2025 年、脅威アクターが、AI の実験的な利用から本格的な運用に移行したことで、サイバーセキュリティの状況は一変しました。攻撃者は、単に、フィッシング コンテンツの作成に大規模言語モデルを利用する段階を超え、コードを書き換えることができる適応型ツールをデプロイしているほか、人間による監督を最小限に抑えてシステムを操作できる AI エージェントを活用するようになっています。こうした能力は、攻撃の速度と規模を根本的に変えるものであり、防御戦略の転換が迫られる明確な進化でもあります。

同時に、AI の実装競争は、セキュリティ対策の対応をしばしば上回るリスク領域を露呈させています。最も差し迫った課題は、モデルの盗難のような「AI 特有」の新たな攻撃ではなく、ガバナンスや IT の健全性管理における根本的なギャップであることがほとんどです。「シャドー AI」（監督なしでデプロイされたツール）の蔓延や、AI アセットの可視性の欠如は、依然として重要な課題であり、モデルそのものだけでなく、AI アプリケーションやツールの実装におけるセキュリティ確保に改めて重点を置く必要があります。こうした拡大する攻撃対象領域を確実に保護するには、AI の使用に関する堅牢なガバナンスを構築して、シャドー AI の課題に対処するほか、定期的な AI レッドチーム活動を取り入れ、システムに対して積極的にストレステストを実施し、悪用される前に脆弱性を特定できるようにする必要があります。

同時に、エージェント型 AI の台頭は、セキュリティ チームの強化にも役立ちます。AI は、セキュリティ運用の強力な増強手段になることが実証されており、調査や分析を加速できることで明確なメリットをもたらします。今後 1 年間を乗り切るためには、AI を活用したセキュリティ ツールを使用して AI を悪用した脅威に先手を打つこと、テストと検証を通じてギャップや脆弱性を解消すること、セキュリティ チームが対応能力に自信を持てるようにすることが求められます。

2025 年初頭、Google Threat Intelligence Group（GTIG）は、脅威アクターが生成 AI を主に生産性向上の手段として利用していることを確認しました。GTIG の 2025 年 1 月の分析「生成 AI の敵対的な不正使用」で詳しく説明されているように、脅威アクターは「バイブ コーディング」、多言語のフィッシング メールの下書き、攻撃ライフサイクルのさまざまな段階のサポートに生成 AI を使用しています。この分析により、国家の支援を受けたグループ（中華人民共和国（PRC）、ロシア、北朝鮮、イランと関連するグループを含む）が、コードのトラブルシューティング、脆弱性の調査、ツールの開発のために Gemini などの大規模言語モデル（LLM）の利用を試していることがわかりました。しかし、安全保護対策を回避したり、新たな攻撃能力を獲得したりすることには、ほとんど成功していませんでした。

その後の数か月で起きた重要な進化としては、主に静的で人間参加型の利用から、高度に自律的かつ適応性のある攻撃の組み込みに移行する動きが見られました。2025 年末までに、脅威アクターは「ジャストインタイム」のコード生成のために LLM API をマルウェアに直接組み込むようになり、検出や帰属の特定が指数関数的に困難となる、新たな種類の脅威を生み出す可能性が生じました。

この技術的な変化の例として、適応型マルウェアの出現が挙げられます。PROMPTFLUX や PROMPTSTEAL などのマルウェア ファミリーは、LLM API を使用して、実行中にオンデマンドで悪意のあるコードやコマンドを生成します。このランタイム機能により、マルウェアはポリモーフィックになり、シグネチャと動作を絶えず変更して、従来のシグネチャベースの検出システムを回避できます。LLM は外部の C2 として機能し、マルウェアが置かれている環境に基づいて「目標主導」のガイダンスをマルウェアに提供します。これは、従来のハードコードされたロジックでは実現できない機能です。

2025 年半ば: 実用化と統合

この期間には、AI を使用することから統合することに転換する動きが見られました。脅威アクターは、ソーシャル エンジニアリングや初期アクセスといった動的なタスクを処理するために、LLM API を攻撃チェーンに直接組み込み始めました。

