AIがAIを攻撃する時代へ—SysdigがLLMエージェントによる自律型侵入を記録、1時間以内にDB漏洩
2026年5月31日 16:06
セキュリティ企業Sysdigは2026年5月10日に観測された侵入事例を公開し、LLM(大規模言語モデル)エージェントが人間のオペレーターなしに、初期侵入からデータベース漏洩まで一連の攻撃を自律的に完遂したと報告した。
CrowdStrikeの2026年版脅威レポートでは攻撃者の平均ブレイクアウト時間(初期侵入から横断移動までの所要時間)が29分に短縮されていることも示されており、人間のスピードを前提とした従来型の防御モデルが構造的に機能しなくなりつつあると、複数の調査機関が指摘している。
防御側でも、AnthropicやOpenAI、Googleなどがそれぞれ自律型AIを活用した防衛プラットフォームを稼働させており、攻守双方でAIが主役となる新たな局面が始まっている。
■「人間は操作者ではなく指揮者になった」——AI対AIの時代を告げる転換点
「サイバーセキュリティ業界はAI対AIの時代に突入した。人間はますます操作者ではなく指揮者の役割を担うようになっている」——セキュリティ企業Seguraのチーフセキュリティエバンジェリスト兼アドバイザリーCISOのJoe Carson氏は、2026年4月に開催されたRSAC Conference 2026においてInformation Security Media Groupにこう語った。
攻撃側でも防御側でも、AIが実際の判断と操作を担い、人間がその目標を設定するという構図への転換が、現実のものになっていることを示す証拠が、2026年5月の第4週に相次いで公表された。
■Sysdigが記録:LLMエージェントによる自律型侵入の詳細(2026年5月10日)
Security Magazineが2026年5月28日に掲載したインタビューで、SysdigのThreat Research部門ディレクターMichael Clark氏が、2026年5月10日に同社が観測した侵入事例の詳細を公開した。
■初期侵入:公開から9時間41分で悪用されたゼロデイ
攻撃の起点となったのは、AI研究者やデータサイエンティストに広く使われているオープンソースのPythonノートブック環境「Marimo」に存在した重大な脆弱性、CVE-2026-39987だ。認証なしにリモートコード実行が可能なこの脆弱性は、公開エンドポイントへWebSocketリクエストを一本送信するだけで完全な対話型シェルを取得できるものだった。Marimoのメンテナーはバージョン0.23.0でパッチを提供しているが、Sysdigの記録によれば、最初の公開開示から9時間41分以内に悪用が確認されており、4月11日から14日の4日間だけで10カ国・11のIPアドレスから662件の攻撃イベントが観測された。
■AIエージェントが指揮:22秒で11拠点に分散して認証情報を使い回す
5月10日の侵入は、それ以前の攻撃波と質的に異なるものだった。Marimoノートブックへの初期アクセス取得後、LLMエージェントが以降の操作を引き継いだ。
エージェントはまず環境ファイルから2つのクラウド認証情報を収集。次いでそれらの認証情報を、Cloudflare WorkersのエッジノードIPプールに分散させて再送信した——12回のAPIコールを11の異なるIPアドレス経由で22秒間に実行し、送信元IPアドレスによる検出を回避しながら、AWS Secrets ManagerからSSH秘密鍵を取得した。その後、下流のバスティオン(踏み台)サーバーに対して8本の並列SSHセッションを開き、内部のPostgreSQLデータベースの全内容を2分以内にダンプした。
一連のチェーン全体が1時間余りで完了した。エージェントは事前にスキーマを知ることなく、6テーブル分のデータベースダンプを即興で実行した。コマンドストリームには中国語のコメント「看还能做什么」(「他に何ができるか見てみよう」)が残されていたが、Clark氏によれば、これはLLMの学習データに起因するアーティファクトと整合するものであり、国家帰属を示すものではない(発信元IPはインドネシアにトレースされている)。すべてのコマンドは機械処理向けにフォーマットされており、区切り文字や出力バッファの制限、標準エラー出力の破棄が施されていた。エージェントは各ステップで直前の自分の出力を入力として引き継ぎ、直前に読み取ったファイルからデータベースのパスワードを、直前に実行したディレクトリ一覧からSSH鍵のパスを抽出していた。
