「ChatGPTやClaudeで業務効率は確かに上がった。でも、同じ技術を使った攻撃が自社に向けられ始めたら、何から手を打てばいいのか」
2026年5月、Googleの脅威分析チームが「サイバー攻撃者がAIを使ってゼロデイ脆弱性を発見・武器化した初の公開実例」を確認したと報告しました。日本政府も同月12日、Anthropicの「Claude Mythos」を念頭に置いたサイバー対策を首相が指示。三菱UFJ・三井住友・みずほの3メガバンクは官民タスクフォースで防御側AIの導入を進めています。同じ日、警視庁は社員が無断でAIを使う「シャドーAI」へ正式に注意喚起を出しました。
この記事では、生成AIを業務に組み込み始めた情報システム部門・経営層・AIプロジェクト担当者に向けて、AI悪用攻撃の最新動向、企業が受けている具体的な影響、対策フレームワーク、社内ガバナンスを動かす組織変革の手順を解説します。執筆時点は2026年5月15日です。
AI悪用攻撃の最新動向:2026年5月時点で起きていること
「AI悪用」と一口に言っても、攻撃の入り口は大きく3層に分かれます。①攻撃者がAIで脆弱性を発見する、②攻撃者がAIで攻撃コード・フィッシング文面を量産する、③従業員が業務で使ったAIから企業情報が漏れる。3層が同時に進行しているのが2026年の特徴です。
1. Googleが確認した「AIで作られたゼロデイ攻撃」初の実例
Google Threat Intelligence Group(GTIG)は2026年5月、攻撃者がLLMを使ってオープンソースのシステム管理ツールに存在する意味論的な論理欠陥を発見し、2要素認証バイパスのPythonエクスプロイトを生成した事例を公開しました。GTIGによれば、これは「AIを使って開発されたと考えられるゼロデイ脆弱性が、実際の攻撃に使われた初の公開事例」です。
同レポートでは、中国(PRC)系・北朝鮮(DPRK)系のクラスターが「ペルソナ駆動型ジェイルブレイク」を使い、セキュリティ研究者やCTF参加者を装ってAIモデルからガードレールを外す手口を増やしていることも明らかにされました。
2. Claude Mythos対応 — 政府と3メガバンクが動いた5月12日
2026年5月12日、高市首相は松本サイバーセキュリティ担当相に対し、Anthropicの最新モデル「Claude Mythos」を念頭にしたサイバー対策の検討を指示しました。Mythosはソフトウェア脆弱性を発見する能力が極めて高く、悪用されるとサイバー攻撃の速度と規模が一段上がるとされています。Anthropic自身が「危険すぎて一般公開できない」と日本の国家サイバーセキュリティ会議で説明したと報じられています。
3メガバンクと日銀を含む36機関が官民タスクフォースを設置し、Mythosのアクセス権を得たうえで「攻撃者より先に自社の脆弱性を見つける」プロアクティブ・サイバー防御へ移行する方針です。
3. シャドーAI ― 警視庁が初めて名指しで警告
同じ5月12日、警視庁サイバーセキュリティ対策本部は公式X(@MPD_cybersec)で「シャドーAI」に注意喚起しました。シャドーAIとは、会社が管理していないAIサービスを従業員が業務で使うことで、警視庁は次の3つを主要リスクとして提示しています。
・情報漏えい: 個人情報や企業秘密を入力したデータが、AI事業者のサーバや学習データに残るリスク
・著作権侵害: 生成物が第三者の著作物に酷似し、外部公開で問題化するリスク
・ハルシネーション: もっともらしい嘘を出力し、検証なしに使うと業務判断を誤らせるリスク
4. WormGPT・FraudGPTから「攻撃SaaS」への進化
2023年に登場したWormGPTやFraudGPTは、2025年時点で多機能の「攻撃SaaS」へと進化しました。英語圏・ロシア語圏の闇フォーラムでは、フィッシングキット生成、マルウェアコード生成、ディープフェイクによる身分証偽造、脆弱性悪用までを一括提供するプラットフォームが価格階層付きで運営されています。FunkSec・Black Basta などのランサムグループはLLMをランサムウェアコード生成やソーシャルエンジニアリングの高度化に利用しており、生成AI関連フィッシング攻撃は生成AI普及前と比較して1265%増という調査もあります。
5. IPA「10大脅威 2026」で初選出された「AIの利用をめぐるサイバーリスク」
IPA(独立行政法人情報処理推進機構)は2026年1月29日、「情報セキュリティ10大脅威 2026」を公表しました。組織向け脅威の3位に「AIの利用をめぐるサイバーリスク」が初選出され、3つの側面で整理されています。
・利用者観点: 不十分な理解による情報漏えい、他者の権利侵害
・開発・提供者観点: AIモデルそのものへの攻撃(プロンプトインジェクション、モデル汚染)