• PROMPTFLUX の発見: GTIG は 6 月に、Gemini API を使用して「ジャストインタイム」の自己書き換えを可能にする実験的な VBScript ドロッパー マルウェアを特定しました。このマルウェアは LLM にクエリを実行して、1 時間ごとに自身のソースコードを書き換え、検出を回避するものです。
• PROMPTSTEAL の発見: GTIG は、ロシア政府の支援を受けたアクター APT28（FROZENLAKE）が、ウクライナに対して新しいマルウェアを使用していることを特定しました。このツールは LLM にクエリを実行して、ドキュメントを窃盗するための 1 行の Windows コマンドを生成するものであり、ライブ オペレーションでデプロイされた LLM をマルウェアがクエリする事例として初めて確認されました。
• ソーシャル エンジニアリングの安全対策: GTIG は 8 月に、中国に関連する脅威アクターがオンラインで「Capture-the-Flag」（CTF）の参加者を装い、Gemini をだまして特定のソフトウェアやメールサービスに関する悪用のアドバイスを得ようする動きを観測しました。

AI を活用して大きな進歩を遂げているのは攻撃者だけではありません。企業も引き続き、AI を業務に組み込み、AI を活用したソリューションによって防御者の能力を強化し続けています。過去 12 か月間、Mandiant は世界中で多数の AI システム評価、AI 脅威モデリング演習、検出ワークショップを実施しました。これらの取り組みから、いくつかの傾向が見え始めています。

組織での AI 活用は、一般的に以下の 3 つのカテゴリに分類されます。

• コンシューマー: サードパーティの LLM をそのまま厳密に使用する組織
• インテグレーター: 検索拡張生成（RAG）や Model Context Protocol（MCP）サーバーなど、AI デプロイにおいて複数のコンポーネントを使用する組織であり、システム全体の複雑性を高める可能性がある
• トレーナー: モデルのトレーニングや自律型エージェントの開発を積極的に行う組織

現在は、大半の組織が「コンシューマー」と「インテグレーター」のカテゴリに分類されると Mandiant は考えています。しかし、「トレーナー」に属する組織の数は徐々に増加しています。

こうした複雑さのレベルの違いにもかかわらず、Mandiant の調査全体を通じて一貫して見られた傾向が一つあります。それは、過去の IT イノベーションの時代にも存在していたセキュリティ上の課題が依然として残っているということです。「古いものが新しいものとして繰り返されている」のです。

Mandiant は、組織が基本的なガバナンスを確立し、定期的に脅威モデリングを実施することで、基本的な保護の域を超えて、リスクの可視性を大幅に向上できることを発見しました。このような先を見据えた姿勢により、現在の技術的または手続き上の制約によって排除できないリスクを特定できるようになります。こうした制約を特定することで、経営陣はリスクを受け入れるか、必要な代替コントロールの開発を優先するかを判断できるようになります。

インフラストラクチャのギャップ: 基本的なセキュリティ対策の欠如

一貫して見られた傾向の一つは、多くの組織が AI パイプラインにおいて直面するセキュリティ上の課題が、インフラストラクチャ全体のセキュリティの課題と類似していることでした。

最近の評価において、Mandiant は、AI イニシアチブにセキュリティ対策の基本的な要素が欠けていることが頻繁にあることを発見しました。これらの課題は、次の 4 つの主要なカテゴリに分類されます。