Clark氏はSecurity Magazineに次のように語った。「この攻撃は、LLMが脅威アクターに対して、単純な機会主義的攻撃に留まらない、複雑な一連の操作を可能にしていることを示している。かつては高度なスキルを持つオペレーターを必要とした洗練された侵入ワークフローが、AIによって加速し、場合によってはAIが主導できるようになっており、参入障壁が大幅に下がり、潜在的な攻撃者の裾野が広がっている」
障壁はもはや専門的スキルではなく、推論に使える計算リソースの量だ。スクリプトを使った攻撃者はプレイブック(攻撃手順書)を一度書いてそれを使い回す。新たなターゲットへの対応コストは開発工数だ。一方でエージェントは、対象アプリケーションのクラスに関する汎用的な知識を持ち込み、直面した環境に応じて攻撃チェーンをその場で組み立てる。スケールは今後、スキルではなく計算コストによって制限される。
■人間のスピードでは追いつかない理由
Sysdigの侵入事例は孤立した事象ではない。主要な脅威インテリジェンス機関が数カ月前から確認してきた構造的変化を、最も精密に記録した事例だ。
CrowdStrikeの「2026年グローバル脅威レポート」によると、2025年のAI活用型攻撃者活動は前年比89%増加した。攻撃者の平均ブレイクアウト時間(初期侵入から横断移動までの所要時間)は62分から29分に短縮され、記録上最速のブレイクアウトは27秒で完了した。検知された攻撃の82%は従来型マルウェアを使用しておらず、有効な認証情報・正規の管理ツール・商用リモートアクセスツールを使ってノーマルな業務活動に紛れ込むことで、シグネチャベースの検知をすり抜けていた。
この「82%がマルウェアなし」という数字こそが、人間のスピードで動くシグネチャベースのセキュリティがすでに機能不全に陥っている核心だ。シグネチャは既知のパターンを検知する。エージェントはターゲットごとに新たなパターンを生成する。
AnthropicがProject Glasswingを立ち上げた際、CrowdStrikeのCTOであるElia Zaitsev氏はこう語った。「脆弱性が発見されてから攻撃者に悪用されるまでの時間は崩壊した——かつては数カ月を要していたものが、AIによって今では数分で起きる」
■防御側AIの現状:何が稼働しているか
攻防の非対称性は一方的ではない。防御側もAIを構築しており、すでに注目すべき成果が出ている。ただし防御AIの展開は不均一であり、多くの組織にとって、先行した脅威にまだ追いついていない状況だ。
■Anthropic:Project GlasswingとClaude Mythos Preview
現時点で最も集中的な防御AI展開は、AnthropicのProject Glasswingだ。AWS、Apple、Cisco、Google、JPMorganChase、Microsoft、NVIDIA、CrowdStrike、Cloudflare、Palo Alto Networksなど約50の審査済みパートナー組織に対し、Anthropicの最先端モデル「Claude Mythos Preview」への制限的なアクセスを提供している。このモデルは、大規模悪用を防ぐのに十分な安全策がまだ整っていないとして、一般公開が見送られているものだ。
2026年5月22日に公開された最初の1カ月の成果は、防御AIがすでにどこまで進んでいるかを示す最も明確な指標となっている。Mythos Previewは1,000以上のオープンソースプロジェクトで2万3,019件の潜在的な脆弱性にフラグを立て、うち6,202件が高・重大度と推定された。独立したセキュリティ企業が1,726件を有効なTrue Positiveとして確認し、97件がアップストリームでパッチが適用され、88件のアドバイザリが発行された。