・社会観点: AI悪用による攻撃の容易化・高度化
具体事例としてMicrosoft 365 Copilotの脆弱性「EchoLeak」による社内秘密データ流出可能性、生成AIで作成した資料に実在しない判例が混入した事例、生成AIで作ったプログラムによる不正アクセス事例が挙げられています。
PR
AI白書 2025 生成AIエディション(東京大学 松尾・岩澤研究室 監修)
生成AIの技術動向・法制度・安全性・ガバナンスを松尾豊研究室が体系的に整理した1冊。IPA「10大脅威 2026」やNIST AI RMFと突き合わせて読むと、自社のAIリスク台帳の章立てに直接落とし込めます。
AI悪用攻撃の種類別比較:自社にとってどれが「効く」のか
攻撃手法ごとに必要な対策・所管部門・優先度は異なります。生成AI活用企業が直面する5系統を比較します。
| 攻撃の種類 | 主な手口 | 主な被害 | 所管部門 | 2026年の優先度 |
|---|---|---|---|---|
| AI支援型脆弱性発見 | LLMでソースコード・パケット解析、ゼロデイ生成 | 未パッチ製品の侵害、認証バイパス | 情シス+セキュリティ | 最高 |
| シャドーAI経由の情報漏えい | 従業員が個人アカウントで機密入力 | 機密情報の外部学習・履歴残存 | 情シス+人事+法務 | 最高 |
| AI生成フィッシング | WormGPT系で多言語・文脈一致メール量産 | BEC、ランサム侵入、口座詐取 | セキュリティ+情シス | 高 |
| プロンプトインジェクション | 外部文書・画像に指示を埋め込み、社内AIを乗っ取り | 社内データ漏えい、誤った業務判断 | AI推進部門+情シス | 高 |
| ディープフェイク・なりすまし | 役員音声・ビデオの合成で送金指示 | BEC、内部統制崩壊 | 経理+経営+情シス | 中 |
対策フレームワーク:3つの公式指針で土台を作る
「何から手を付けるか」で迷う前に、Before/Afterで全体像を押さえます。2023年のSamsung Electronicsの事例と、2026年のシャドーAI実態を並べると、生成AI普及2年で企業が直面したリスクの輪郭がはっきり見えてきます。
Before:2023年Samsung Electronicsの教訓
Samsungの半導体部門(DS)は2023年3月11日にChatGPT社内利用を許可しました。許可から約20日で機密漏洩3件が発生(設備情報漏洩2件、会議議事録漏洩1件)。緊急措置として1質問あたり1024バイトの上限を設定し、その後2023年3月~5月に全社で生成AI利用を全面禁止しました。Apple・Amazon・NTTドコモも同時期にChatGPTの業務利用に制限をかけました。
After:2026年5月時点のシャドーAI実態と打ち手
2026年5月にサイバーセキュリティクラウド社が公表した生成AI利用実態調査(PCを日常業務で使う会社員300名対象)では、利用者の約35%が「機密情報をAIに入力した」「他人の個人情報を入力した」などのヒヤリハットを経験したと報告されています。同調査では、社内文書・財務情報・顧客データなどを入力した利用者が過半数、会社が承認していないAIを使うシャドーAI状態が約15%という結果も出ています。警視庁が公式に注意喚起を出すまで、シャドーAIは「現場が暗黙にやっている」状態でした。2026年に企業が選び始めている現実的な打ち手は次の4本柱です。
・全面禁止から条件付き許可へ: 法人契約のAIテナント(ChatGPT Enterprise、Claude for Enterprise、Microsoft 365 Copilot等)を提供し、個人アカウント利用を技術的にブロック
・ログと監査の整備: どの社員がどのAIに何を入れたかをDLPで可視化、四半期ごとに監査
・分類ベースの入力ルール: 機密区分(公開/社内/秘密/極秘)ごとに「AIに入れてよい・悪い」を明文化
・プロアクティブな脆弱性検知: 攻撃者がAIで自社製品の脆弱性を見つける前に、自社・委託先で防御側AIをスキャンに使う
これら4本柱を体系化するために、日本企業が参照しやすい3つの公式フレームワークを土台に据えます。
「何から手を付けるか」で迷ったら、まず公的フレームワークの軸に乗ることをおすすめします。日本企業が参照しやすい3つを紹介します。
フレームワーク1:NIST AI RMF 1.0 + Generative AI Profile(NIST AI 600-1)
NIST(米国国立標準技術研究所)が2023年1月に公表した「AIリスクマネジメントフレームワーク 1.0」と、その生成AI向け補遺である「Generative AI Profile(NIST AI 600-1、2024年7月公表)」です。任意適用ですが、AIガバナンスの国際的な共通言語になっています。コア機能は4つ。