• アセット管理: 組織で使用するハードウェア、ソフトウェア、ネットワーク間の関係を明確にするアプリケーション レジストリ、構成管理データベース、関連ファイル（CMDB）などが存在しない。
• サプライ チェーンの可視性: AI ソフトウェア部品構成表（SBOM）が存在しない、保守されていない、あるいはデベロッパーにその作成が義務付けられていない。
• 脆弱性の管理: 標準的なセキュリティ スキャナでは、AI 固有のアーティファクトの可視性が欠けていることが多く、基盤となるフレームワークやコンテナ化された環境において既知の脆弱性がモニタリングされていない。AI セキュリティは、AI アプリケーションがホストされている環境のセキュリティ ポスチャーに依存するため、重大な影響を及ぼす環境上の脆弱性を検出、軽減し、修復することが極めて重要。
• ID 管理: AI がリソースレベルの権限に大きく依存しており、LLM が内部データを簡単に検索できるため、過去のアクセス上の欠陥が露呈している。これにより、本来アクセスできない機密ファイルの発見や改変が可能になっている。Mandiant の調査では、AI ツールの導入を急ぐ組織は、技術的な検証や AI 脅威モデリングを見落としがちであるか、後回しにしがちであることが判明している。

ガバナンスのギャップ: シャドー AI

この環境を安全に保つには、「AI のガバナンス」と「AI のためのガバナンス」を区別する必要があります。前者は技術的なアーティファクトに焦点を当て、モデルの公平性、安全性、セキュリティ、パフォーマンスを確保します。後者は組織のフレームワークに焦点を当て、ビジネスにおける AI の導入方法に関するポリシー、調達チャネル、承認ワークフローを定義します。セキュリティ チームは、「AI のガバナンス」のために、AI 対応アプリケーションのモニタリングや評価に重点を置くかもしれませんが、ビジネス全体でこれらのツールや技術的機能をどのように調達し、採用するかを管理する権限、すなわち「AI のためのガバナンス」が欠けていることがよくあります。

Mandiant は、AI パイプラインに重大な死角が存在することを指摘しています。たとえば、「白紙の委任状」で運用されている事業部門があり、IT 部門の審査を経ずに AI アプリケーションやツールをアドホックに導入しているような場合、インフラストラクチャ チームやセキュリティ チームがリスクの高い行動を抑制できる能力は限られています。

この断絶は、シャドー AI の温床となります。シャドー AI とは、承認されていない AI ツールやアプリケーションが、監督なしでデプロイされ、標準的なセキュリティ審査がバイパスされ、導入のリスクを把握できないまま放置される状態を指します。

AI 脅威モデリング: 認識されているリスクと実際のリスク

Mandiant が顧客のために AI 脅威モデリングを実施する際、認識されている脅威と実際の脅威との乖離が度々見られました。たとえば、セキュリティ責任者が複雑で理論的なリスクを優先する一方で、実際の脆弱性は基本的な実装上の欠陥に起因していることがよくありました。

外部 LLM プラットフォームへの呼び出しを使用する API ベースのアプリケーションに関するある事例では、経営陣はモデルの盗難やトレーニングデータのポイズニングを懸念していました。そのため、セキュリティ チームは、こうした特定のリスクに対する緩和策を開発するよう指示されました。しかし、現実は違いました。このアプリケーションは 外部 API に依存していたため、盗まれるようなモデルも、汚染されるようなトレーニング データも環境内には存在しなかったのです。

対照的に、実際の脆弱性が製品設計上の欠陥である場合もよくありました。ある事例では、開発者が AI チャットボットの履歴をブラウザの履歴に直接キャッシュしていたというセキュリティ上の欠陥が特定されました。その結果、バックエンド インフラストラクチャは侵害されることなく、ユーザー エンドポイントからのデータ窃盗やデータ ポイズニングが発生する可能性がありました。

検出と対応: スタートライン

Mandiant は、複数のワークショップや検出機能の開発プロジェクトを通じて、共通する傾向を発見しました。多くのセキュリティ チームが、AI セキュリティをどこから始めればよいのかがわからない状態であり、AI の構成要素や、モニタリングすべき具体的な動作について、基本的な理解が欠けていたのです。

セキュリティ チームは、自身の対応範囲を広げ、エージェント アプリケーションにデータへのアクセス権が付与される仕組み、具体的には、Model Context Protocol（MCP）サーバーを介してエージェント アプリケーションがエンタープライズ ツールに統合される仕組みを理解する必要があります。また、組織固有のユースケースに基づいて戦略を策定する必要もあります。このコンテキストがないと、自社の特定のアーキテクチャが直面している脅威の現実ではなく、理論上あるいは想定上のリスクに時間を浪費してしまうことがよくあります。

