AIワーム実証が重要な理由

AIがサイバー攻撃を強めるという議論は、これまで主に「脆弱性を見つける速度」や「フィッシング文面の巧妙化」を中心に語られてきました。今回の焦点はそこから一段進み、AIエージェントが感染先ごとに状況を読み取り、既知の弱点を組み合わせながら自己複製するワームの実証です。

トロント大学、Vector Institute、ケンブリッジ大学、ServiceNowの研究者らは、隔離された仮想ネットワークでAI駆動型ワームの概念実証を行いました。研究チームは実装コードや一部の技術詳細を公開しておらず、実験も外部ネットワークから切り離した環境に限定しています。

それでも意味は大きいです。問題は、未知のゼロデイだけではありません。企業が日常的に抱える未適用パッチ、設定不備、使い回された認証情報を、AIが機械的に探索し、判断し、次の感染先へつなげられる点にあります。防御側は「個別の脆弱性を直す」だけでなく、攻撃が推論しながら横展開する前提へ移る必要があります。

既知脆弱性を渡り歩く攻撃構造

固定コードから推論するワームへの変化

従来のワームは、多くの場合、あらかじめ決められた脆弱性を狙う固定的なプログラムでした。代表例として、2017年のWannaCryは単一の脆弱性を足場に世界的な被害を起こしました。この型の攻撃では、攻撃経路を特定し、その経路を塞ぐことが防御の中心になります。

今回の研究が示したのは、その前提が崩れ得るということです。概念実証のAIワームは、Linux、Windows、IoT機器を含む異質なネットワーク上で、ターゲットごとに観測結果を解釈します。そこから利用可能な既知脆弱性、設定ミス、認証の弱さを選び、侵入方法を組み立てます。

重要なのは、研究チームがゼロデイ発見能力を前提にしていない点です。公開済みだが未修正の弱点、現場に残りがちな誤設定、再利用パスワードのような基本的な問題だけでも、自律的に攻撃経路を変えるワームが成立し得ると示されました。これは、現実の企業防衛にとってかえって深刻です。

多くの組織では、全資産の把握、パッチ優先順位、例外的に残る古い機器の管理が完全ではありません。AIワームは、人間の攻撃者が一つずつ確認していた探索と判断を、反復可能な作業として進めます。攻撃の高度化というより、未処理の運用課題を高速で突く仕組みと見るべきです。

盗用計算資源が生む攻撃経済

研究ページでは、このワームが感染先の計算資源やネットワーク到達性を使い、次の推論や攻撃範囲の拡張に利用する構造が説明されています。GPUを持つノードが推論の中枢になり、低計算能力の機器はそこへ問い合わせながら攻撃を継続するという階層的な設計です。

ここで生じるのは、攻撃コストの非対称性です。攻撃者は初期投入だけで済み、感染が進むほど被害者側の計算資源やネットワーク位置を使えるようになります。研究チームは、追加感染ごとの限界費用がほぼゼロに近づく構図を強調しています。

この構造は、商用AIサービスの安全対策にも限界を突きつけます。ワームが商用APIに依存せず、ローカルで動くオープンウェイトのLLMを使う場合、サービス提供者側の利用拒否、レート制限、コンテンツフィルターは直接の制動装置になりません。AIベンダーのガードレールだけで止めるという発想は不十分です。

もっとも、研究は野放しのマルウェア公開ではありません。実装は公開されず、推論グラフやツール構成、使用モデルなど悪用に直結し得る詳細も意図的に伏せられています。公開の意義は、攻撃手順の共有ではなく、防御側が新しい脅威クラスを検証できるようにすることにあります。

AI防御競争を速める脆弱性発見

MythosとGTIGが示す速度差

AIによる脆弱性探索は、防御側にも攻撃側にも同時に効きます。AnthropicはProject GlasswingでClaude Mythos Previewを使い、約50のパートナーと重要ソフトウェアの脆弱性を調査しました。同社の5月22日の更新では、高または重大に分類される脆弱性が1万件超見つかったと説明されています。

Cloudflareでは重要経路のシステムから約2,000件のバグが見つかり、そのうち約400件が高または重大として扱われました。MozillaはFirefox 150のテストで271件の脆弱性を見つけて修正したとされています。これは、防御側がAIを使えばソフトウェアをより早く堅牢化できることを示します。

一方で、同じ能力は攻撃側の時間も縮めます。Google Threat Intelligence Groupは、2026年5月のAI Threat Trackerで、AIで開発されたとみられるゼロデイ悪用の事例を確認したと発表しました。対象は二要素認証を回避し得るロジック上の欠陥で、Googleはベンダーと連携して活動を妨害したとしています。

さらにGoogleは、AIがマルウェアの難読化、動的な命令生成、自律的な端末操作に使われる事例も報告しています。PROMPTSPYのように、端末画面の状態をAIに解釈させ、次の操作を決めるAndroidバックドアは、従来の遠隔操作型マルウェアとは違う運用モデルを示します。

つまり、AIワームの実証は孤立した学術的出来事ではありません。脆弱性発見AI、攻撃支援AI、AI統合型マルウェアが同じ地平に並び始めています。防御側にとっては、AIを使わない選択そのものが、攻撃者との速度差を広げるリスクになりつつあります。

