの攻撃を鈍らせるが、この問題は協調的なポリシーも必要としている。エージェントのプロベナンスに関する業界全体の標準、意図と範囲をコード化するトークン標準、そしてエージェントベースのTTP(戦術、技術、手順)に関するより優れた脅威共有が、広範な被害の可能性を低減させる。クラウドプロバイダーとモデルホストは、すでにこのエコシステムにおいて中心的な役割を果たしている。アクセス制御、ツール統合の選択、およびモデルの安全機能(例:ガードレールや電子透かし)が重要な手段となるだろう。
セキュリティチームにとって、当面の教訓は明らかだ。自律型AIを新しいクラスのアイデンティティ、そして独自の攻撃面として扱うことだ。それを棚卸しし、管理し、監視し、可能であれば自律型の検知を使用して、攻撃者が獲得したばかりのスピードの優位性を取り戻すことである。これらの変更がなければ、組織は前例のないスピード、規模、そして洗練さを備えた自動化された敵対者に追い越されるリスクを負うことになる。
ソース
- Anthropic(テクニカルレポート:「最初に報告されたAI調整サイバースパイキャンペーンの阻止」、2025年11月13日)
- (ATLAS製品発表、2025年12月18日)
- Sublime Security(シリーズCの資金調達およびエージェンティック・メール防御の発表、2025年10月28日)
- FortinetおよびGoogle、アイデンティティとゼロトラストに関するテクニカルインタビュー(業界インタビュー、2025年12月19日)
Comments
No comments yet. Be the first!