さらに、このような動的な環境では、静的なシグネチャに依存するだけでは不十分です。Mandiant では、セキュリティ侵害インジケーター（IOC）からアクティビティ インジケーター（IOA）に移行し、既知の不正なファイルハッシュではなく、動作の異常を探すことを推奨しています。これを実現するために、セキュリティ チームはデベロッパーに対して、以下のような具体的なテレメトリーの提供を求める必要があります。

• ツールの実行シーケンス: ツールの使用における非論理的な連鎖（エージェントがデータベースにアクセスした直後に外部 API 呼び出しを行うなど）のモニタリング
• トークン使用量の異常: プロンプト インジェクションやサービス拒否攻撃の試行を示している可能性がある、入出力比率の急激な上昇に関するアラート

セキュリティ チームは、これらの挙動を実際のユースケースと照らし合わせることで、「想定に基づく検出」から「現実に基づく検出」へと移行できます。

アプリケーションへの AI の統合は、新たな攻撃対象領域を生み出す可能性があります。アプリケーションのセキュリティを確保するための従来のアプローチは、依然として重要な要件ですが、現在では、データ、エージェントの指示、アクセスが許可されているツールのセキュリティも併せて考慮する必要があるため、もはや十分なものではありません。

Mandiant の AI 評価のためのレッドチーム演習では、適切なガードレール、制御、強化対策が施されていない AI コンポーネントの一部が操作され、システムの本来の機能が悪用される可能性があることが繰り返し示されています。AI アプリケーションをデプロイする組織にとって、このような評価は、AI の実装が、アプリケーションが提供するデータやビジネス プロセスのセキュリティにどのような影響を与えるかを検証するうえで極めて重要です。プロアクティブかつ定期的な攻撃型セキュリティ テストを実施して、新たに台頭する関連脅威に対する防御体制を検証することで、AI 時代におけるアセットのセキュリティに対して最高レベルの保証を提供できます。

2025 年を通して、Mandiant Consulting が実施した攻撃的セキュリティ評価は、お客様のニーズに基づいて、世界中のさまざまな業界の AI 対応アプリケーションを対象としていました。テスト対象となったアプリケーションの種類には、以下のものが含まれます。

• 顧客向け AI: 顧客のメールを分類するために設計された小売チャットボットや感情分析システムなどのシステム
• エンタープライズ SaaS ソリューション: プロジェクト管理や請求 / ビジネス オペレーション プラットフォームなどのコアビジネス オペレーションに使用される SaaS アプリケーションと、複雑な内部 MCP サーバー
• エージェント ワークフロー: AI エージェントが内部のエージェント ツールを使用し、サービスチケットに関する質問の照会や回答に使用されるような、機密性の高いリソースにアクセスできる複雑なシステム

この取り組みは、エージェントができること、攻撃対象領域がどのように変化するか、機密データがどこで漏洩する可能性があるかなど、AI アプリケーションがどのような新たなリスクをもたらす可能性があるかを理解するうえで非常に重要です。

Mandiant のコンサルタントは、この 1 年間で、多くの組織の日々のサイバー防御やセキュリティ運用において、Gemini などの大規模言語モデルを含む AI を使用する方法に大きな変化があったことを確認しました。AI はもはや単なる話題にとどまらず、実験段階から運用段階へと移行しつつあり、Mandiant が評価や防御を行う環境においても、セキュリティ上の存在感を示しています。Mandiant は、AI が実用段階へと急速に移行している様子を直接目の当たりにしており、この 1 年間で、サイバー防御のユースケースが確実に定着しつつあることを認識しています。

インシデントの事後分析

Mandiant は、AI を使用してインシデント チケットのバックログに関する事後分析を実施している事例を確認しています。セキュリティ オペレーション センター（SOC）チームは、すべてのアラートを個別のイベントとして扱うのではなく、AI に過去 30 日間以上のクローズされたインシデント チケットを確認させ、日常業務に追われるアナリストが見落としがちなパターンを特定しています。このデータを取り込んだ後、アナリストは AI に対し、アーキテクチャやエンドポイントのより深い問題を示す微妙な共通点を探すよう指示しています。