NVDとKEVにかかる運用負荷

この変化は、脆弱性データベースやパッチ運用にも圧力をかけます。NISTは2026年4月、NVDの処理方針をリスクベースへ変えると発表しました。背景にはCVE届出の急増があり、2020年から2025年にかけて届出が263%増え、2026年初の3カ月も前年同期を約3分の1上回ったと説明しています。

NISTは2025年に約4万2,000件のCVEをエンリッチし、これは過去最高を45%上回る水準でした。それでも増加に追いつかず、CISAのKnown Exploited Vulnerabilities、政府利用ソフト、重要ソフトウェアを優先する方針へ移っています。これは、脆弱性情報の流量がすでに人手中心の処理能力を超えつつあることを意味します。

CISAのKEVカタログは、実際に悪用が確認された脆弱性を優先するための実務的な基盤です。GitHub上の公式ミラーでは、CISAが更新するJSONとCSVデータが公開され、修正期限や必要な対応も機械的に扱える形で提供されています。AI時代には、このような機械可読なリスク情報を自社資産と結びつける能力が重要になります。

Google CloudのM-Trends 2026も、攻撃速度の上昇を別の角度から示しています。Mandiantの2025年の調査では、侵入の初期ベクトルとしてエクスプロイトが32%を占め、6年連続で最多でした。初期アクセスから次の攻撃グループへの引き継ぎ時間は、2022年の8時間超から2025年には22秒へ縮んだとされています。

この速度の世界では、月次の棚卸しや手作業の優先順位づけだけでは足りません。AIワームが現実化するかどうか以前に、攻撃者の手順はすでに機械速度へ寄っています。NVD、KEV、脅威インテリジェンス、自社資産台帳、パッチ適用状況を継続的につなぐ基盤が、防御の最低ラインになります。

企業防衛を変える三つの焦点

まず必要なのは、ネットワークを平らなまま放置しないことです。研究チーム自身も、今回の実験環境はワーストケースに近い平坦なネットワークであり、ゼロトラストやマイクロセグメンテーションが横展開の範囲を縮めると説明しています。感染を完全に防げない前提で、到達可能な範囲を狭める設計が必要です。

次に、資産と脆弱性の見える化を常時運用へ変えることです。Google Cloudは、静的なスプレッドシートや手作業の資産管理ではAI支援型攻撃に追いつけないと指摘しています。端末、サーバー、ネットワーク機器、クラウド、AIシステム、Kubernetesの一時的な資産まで、自動更新される台帳に載せる必要があります。

三つ目は、開発と運用の境界を越えた防御です。AIワームは実行環境だけでなく、依存ライブラリ、CI-CD、コードリポジトリ、シークレット管理の弱さを攻撃経路にできます。ソースコード、ビルドランナー、自動実行機構を一体として守り、AIによるコードレビューや脆弱性スキャンを防御側の標準装備にするべきです。

注意すべきは、パッチ適用だけを万能視しないことです。パッチは不可欠ですが、AIが複数の弱点を選び替えるなら、一つの穴を塞いでも別の経路へ移ります。多要素認証、最小権限、ログ保持、バックアップの分離、外向き通信の制御を組み合わせ、失敗しても被害が広がらない設計が必要です。

読者が今日確認すべき防衛項目

今回のAIワーム実証は、未来の破滅予言ではなく、現在の運用課題を拡大鏡にかけた研究です。既知脆弱性、設定不備、パスワード再利用、資産台帳の欠落、横展開しやすいネットワークは、どれも新しい問題ではありません。新しいのは、それらをAIが観測し、選び、連結できることです。

企業の担当者はまず、CISA KEVに載る脆弱性と自社の外部公開資産を照合し、例外扱いの機器を洗い出すべきです。次に、管理ネットワーク、バックアップ、ID基盤、CI-CD基盤を横展開から隔離できているか確認する必要があります。さらに、AIを攻撃者だけの武器にしないため、検知、トリアージ、パッチ候補作成に防御側AIを組み込むことが急務です。

研究者が隔離環境で警鐘を鳴らした段階で動けるかどうかが、次の差になります。AIワームの本質は「高度な魔法」ではなく、放置された弱点を推論でつなぐ自動化です。読者に求められる対応も、基本を高速化し、例外を減らし、侵入後の広がりを小さくする地道な再設計です。

参考資料:

• AI Agents Enable Adaptive Computer Worms
• CleverHans Lab - AI Agents Enable Adaptive Computer Worms
• Researchers show how AI-powered worms could wreak havoc on the internet
• AI-powered computer worms herald ‘new era’ of cybersecurity threats
• GTIG AI Threat Tracker: Adversaries Leverage AI for Vulnerability Exploitation, Augmented Operations, and Initial Access
• Defending Your Enterprise When AI Models Can Find Vulnerabilities Faster Than Ever
• M-Trends 2026: Data, Insights, and Strategies From the Frontlines
• Project Glasswing: An initial update
• Anthropic’s coordinated vulnerability disclosure dashboard
• Coordinated vulnerability disclosure for Claude-discovered vulnerabilities
• Cybersecurity in the Intelligence Age
• National Vulnerability Database
• cisagov kev-data
• First month of Mythos Preview testing exposes 10K flaws
• Anthropic debuts preview of powerful new AI model Mythos in new cybersecurity initiative