Cloudflareは自社システムで2,000件のバグを発見(うち高・重大度が400件)し、そのFalse Positive率は従来の人手主導のテストを下回ったとされる。MozillaはFirefox 150において271件の脆弱性を発見・修正したが、これは以前のClaudeモデルを使った場合の10倍に相当する。
発見された脆弱性の一つ、WolfSSLのCVE-2026-5194(CVSSスコア9.1)は、攻撃者がTLS証明書を偽造し、推定50億台のIoT・自動車・産業制御機器にわたる正規の銀行・メール・その他のサービスを詐称することを可能にするものだった。これは攻撃者が発見する前にAIが特定したものだ。また、Glasswingに参加しているある銀行はMythosを使って、実行中の不正送金(150万ドル=約2億2,500万円、1ドル=150円換算)をブロックした。
自律型オフェンシブセキュリティプラットフォームのXBOWは、Mythos Previewを独自に評価し、「主要な前進——脆弱性候補の発見において従来モデルを大幅に上回る」「セキュリティの観点でソースコードを分析することに長けている」と評し、トークン当たりの精度において「前例のない水準」と述べた。
■OpenAI:Daybreak
2026年5月10日——Sysdigの観測が行われていたまさにその日——OpenAIはDaybreakを正式公開した。GPT-5.5およびGPT-5.5-CyberとCodex Securityエージェントフレームワークを組み合わせ、脆弱性発見・パッチ検証・自動修復を開発者のパイプラインに直接組み込むものだ。最高ランクのGPT-5.5-Cyberは、OpenAIの「Trusted Access for Cyberプログラム」を通じた本人確認を完了した防御者のみが利用できる。5月27日にはGovernment Trusted Access for Cyberイニシアチブを通じて、韓国と日本がアクセス対象国に追加された(米国・カナダに続く3番目・4番目の国)。
■Google:Big SleepとCodeMender
Googleの「Big Sleep」エージェント(Google DeepMindとProject Zeroの共同プロジェクト)は、2025年半ばに前例のない成果を記録した。脅威アクターにすでに知られており、悪用が準備されていたSQLiteのライブゼロデイ脆弱性(CVE-2025-6965)を、一件の攻撃も発生する前に特定したのだ。Googleはこれを、AIエージェントがライブのゼロデイ悪用を直接防止した初の事例として確認した。さらに同社は実験的エージェント「CodeMender」もテスト中で、Geminiの推論能力を使って重大なコード脆弱性を悪用前に自動的にパッチする——発見に留まらず自律的な修復に踏み込む——ことを目指している。
■Microsoft:Security Copilot
RSAC 2026にてMicrosoftは、Security Copilotを本格的なエージェント型SOC(セキュリティオペレーションセンター)プラットフォームに拡張すると発表した。「Security Alert Triage Agent」は人間アナリストのみの場合と比較して6.5倍の速度で悪意あるアラートを自律的に特定する。「Security Analyst Agent」はDefenderとSentinelのテレメトリをまたいだ多段階調査を実行する。Microsoftは、自律型AIによる攻撃が不均衡な優位を得る5つの次元——パッチ適用速度・オープンソースソフトウェアの露出・顧客ソースコードのレビュー・インターネット向け攻撃面・セキュリティ基本衛生——を特定し、それぞれを対象とするエージェント型ツールを構築した。
■CrowdStrike Charlotte AI + IBM ATOM
CrowdStrikeとIBMは、Charlotte AIとIBMの「Autonomous Threat Operations Machine(ATOM)」を統合し、エンドポイント・アイデンティティ・クラウド環境にわたる機械速度での調査・封じ込めを可能にした。これは29分という攻撃者のブレイクアウト時間と、従来の人間チームが検知・封じ込めに要してきた数時間から数日のギャップを縮めることを目的としている。