Mandiant では、アナリストが具体的かつ高レベルの質問を投げかけているのを確認しています。たとえば、「これら 500 件のインシデントの根本原因に基づいて、どのセキュリティ制御が最も頻繁に失敗または欠落しているか？」や、「これらのインシデントを初期アクセス ベクトル別にグループ化し、来月の件数を減らすために優先順位を付けたエンジニアリング プロジェクトを 3 つ推奨して」といったものです。AI モデルは、アカウントのロックアウトと不審な PowerShell の実行の組み合わせなど、一見すると無関係に見えるアラートを特定できます。これらは実際には、同じような根本的な構成ミスやパッチの欠落に関連しています。このように AI を使用することで、SOC は 1 か月分の事後対応のチケットを、環境を強化するための事前対応のロードマップへと効果的に変えることができます。

AI を変換レイヤとして利用

Mandiant のエキスパートは、SOC がエンドポイント テレメトリーとやり取りする方法に変化が起きていることを認識しています。そこでは、統合された AI が、人間の質問と複雑な EDR クエリ言語との間の変換レイヤとして機能しています。従来、ファイルの普及率を判断するには、アナリストが SPL や KQL などの特定のクエリ構文を習得して、数千のエンドポイントにわたる検索を構築する必要がありました。今では、「この悪意のあるファイルがネットワーク内でどれほど蔓延しているかを示して」といった自然言語のプロンプトを入力するだけで、AI が必要なクエリを即座に生成して実行してくれます。これにより、アナリストはツールの技術的な制約ではなく調査課題そのものに集中できるようになり、複雑な脅威ハンティングへの参入障壁が効果的低減されます。その結果、以前はシニア エンジニアのサポートが必要だった調査作業を、ジュニア アナリストでも実行できるようになります。

SOC アナリスト向けのドキュメント作成においても、プレイブックが技術的な「ハウツー」ガイドから、コーディングのスキルギャップを埋めるために設計された「プロンプト」のリポジトリへと移行しているという変化も起こっています。従来、高度な脅威ハンティングに Jupyter Notebooks を使用するには、Python や Pandas などのライブラリに関する実用的な知識が必要でした。そのため、これらの強力なツールはプログラミングの障壁が立ちはだかり、効果的に活用できませんでした。この問題を解決するため、シニア セキュリティ アナリストは、機能するコードを生成するために必要な特定の自然言語プロンプトを、標準的な運用ハンドブックに体系化しています。

このハンドブックには Python の構文が記載されているのではなく、アナリストが AI に何を質問すべきかが示されています。たとえば、「この CSV を取り込み、タイムスタンプ列をクリーンアップし、ログインの異常を地理的位置ごとに可視化して」という標準化されたプロンプト構造を提供することで、コーディングの経験がほとんどないアナリストでも、プロンプトをコピーして貼り付けるだけで複雑なデータ分析を実行できます。このアプローチでは、AI モデルを効果的に SOC の「変換ツール」として機能させることができますが、信頼性を確保するためには厳格な標準化が必要です。これにより、生成されたコードにおいてハルシネーションやロジックエラーが発生するリスクが軽減され、チーム全体がシニアレベルの脅威ハンターと同等の業務を行えるようになります。

脅威ハンティングの進化

脅威ハンティングを行う際、ハンターは、テラバイト規模のログデータを精査するために、複雑な正規表現や特定のフィルタリング ロジックを含む高度なクエリを構築することがよくあります。Mandiant では、AI 支援機能が組み込まれていない場合に、SOC が AI を活用して実行前にこのコードの品質チェックをしている事例を確認しており、たとえば、KQL や SPL クエリが構造的に効率的で論理的に妥当であるかを、AI モデルに検証させるといったケースがありました。AI は、過度に厳格な許可リストやタイムゾーンの不一致など、関連するデータが誤って除外されてしまう可能性のある一般的なエラーをチェックします。AI を「もう一つの目」として活用することで、ハンターはクエリ作成段階での人為的ミスによるリスクを低減でき、検索文字列に不具合がないかどうかを確認できます。

