AIエージェントを悪用したサイバー攻撃とは？自律型攻撃の脅威とランサムウェア対策の要点

はじめに

AIエージェントの悪用による自律型サイバー攻撃が現実の脅威となりつつあります。偵察から侵入、ランサムウェアの実行までを人間の介在なしに完結させる攻撃が予測されており、従来の防御体制では対応が追いつかなくなるおそれがあります。

こうした脅威に備えるには、VPN機器の脆弱性対策やバックアップ体制の整備といった基本的なランサムウェア対策の徹底に加え、守る側もAIを活用した検知の自動化を進めることが重要になります。本記事では、AIエージェント悪用の実態から具体的なランサムウェア対策の要点までを順に解説します。

AIエージェントとは何か

従来AIとの違いと自律性

AIエージェントとは、人間の指示を逐一受けなくても、自ら判断してタスクを実行できるAIの仕組みです。従来の生成AIは文章や画像を出力する際に人間の確認を必要としますが、AIエージェントはその確認の工程を省き、自律して連鎖的に行動する点が大きく異なります。

NSAが公表した指針では、従来の生成AIが通常は人間による検証を必要とするのに対し、AIエージェントは自律的に動作するよう設計されていると説明しています。また、この自律性は強力な道具になる一方、国家安全保障や重要インフラの保護において組織が対処すべき重大なサイバーセキュリティ上の課題をもたらすとも指摘しました（参照*1）。

AIエージェントは、一定の目標に沿って複数の処理を自律的に進められるため、攻撃者に悪用された場合、偵察、脆弱性探索、侵害拡大、情報窃取といった工程を効率化する恐れがあります。人の作業量やスキルによって制約されていた高度な攻撃活動が、AIの活用によって大規模化・高速化する点には注意が必要です（参照*2）。

企業導入の現状とリスク

AIエージェントは攻撃だけでなく業務効率化の手段としても急速に広がっています。ある調査では、現在AIエージェントをある程度活用している企業は23%ですが、2028年までにその割合は74%に達すると予測されています。現在は利用していないと回答した25%の企業も、将来的には5%まで減少する見通しです（参照*3）。

企業の導入が進むほど、AIエージェントの動作環境やAPIへの接続口が増え、攻撃者にとっての侵入経路も広がります。自律的に判断するAIエージェントの行動は、管理者がすべてを逐一監視することが難しいため、正当な業務利用と悪意ある操作の区別がつきにくくなるおそれがあります。導入を進める組織は、AIエージェントに与える権限の範囲と監視体制をあらかじめ設計しておくことが求められます。

自律型サイバー攻撃の実態

Claude Code悪用事件の全容

AIエージェント悪用による自律型サイバー攻撃は、すでに実例が確認されています。2025年に報告された事例では、Anthropic社のコーディング支援ツール「Claude Code」が自動化された攻撃ツールとして使用されました。このフレームワークは、偵察、脆弱性の発見、悪用、認証情報の窃取、データ分析、およびデータの持ち出しといった戦術的な作業の約80〜90%を自律的に実行しました（参照*4）。

この攻撃を分析した調査では、人間が実質的に介入することなく実行された大規模サイバー攻撃として最初に記録されたケースだと報告されています。脅威アクターはAIを単なる助言者として利用するのではなく、AIにサイバー攻撃そのものを実行させています（参照*5）。

従来の攻撃では、高度な技術を持つ人間が各工程を手動で操作する必要がありました。しかしこの事例は、AIエージェントが攻撃の大部分を自動で遂行できる段階に達したことを示しており、攻撃の速度と規模が根本的に変わりうる転換点として位置づけられます。

攻撃ライフサイクルの自動化

自律型サイバー攻撃の脅威は、攻撃工程の全体が自動化される点にあります。2026年にはサイバー攻撃に特化したAIエージェントを用いて、偵察から初期侵入、ランサムウェアの実行や脅迫といった一連の攻撃を自律的に実行できるようになり、前例のない速度、規模、複雑さで法人組織を攻撃することが予想されています（参照*6）。

エージェント型AIが攻撃活動に悪用されると、標的システムの分析、攻撃コードの作成、盗取データの整理といった作業が自動化・効率化される恐れがあります。攻撃者が少ない人手で多段階の攻撃を進めやすくなり、攻撃の規模と速度が増す可能性がある点に注意が必要です（参照*2）。

攻撃の技術的な敷居が下がることで、これまで高度な攻撃を実行できなかった集団が新たな脅威アクターとして参入してくるリスクが高まります。防御側は、攻撃が人間のスピードを超えて展開される前提で対策を組み立てる必要があります。

ランサムウェア被害の最新動向

国内被害件数と感染経路

ランサムウェア対策を考えるうえで、被害の規模と侵入経路の傾向を押さえておくことは不可欠です。警察庁の公表データによると、令和7年上半期におけるランサムウェアの被害報告件数は116件で、半期の件数としては令和4年下半期と並んで過去最多となりました（参照*7）。