■検知アーキテクチャが変わる:何を見るべきか
Sysdigの攻撃事例の示唆は、Marimoへのパッチ適用に留まらない(ただし、Marimo 0.20.4以前のバージョンをまだ稼働させている組織は、直ちに0.23.0への更新と、その環境からアクセス可能だったすべての認証情報・APIキー・SSH鍵のローテーションが必要だ。CVE-2026-39987はCISAのKnown Exploited Vulnerabilities(既知悪用脆弱性)カタログに掲載されており、連邦機関向け修正期限は既に過ぎている)。
より本質的な示唆は、検知の仕組みを再構築しなければならないという点にある。エージェントはターゲットごとにパターンを再利用しないため、シグネチャベースの検知は急速に機能低下する。一定のUser-Agentも、固定されたコマンド順序も、同一のプローブシーケンスも、予測可能なタイミングもない。この変化に耐えられるのは、「攻撃者が何をしようとしているか」——認証情報の読み取り、シークレットの列挙、バスティオンへのエスカレーション、データベースの漏洩——に着目した振る舞い検知だ。Palo Alto NetworksのUnit 42は、2026年5月発行のFrontier AI Defense更新版においてこの点を明示している。自律型AIによる攻撃には自律型AIによる検知が必要であり、SOCは一桁分の平均検知・対応時間(MTTR)で運用しなければならない、と。
攻防の競争はもう一つの領域にも広がっている。AI開発のサプライチェーン自体だ。GoogleのThreat Intelligence Groupは5月、脅威アクターがフロンティアモデルへの直接侵害(これは比較的堅牢であることが証明されている)ではなく、その周辺のオーケストレーション層——オープンソースのラッパーライブラリ、APIコネクター、スキル設定ファイル——を標的にするケースが増えていると報告した。AI開発が生み出す攻撃面は、それ自体が攻撃ベクターになっている。
Gartnerは下流リスクを数値化している。AIが生成したコードによるソフトウェア欠陥は2028年までに2,500%増加すると予測する。組織は、熱心なAI支援開発の1年間で、従来の約10年分の技術的負債——未レビューのコード、未監査の依存関係、未検証のインテグレーション——を生み出しており、それは同時に、AI攻撃者がスキャンする表面であり、防御側AIが先に発見しなければならない負債でもある。
■セキュリティリーダーが今すべきこと
AI対AIへの移行は選択事項でも将来の状態でもない。インターネットに接続されたすべての組織の現在の状況だ。
第一の優先事項は認識の転換:人間のスピードのインシデント対応モデルを主要フレームワークとして捨てること。「数日でパッチ、数週間で調査」は、1時間以内に初期侵入からデータベース漏洩まで進む敵対者に対して設計されていない。セキュリティプログラム内のあらゆる対応SLAを、四半期パッチサイクルではなく、29分のブレイクアウト基準に対して再評価する必要がある。
第二の優先事項はアーキテクチャ:既知マルウェアのシグネチャではなく、エージェントパターンを捉える振る舞い検知を展開すること。機械処理向けにフォーマットされたコマンドストリーム、分散IPからの並列セッション開始、適応的なスキーマ列挙、自己参照的な値の受け渡し——これらがLLMエージェント侵入のフィンガープリントだ。その技術的詳細はSysdigのレポートに正確に記録されている。
第三の優先事項は攻撃面の削減:インターネットに到達可能な開発ツール・ノートブックサーバー・研究環境・AIパイプラインのあらゆるコンポーネントを、本番グレードの攻撃面として扱うこと。Marimoへの攻撃は異常ではなかった。クラウド認証情報へのネットワークアクセスを持っていた研究環境の必然的な帰結だった。そのような環境は、パッチが当たっておらず監視もされていなければ、エージェントにとって1時間以内に利用できる踏み台となる。