AI は、コードの検証にとどまらず、ハンティング仮説そのものにおける概念的なギャップを特定するうえでも、極めて有用であることが証明されています。熟練したハンターは、「WMI を使用してラテラル ムーブメントをハンティングしている場合、隣接する行動指標や個別のログソースにおいて見落としている可能性のあるものは何か？」といった質問を AI に問いかけることで、調査の範囲を広げています。モデルは、ハンターの現在の調査範囲を MITRE ATT&CK などのフレームワークと照合し、カバーできていない部分を強調したり、ハンターが考慮していない可能性のある手法のバリエーションを提案したりできます。これにより、ハンティングは、既知のインジケーターを静的に検索する作業から、動的なブレインストーミング セッションへと変わり、AI が人間のアナリストに対して、主要な攻撃ベクトルに付随することが多い微妙な異常や欠落したログを探すよう促すことができます。

フォレンジック分析の加速

インシデント対応というプレッシャーの大きい環境において、AI は、フォレンジック タイムラインの作成という面倒なプロセスを加速する不可欠なツールとなっています。従来、アナリストは、異なるシステム間でタイムスタンプを手動で正規化したり、UTC のサーバーログをローカル ワークステーションのイベントに合わせて変換したり、ファイアウォールのトラフィックを相互参照したりするために多くの時間を費やしていました。現在、AI を活用したツールは、SIEM や EDR プラットフォームからこのような未加工のテレメトリー ストリームを取り込み、一貫した時系列の攻撃のストーリーを即座に構築します。AI は、一見無関係に見えるイベント間の関連性を特定する（たとえば、特定の PowerShell の実行と数秒前に発生した不審なログインを結びつける）ことで、侵害の「ストーリー」を事前に組み立ててアナリストに提示します。これにより、インシデント対応担当者は、データ入力や書式設定に時間を浪費することなく、タイムラインが示唆する意味合いの分析に集中できるようになります。

技術レポートと経営幹部向けレポートの生成

差し迫った脅威が封じ込められると、アナリストは AI を使用してドキュメント作成フェーズを合理化し、未加工のフォレンジック アーティファクトやメモを、洗練かつ構造化された成果物に変換していることを Mandiant は確認しています。これらのツールの導入は、効率性だけでなく、出力品質の驚くべき向上によっても推進されています。読者は、人間が作成したレポートよりも AI が作成したレポートを好むようになってきているのです。この傾向は、インシデント後に対応担当者が疲労することがなくなり、AI が乱雑なデータを一貫性のあるストーリーへと変換できる能力に起因しています。これらのモデルの大きな強みは、対象者に応じて焦点を切り替えられる点にあります。わずか数秒で経営陣向けの「エグゼクティブ サマリー」を作成すると同時に、セキュリティ エンジニアリング チーム向けの高度に技術的な文書を起草し、組織全体での明確なコミュニケーションを確保できます。

エージェント SOC の進化

今後の組織は、単純な AI チャットボットから相互接続されたエージェントのシステムへの移行により、エージェント セキュリティ オペレーション センター（SOC）へと進化できるようになります。エージェント SOC では、エージェントが特定の目標を達成するためにタスクを動的に推論して実行し、複雑なワークフローを自動化することで、アナリストは人間の専門知識を必要とする戦略的な課題や調査を優先できるようになります。たとえば、Google Threat Intelligence では、Gemini によって強化されたエージェントがファイルをリバース エンジニアリングしてマルウェアを特定し、新たな脅威を検出できます。同様に、Google Security Operations では、Gemini エージェントがコンテキストを自律的に収集して判定を下すことで、アラートの動的なトリアージと調査を行うことができます。これらのプロセス全体を通じて、人間は常に状況を把握でき、エージェントの証拠、推論、意思決定を詳細に記録した透明性の高い監査ログにアクセスできます。