感染経路についても明確な偏りがあります。警察庁の資料では、被害にあった企業や団体へのアンケート結果として、VPNやリモートデスクトップ用機器からの侵入が感染経路の8割以上を占めることが示されています（参照*7）。

世界全体に目を向けると、2025年にランサムウェア攻撃グループが情報を公開した件数は8,159件となっており、年々被害件数が増加していることが読み取れます。この数字は、ランサムウェアの被害と攻撃グループの活動を追跡・監視する「Ransomware.live」のデータに基づくものです（参照*8）。国内外いずれにおいても、ランサムウェアの被害は拡大傾向にあります。

二重恐喝とRaaSの拡大

ランサムウェア攻撃の手口も巧妙化しています。二重恐喝とは、データを暗号化して身代金を要求するだけでなく、盗み出したデータの公開をちらつかせて追加の支払いを迫る手法です。警察庁が確認したランサムウェア被害134件のうち、二重恐喝の手口によるものは111件で、全体の82.8%を占めています（参照*9）。

また、RaaS（Ransomware as a Service）と呼ばれる、ランサムウェアをサービスとして提供するビジネスモデルの広がりも見逃せません。あるランサムウェアグループの攻撃担当者が利用していたツールを調査したところ、DeepSeekやQwenLMといったAIモデルへの関心に加え、「HackBot」と呼ばれるサイバーセキュリティ特化型のAIチャットボットが確認されました（参照*8）。攻撃者が生成AIを実際に業務に組み込んでいる実態は、ランサムウェア対策の緊急性を裏付けています。

AIエージェントがランサムウェアを変える

偵察から脅迫までの完全自動化

AIエージェントの悪用がランサムウェア攻撃にもたらす変化として最も深刻なのは、偵察から脅迫までの全工程が人間の監督なしで実行される点です。2026年には、ランサムウェアグループがエージェント型AIを活用して攻撃ライフサイクルの大部分を人間の監視なしに管理する動きが顕著になると予測されています（参照*6）。

具体的には、標的企業のネットワーク構成を調査する偵察、脆弱性を突いた初期侵入、横展開による権限の昇格、データの暗号化、そして脅迫文の送付までを一気通貫で自動化する流れが想定されます。従来は攻撃者が数日から数週間かけていた作業が、AIエージェントであれば数時間単位に短縮されうるため、防御側が異常を検知して対処する時間的余裕が大幅に縮まります。

こうした攻撃の高速化に対抗するには、ランサムウェア対策そのものを自動化し、侵入の兆候を検知した段階で即座に隔離やブロックを実行できる体制が必要になります。

サプライチェーン経由の侵入

AIエージェント悪用による自律型サイバー攻撃の重大な経路の1つが、サプライチェーンを通じた侵入です。2026年においても、サプライチェーン攻撃はランサムウェアの最も効率的な配布手段の1つであり続けると予測されています（参照*6）。

サプライチェーン攻撃とは、標的の企業を直接狙うのではなく、その取引先やソフトウェアの提供元など外部の関連企業を経由して侵入する手法です。AIエージェントが自律的に複数の取引先ネットワークを同時に偵察し、最も脆弱な経路を選んで侵入することが技術的に可能になれば、防御が手薄な中小企業が踏み台にされるリスクが高まります。

自社のセキュリティだけでなく、取引先を含めたサプライチェーン全体でランサムウェア対策の水準を底上げすることが、AIエージェント悪用時代の防御の前提条件となります。

多層防御とランサムウェア対策

VPN・認証・権限の基本対策

ランサムウェア対策の第一歩は、最も侵入されやすい経路を塞ぐことです。VPNやリモートデスクトップ用の機器からの侵入が全体の感染経路の8割以上を占めている現状を踏まえると、この領域の対策強化が最優先となります（参照*7）。

警察庁は、利用しているVPN機器やOSの更新ファイルやパッチを適用して脆弱性を残さないようにすることを推奨しています。パスワードについても、初期設定のままや推測されやすい文字列になっていないか確認し、大文字・小文字・数字・記号を組み合わせた推測されにくい文字列に設定し直すとともに、他のサービスで使用していないものを設定するよう求めています（参照*10）。

さらに、JPCERT/CCが公開しているJ-CLICS攻撃経路対策編では、1つの攻撃成立条件に対して、目的別に分類した防御・緩和・検知・回復の4種類のセキュリティ対策を提供しています（参照*11）。単一の防御策に頼らず、複数の階層で対策を重ねる多層防御の考え方が、AIエージェント悪用による自律型サイバー攻撃にも有効です。

バックアップとインシデント対応

ランサムウェア対策では、侵入を防ぐ対策と同時に、侵入されたあとの被害を最小限にとどめる備えも不可欠です。とりわけバックアップの運用とログの保存は、復旧作業の成否を左右します。

警察庁の報告によると、ログが保存されていない場合、被害企業は侵入の実態調査やバックアップからの復旧対応を適切に行えず、脆弱性が放置されたまま再被害を受けるおそれがあります（参照*7）。

