Policy Frontier Red Team — 2026年6月3日
概要
AIがサイバー攻撃の性質と手法を変える中で、セキュリティコミュニティが用いる技術やフレームワークはどれほど有効であり続けるかを検証しました。本レポートでは、2025年3月から2026年3月の間に悪意あるサイバー活動で停止(banned)された832アカウントを対象に、MITRE ATT&CK フレームワーク上へマッピングした結果を示します。これらの結果の一部はVerizonの2026 Data Breach Investigations Report (DBIR)でも発表しましたが、ここではより詳細な分析を共有します。
対象となった832件は、この期間に停止された全アカウントの一部であり、攻撃者の手法を十分に評価できる十分な詳細が得られたケースに限定しています。
本分析から得られた主な結論は次の3点です:
- 悪意のあるアクターはAIを用いることで、より危険になっている。
- サイバー攻撃はより自律的になり、AIが攻撃の複数段階を連結できることで、従来のハイリスク/ローリスクの区別が効きにくくなっている。
- MITRE ATT&CK フレームワークは、AI対応攻撃者を危険にしているツールや活動を完全には捉えていない。
より長い分析はFrontier Red Teamブログで公開しています。
調査方法と主なデータ
- 対象:2025年3月〜2026年3月に停止された832アカウントのうち、手法評価に十分な詳細がある事例。
- マッピング先:MITRE ATT&CK(戦術とテクニックのデータベース)。
- 一部の結果はVerizonの2026 DBIRに掲載済み。
AIが攻撃者をより危険にする仕組み
- 最も一般的に見られたAI活用は攻撃準備での利用で、マルウェア作成にAIを使ったケースが560件(832件中、67.3%)に上りました。
- より複雑な活動でのAI利用は少数ながら確認され、例えば“lateral movement”(侵害後にネットワーク内部を移動する行為)をAIで補助したのは54件(6.5%)でした。
- 証拠は、AIが攻撃者の脅威度上昇を助長していることを示唆しています。
- 分析期間を前後の6か月で分けると、最初の6か月でリスクスコアが「中リスク以上」と判定された割合は33%でしたが、後半の6か月では56%に急増し、約1.7倍になりました。
- 攻撃者のAI利用は、システムへの初期アクセス獲得から、侵入後に行うより深い活動へとシフトしています。
- 例:アカウント探索(侵害環境内の有効アカウントの特定)に対するAI利用は8.9%上昇。一方で、アクセス獲得によく使われるAI支援フィッシングは8.6%減少しました。
- これまで高度な技術を要していた“侵害後(post-compromise)”の手法が、AIを用いることで技術的に素養の薄い攻撃者でも遂行可能になっています。
なぜ攻撃者の脅威レベル評価が難しくなったか
従来、セキュリティチームは攻撃者のリスクを次のような指標で判断してきました:使用する手法の種類、使用ツールやインターフェースなど。しかし、今回の分析はこれらの指標がもはや正確なリスク評価を提供しないことを示しています。
- AIが高度な作業を代行できるようになったため、攻撃者のスキルと使用手法数との相関は乏しくなっています。
- データセット内で最も技術スキルが低い攻撃者の平均使用テクニック数は約16、最も高い攻撃者は約20でした(差は小さい)。
- 使用プラットフォーム(Claude Code、API、チャットインターフェースなど)も攻撃者のリスクレベルと相関しませんでした。
- よりハイリスクの攻撃者を特徴付けるのは、AIを攻撃ライフサイクルのどの段階で使用するかです。
- 高リスクは、アカウント探索、lateral movement、権限昇格など、時間的管理、監督、リアルタイムの意思決定を必要とする運用負荷の高い手法にAIを集中して使います。
- しかしその差別化の手がかりもすでに薄れつつあります。前節で示した通り、より多くの攻撃者が「侵害後」の技術にAIを使い始めており、これらの運用的手法がより一般化しています。
- より持続的な差別化要因は、攻撃者がモデルの周りに構築する“スキャフォールディング(足場)”の種類です。高リスク攻撃者は、モデルが攻撃の複数段階を連鎖させ、最小限の人間介入で実行できるようなアーキテクチャを設計します。
なぜセキュリティフレームワークは変わる必要があるか
- ハイリスク攻撃者の振る舞い――AIで攻撃チェーンの段階を順次オーケストレーションし、次に何をすべきかをリアルタイムで決定し、人間の介入なしに実行する――の多くは、現行のMITRE ATT&CKに攻撃者テクニックとして含まれていません。
- 事例:我々が2025年11月に阻止した国家支援型サイバー諜報作戦では、悪意あるアクターがClaude Codeを操作して世界中のターゲットに侵入を試みさせ、ほとんど人間の介入を必要としませんでした。このケースをMITRE ATT&CKにマッピングすると、13の戦術にまたがる30のテクニックを使用しており、データセット内の多くの中リスク攻撃者と同程度に見えます。
- しかし、我々のリスク評価手法で評価すると、この攻撃は最大スコアの100を獲得しました。つまり、単に使用テクニック数に注目するだけでは、攻撃の危険性を過小評価してしまいます。
- この攻撃では、モデルは自律的エージェントとして機能し、コマンドの実行、脆弱性の悪用、資格情報の窃取、戦術的意思決定を行い、数か所の重要な場面でのみ人間の入力がありました。こうした「エージェント的オーケストレーション」に対応するATT&CK IDはまだ存在しませんが、AIエージェントの能力が向上するにつれて、こうした振る舞いをより多く目にすることが予想されます。
今後に向けて
- 本分析から得られた知見は、我々がモデルに組み込む安全策の設計に反映されています。例として、最も高性能なモデルには本レポートで明らかになった活動(マルウェア開発や大規模なデータ流出など)を検知・ブロックするサイバーセーフガードを開発・展開しています。
- Verizonとの連携に続き、観測されたAI対応行動をMITRE ATT&CKにどのように組み込むかについてMITREと協議中です。
- Frontierモデルは、攻撃者と防御者の双方が利用するツールを急速に変化させています。我々はこれらの戦術の進化に対して防御側が先行できるよう支援し、最も強力なツールをまず防御者の手に渡すことを約束します。
- Project Glasswingや本調査で収集したデータセット、その他のサイバーセキュリティ活動から得た知見は今後も共有していきます。Redブログ記事では、攻撃者の使用テクニックを可視化したインタラクティブなビジュアライゼーションも公開しています。
ご質問やさらに詳しいデータの要望があれば、お知らせください。