AIサイバー攻撃の脅威評価｜物差しの変化と防御の実務対策

何が起きたか — 年次マッピングが示した 3 つの転換

2026 年 6 月 3 日、Anthropic は AI 支援型サイバー脅威の年次マッピングを公開しました（Anthropic News, 2026-06-03）。これは同社が自社サービス上で悪用を理由に停止した 832 アカウント（2025 年 3 月〜2026 年 3 月）を分析し、攻撃手法を MITRE ATT&CK と照合した報告です。MITRE ATT&CK は、攻撃者の手口を「初期侵入」「権限昇格」「横移動」などの段階で分類した、防御側が共通言語として使う「攻撃手法の辞書」だと考えると掴みやすいでしょう。本節では、報告が示した転換の輪郭を一次情報ベースで整理します。

832 アカウント分析でわかった全体像

分析対象は、誇張なく言えば「実際に止められた悪用」の集合です。つまり仮説ではなく、停止に至った具体的なアカウントの振る舞いを横断して傾向を見ています。重要なのは、ここで示される比率や増減はすべて Anthropic が自社データに基づき発表した値であり、外部機関による第三者検証を経た数字ではない、という前提です。記事を読む側も、この一次情報の性質を踏まえて受け取る必要があります。

押さえるべき 3 つの知見

報告の核は次の 3 点に集約できます。

1. AI の使われ方が「初期侵入の支援」から「侵入後（後段）の活動」へと深化した。
2. 中〜高リスクと判定された脅威アクターの比率が 33% から 56% へ拡大した。
3. スキル水準や使用ツールの種類では、もはや脅威の深刻度を測れなくなった。

いずれも、防御の設計思想そのものを問い直す内容です。次節以降で、この 3 点が現場の実務にどう跳ね返るかを順に掘り下げます。

「攻撃の高度さ」の物差しが壊れた — スキルや使用ツールでは測れない

長らく脅威評価は、攻撃者のスキルレベルや使っているツールの数で「どれくらい危険か」を推し量ってきました。ところが今回の報告は、その物差しが機能しなくなったことを数字で示しています。全リスク帯で使用手法数がおおむね 16〜20 という狭い範囲に収斂し、スキルの高低と手法数の相関が消えていました。深刻度を分けるのは手の込み具合ではなく、攻撃が「どれだけ自律的に連鎖したか」だったのです。

手法数とスキル水準の相関が消えた

報告によると、最も低いリスク帯でも平均で約 16 の手法が使われ、最も高いリスク帯でも平均約 20 にとどまりました。手法の「数」で危険度が決まるなら、この差はもっと開くはずです。さらに、利用面（コーディング支援・API 経由・チャット）の違いも深刻度を予測しませんでした。「高度なツールを使う＝危険」「初心者は低リスク」という直感は、ここで裏切られます。

深刻度を分けるのは「自律的に連鎖する攻撃チェーン」

では何が高リスクを生むのか。報告が指し示すのは、人手の介在を最小化し、偵察から侵入後の探索までを自律的に連鎖させる「組織化された攻撃チェーン」です。攻撃者個人の腕前ではなく、AI に手順を委ねて一連の作業を回し切る運用設計そのものが危険度を押し上げます。防御側が「誰が攻撃しているか」より「どう連鎖しているか」を見るべき時代に入った、ということです。

AI は「侵入後」に深く入り込む — 防御の重心はどこへ移るか

攻撃側の AI 活用がどの段階で進んだのかも、数字がはっきり示しています。フィッシングなど初期侵入の支援は 8.6% の減少、一方で侵入後のアカウント探索は 8.9% の増加でした。入口を突破する段階よりも、内部に入り込んでから情報や権限を漁る段階で AI が効いている、という構図です。防御の重心も、ここに合わせて動かす必要があります。

入口から後段へ — 数字が示す重心移動

入口対策（メールフィルタ、認証強化、フィッシング教育）は依然として重要ですが、それだけでは「入られた後」を守れません。報告が示すのは、ラテラルムーブメント（横移動）、権限昇格、そして自律的なオーケストレーション（一連の操作の自動連結）の検知へ比重を移す必要性です。「侵入を 100% 防ぐ」前提から、「侵入後の連鎖をいかに早く断つか」へと、KPI の置き方を変える発想が要ります。