第四の優先事項はツール選択:AIクラスの防御ツールを評価・導入すること。Glasswingの初期結果は、フロンティアAIを用いた脆弱性発見の速度が従来の人手主導の手法の10倍であることを示している。この格差は双方向に機能する。同等の能力にアクセスできる攻撃者は、パッチが当たっていないものを見つける。同等の能力を持たない防御者は、攻撃者の動きより遅くパッチを適用することになる。そのギャップはすでに測定可能であり、広がりつつある。
2026年5月10日のMarimo侵入事例は、一つの脆弱性への警告ではない。セキュリティ専門家が理論的に議論してきたパラダイムシフトが、すでに実際の運用上で起きたことの証明だ。すべてのCISOとセキュリティチームにとっての問いは、AI対AIのサイバーセキュリティが来るかどうかではない。自分たちの防御がすでにそれに対応して構築されているかどうかだ。
【注目ポイントQ&A】
●サイバーセキュリティにおける「AI対AI」とは何か、なぜ今重要なのか
AI対AIとは、攻撃者と防御者の双方が、スクリプトやツールを使う人間オペレーターに依存するのではなく、自律型AIエージェントを展開するという、新たなパラダイムを指す。今重要なのは、2026年5月10日にSysdigが記録した攻撃事例が、LLMエージェントが人間による個別指示なしに侵入後の一連の攻撃チェーンを自律的に実行できることを、初めて公開報告された形で証明したからだ。CrowdStrikeの2026年レポートが示す平均ブレイクアウト時間29分とAI活用型攻撃の89%増という数字と合わせると、人間のスピードの防御が構造的に劣位に置かれているという証拠は、もはや理論的なものではない。
●AIエージェントは今日のサイバー攻撃にどう使われているか
AIエージェントは自律型の侵入後オペレーターとして使われている。各コマンドの出力を受け取り、リアルタイムで次のアクションを決定し、予期しない結果(未知のスキーマ、存在しないファイル、認証失敗)に適応する。Sysdigが記録した侵入では、LLMエージェントが認証情報の収集、AWS Secrets Managerを経由したピボット、並列SSHセッションの開始、1時間以内のデータベース漏洩を、ループ内に人間を介さずに実行した。CrowdStrikeはまた、AI生成マルウェア(FANCY BEARのLAMEHUG)、AI加速型の認証情報ダンプ(PUNK SPIDER)、AIを使ったスケールアップされたインサイダー採用工作(FAMOUS CHOLLIMA)も記録している。
●防御側はAI主導の攻撃に対してどんなAIツールを使っているか
主要な防御AI展開としては、Project GlasswingによるAnthropicのClaude Mythos Preview(約50の審査済みパートナーに制限されており、最初の1カ月で1,000以上のプロジェクトにわたり高・重大度脆弱性6,202件を発見)、OpenAIのDaybreakプラットフォーム(脆弱性トリアージ・レッドチーム・パッチ検証向けにGPT-5.5-Cyberを提供)、ライブゼロデイ悪用を予防的に停止させ自律パッチも試験中のGoogleのBig SleepおよびCodeMender、悪意あるアラートを人間アナリスト単独の6.5倍の速度で特定するMicrosoftのSecurity Copilot、そしてCrowdStrikeのCharlotte AIとIBMの自律型SOCプラットフォームを統合した機械速度での検知・封じ込めが挙げられる。
●AI攻撃者と人間防御者の速度差はどれほどか、自組織への影響は
CrowdStrikeの2026年グローバル脅威レポートは、eCrime攻撃者の平均ブレイクアウト時間を29分(前年の62分から短縮)と記録し、最速の侵害事例は27秒で完了した。Sysdigが記録したAIエージェント侵入は初期侵入からデータベース漏洩まで1時間以内で完了した。一方、IBMの2026年データ漏洩コストレポートによると、インシデントの平均ライフサイクルは依然として200日超だという(要確認メモ参照)。実際的な示唆は明確だ。人間のスピードの調査・修復タイムラインを前提に構築された対応SLAは、このタイプの脅威に対してキャリブレーションが合っていない。現在の検知・対応スタックが機械速度で動作できるか、そうでなければAIクラスの防御ツールがそのギャップを埋められるかを評価する必要がある。