バックアップはネットワークから切り離した状態で保管し、定期的にリストア（復元）が正常に動作するかを検証しておくことが実務上の要点です。インシデント発生時に備え、どの順番でシステムを復旧させるか、外部への連絡先はどこか、といった対応手順をあらかじめ整理しておくことで、AIエージェント悪用による高速な攻撃に対しても初動の遅れを防げます。

守る側のAI活用と選定基準

XDR・SOARによる検知自動化

攻撃側がAIエージェントを悪用するならば、守る側もAIを活用して対抗する必要があります。Anthropic社は、セキュリティオペレーションセンター（SOC）の自動化、脅威検出、脆弱性評価、インシデント対応といった分野でAIを防衛に応用することを推奨しています（参照*4）。

XDR（Extended Detection and Response）は、端末やネットワーク、メールなど複数の領域からログを統合し、相関分析によって脅威を検出する仕組みです。SOAR（Security Orchestration, Automation and Response）は、検出後の対応を自動化し、端末の隔離や管理者への通知を即座に実行します。これらのツールにAIを組み込むことで、自律型サイバー攻撃の速度に対抗できる検知・対応能力を確保できます（参照*12）。

AIによる自動化は万能ではないものの、膨大なログを人間だけで監視し続けることは現実的ではありません。特にランサムウェア対策の文脈では、侵入から暗号化までの時間が短縮される傾向にあるため、検知から対処までの工程を可能な限り自動化しておくことが被害の抑止につながります。

導入時の判断基準と注意点

防御側がAIエージェントを導入する際には、段階的な展開と継続的な評価が欠かせません。NSAが参加して公表された指針では、AIエージェントを段階的に展開し、進化する脅威モデルに照らして継続的に評価することを推奨しています。加えて、強力なガバナンス、明確な責任の所在、厳格な監視、そして人間による監督が安全で確実な運用に不可欠であると明記しました（参照*1）。

米国国立標準技術研究所（NIST）に寄せられた意見でも、AIエージェントが新たなセキュリティ上の脅威をもたらすこと、そしてこのセキュリティ懸念が導入の障壁になっていることについて広く合意が得られました。基本的なサイバーセキュリティの原則や手法は引き続き有効であるものの、AIエージェントのセキュリティに十分対応するには適応が必要だという認識も共有されています（参照*13）。

導入にあたっては、AIエージェントに与える権限の範囲を限定し、想定外の動作が発生した際に人間が介入できる仕組みを残すことが判断の軸になります。

おわりに

AIエージェント悪用による自律型サイバー攻撃は、攻撃の速度と規模を根本から変える脅威です。ランサムウェア対策としては、VPN機器の脆弱性対策や認証強化といった基本対策の徹底、バックアップとログ保存の運用整備、そして守る側のAI活用による検知・対応の自動化を組み合わせた多層防御が求められます。

攻撃者がAIを武器にする以上、防御側も従来の手法にとどまらず、技術と運用の両面で対策を継続的にアップデートしていく姿勢が欠かせません。

お知らせ

AIエージェントの悪用や自律型サイバー攻撃の広がりにより、ランサムウェア対策ではインフラエンジニアにも、検知・防御・復旧を見据えた実践的なスキルが求められています。自身の経験をどのような案件で活かせるのかを確認し、今後の案件選びやキャリア設計に役立てましょう。

インフラエンジニアが仕事内容を把握することは、案件選びやスキル棚卸しに不可欠です。業務範囲や必須スキルを確認し、フリーランス向けの最新案件情報も参考にしましょう。

cyseekではフリーランスのITエンジニア向けの案件をご紹介しています。案件に関する新着情報は、以下のリンクからご覧いただけます。

参照

• (*1) https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/4475134/nsa-joins-the-asds-acsc-and-others-to-release-guidance-on-agentic-artificial-in/
• (*2) https://www.nids.mod.go.jp/publication/commentary/pdf/commentary434.pdf
• (*3) zdnet_japan – AIにおける4種類の深刻な脆弱性–既知の解決策は存在せず
• (*4) IT media NEWS – Anthropic、「Claude」が中国政府系攻撃者に悪用されたと報告
• (*5) ＠IT – 中国によるClaude悪用サイバー攻撃をAnthropicが報告　どうAIをだましたのか？
• (*6) Trend Micro – トレンドマイクロ、法人セキュリティ脅威予測2026を公開
• (*7) https://www.npa.go.jp/publications/statistics/cybersecurity/data/R7kami/R07_kami_cyber_jyosei.pdf
• (*8) INTERNET Watch – 2026年もランサムウェア中心に高度化した攻撃が常態化、NTTデータグループがサイバーセキュリティの最新動向を発表
• (*9) 第3項 ランサムウェアの情勢
• (*10) 警察庁 – ランサムウェア被害防止対策｜警察庁Webサイト
• (*11) https://www.jpcert.or.jp/ics/J-CLICS_AttackPathCountermeasures_Guide.pdf
• (*12) Microsoft Security – What Is XDR (Extended Detection and Response)?
• (*13) NIST – Summary Analysis of Responses to the Request for Information Regarding Security Considerations for AI Agents