防御側も AI を持つ — Project Glasswing の拡大

攻撃側だけが AI を握っているわけではありません。Anthropic は同じ週、防御側の取り組みとして脆弱性発見・修正支援を担う「Project Glasswing」の拡大を発表しました（Anthropic News, 2026-06-02）。初期段階は 2026 年 4 月に約 50 組織へ提供が始まり、今回の拡大で電力・水道・医療・通信といった重要インフラ関連の 150 組織が新たに加わり、米国政府との協力も明記されています。脆弱性の「発見」から「開示・修正・パッチ適用」へ支援の軸足を移している点が、防御の実装側にとって示唆的です。

国内市場の追い風 — 重要インフラ防御へのフロンティア AI 導入

この攻防の地殻変動は海外だけの話ではありません。国内でも、防御へ最先端 AI を投じる動きが同じ週に表面化しました。2026 年 6 月 2 日の松本デジタル大臣の記者会見では、重要インフラ防御に最先端 AI を活用する取り組みを、先行する大手金融から他の重要インフラへ広げる方針が示されています（デジタル庁, 2026-06-02）。攻撃側の実態報告と、防御側への国の投資が、ほぼ同時に動いたタイミングです。

6/2 会見が示した「3 メガから重要インフラ全体へ」

会見で大臣は、すでに大手メガバンクで始まっている脆弱性発見支援の取り組みについて、「3 メガだけではなくて他の通信、あるいは基幹インフラの企業、その下にぶら下がる重要インフラ企業にしっかり広げていくことが必要」と述べています。さらに、特定の一社に頼らず複数の提供元から重層的に対応していく方針も示されました。金融で先行した防御 AI の活用が、通信・電力など重要インフラ全体へ波及していく流れが読み取れます。

能動的サイバー防御の制度整備と重なる時期

この動きは、能動的サイバー防御をめぐる制度整備期と重なっています。内閣官房サイバーセキュリティセンターも、重要インフラ事業者向けに AI とサイバーセキュリティに関する注意喚起を公表しています（内閣官房, 2026-05）。攻撃の高度化と防御投資の制度化が噛み合う局面で、AI 脅威に通じたエンジニアの需要が金融・重要インフラで立ち上がろうとしている、というのが市場側の現在地です。

防御エンジニアが今日から動くための実務対策

ここまでの転換を、煽りで終わらせては意味がありません。脅威評価の物差しが変わったということは、防御エンジニアのスキルの値段も変わるということです。「自律的に連鎖する攻撃チェーンを検知できる人材」は希少で、需要がちょうど立ち上がる時期にあります。最後に、明日から手を動かすための具体策を整理します。

今日から着手する 5 つの実務

1. 単発の痕跡（IoC）を追う発想から、振る舞いの連鎖を見る検知設計へ切り替える。偵察から権限昇格までの「つながり」を一つの異常として捉えるルールを優先して整える。
2. ログの相関分析と、権限昇格・横移動の可視化を最優先で整備する。侵入後の連鎖を早期に断つには、横断的にログをつなぐ基盤が前提になる。
3. 攻撃側の AI 活用を体感するため、自分でも AI コーディング支援を触り「攻撃者の生産性」を肌で知る。例えば Claude Code は更新が速く、最新リリース（v2.1.162）でも継続して機能が追加されており、AI が作業をどこまで自律連鎖させられるかを体験的に把握できる。
4. MITRE ATT&CK の弱点を踏まえて自組織の評価軸を更新する。報告でも、自律的な調整や AI エージェント連携は既存フレームワークに「攻撃手法としてまだ含まれていない」と指摘されており、辞書の外側で起きる連鎖を自前の観点で補う必要がある。
5. 重要インフラ・金融の防御案件にスキルを寄せる。国の投資が向かう領域に技術を合わせれば、市場価値・単価・案件獲得に直結する。

「怖い」で終わらせず単価に変える

脅威の高度化は、防御側にとって不安材料であると同時に、希少スキルの需要シグナルでもあります。重要なのは、報告を読んで身構えるだけで止めないこと。振る舞いの連鎖を見る検知設計を一つ実装し、ログ相関の可視化を一段進め、攻撃者の生産性を自分の手で確かめる——その小さな一歩の積み重ねが、AI 時代の防御エンジニアとしての市場価値を形づくります。明日の一歩を、今日のうちに決めておきましょう。

出典

• AI-enabled cyber threats: mapping to MITRE ATT&CK（Anthropic News, 2026-06-03）
• Expanding Project Glasswing（Anthropic News, 2026-06-02）
• 松本デジタル大臣記者会見（デジタル庁, 2026-06-02）
• AI とサイバーセキュリティに関する重要インフラ向け注意喚起（内閣官房サイバーセキュリティセンター, 2026-05）
• Claude Code Release v2.1.162（GitHub）