・Govern(統治): AIに関する方針・役割・責任を組織として定める
・Map(マッピング): 自社のAI利用シーンとリスクを洗い出す
・Measure(計測): リスクの大きさと頻度を測る指標を持つ
・Manage(管理): リスクへの対処と継続的見直しを回す
Generative AI Profileは、生成AI固有の12リスクカテゴリ(情報漏えい、有害コンテンツ、CBRN情報、サイバーセキュリティ等)を整理しています。社内のAIリスク台帳のひな型として活用できます。
フレームワーク2:経産省・総務省「AI事業者ガイドライン」第1.1版
2024年4月に第1.0版、2025年3月28日に第1.1版が公表された日本版の指針です。本編で「目指す社会(why)」と「指針(what)」を、別添で「実践(how)」を示す構成です。第1.1版では、広島AIプロセスの国際行動規範への自主報告手法(2025年2月運用開始)やEU AI Act(2024年8月発効)への言及が追加されました。日本拠点の企業が国内当局・取引先に説明責任を果たす際の足場になります。
フレームワーク3:OWASP Top 10 for LLM Applications 2025
2024年11月公開のv2025では、LLM01が引き続き「Prompt Injection」です。直接型(ユーザーが指示を上書き)と間接型(外部文書・画像に隠した指示で乗っ取り)に分類されています。緩和策の柱は次のとおりです。
・入力検証+出力フィルタリング: 危険ワード・パターンの検知を入口と出口の両方で行う
・権限の最小化: AIが社内データへアクセスできる範囲を必要最小限に絞る
・human-in-the-loop: 機微な処理(送金、削除、外部送信)は必ず人間が承認する
・システムプロンプトでの動作制約: 出力形式・対応範囲をシステム側で固定し、外部入力で上書きさせない
組織変革の具体策:6か月で動かす実装プラン
フレームワークだけ用意しても、現場が動かなければ意味がありません。情シス・経営・各事業部の3者が動く具体プランを6か月単位で示します。
0~1か月目:現状把握とトップメッセージ
・シャドーAIの棚卸し: プロキシ・SaaS連携ログ・経費精算からAI利用実態を把握。アンケートも併用
・機密データ分類の見直し: 公開/社内/秘密/極秘の4区分を最新業務に合わせて更新
・経営からの一斉メッセージ: 「禁止」ではなく「公式ルートを用意する」と明示。罰則よりも代替手段を強調
2~3か月目:公式AIテナントの導入とポリシー策定
・法人契約AIの選定: ChatGPT Enterprise/Claude for Enterprise/Microsoft 365 Copilot/Gemini for Workspace等から、データ保持ポリシー・SOC2・国内データセンターの有無で評価
・AI利用ガイドライン: 機密区分別の入力可否、出力の検証手順、生成物の社外公開ルールを明文化
・個人アカウントのブロック: ネットワーク・端末側で個人版AIサービスへのアクセスを制限
4か月目:技術的なガードレール
・DLP連携: AIへの入力テキストをDLPで監視し、機密分類のラベルが付いた情報の送信をブロック
・ログ集約: AI利用ログをSIEMに集約し、異常検知ルールを設定
・プロンプトインジェクション対策: 外部文書・メール・添付ファイルから取り込むコンテンツを「untrusted」として明示的に分離
5~6か月目:監査と改善のサイクル化
・四半期監査: 利用ログのサンプリングレビューと、シャドーAI再棚卸し
・インシデント対応訓練: 「機密がAIに入った」「AIがフィッシングメールを生成した疑い」を想定した机上演習
・NIST AI RMFのMeasure指標化: 「AI関連インシデント件数」「ガイドライン遵守率」「教育受講率」を経営報告に組み込む
AIセキュリティ成熟度チェックリスト:自社の現在地を採点する
20項目のチェックリストで、自社のAIセキュリティ成熟度を確認します。各項目「はい/いいえ」で答え、「はい」の数で現在地を判定してください。
ガバナンス(5項目)
・1. 経営層が承認したAI利用方針を文書化している
・2. AI推進と情報セキュリティの所管が明確に分かれ、責任者が任命されている
・3. AIに関する社内相談窓口(ヘルプデスク)がある
・4. AI利用方針を年1回以上見直すサイクルを持っている
・5. AI事業者ガイドライン第1.1版またはNIST AI RMFを参照している
データ管理(5項目)
・6. 機密区分(公開/社内/秘密/極秘)の最新版を全社に展開済み
・7. 区分ごとに「AIに入れてよい・悪い」のルールを明文化済み
・8. 法人契約のAIテナントを少なくとも1つ提供している
・9. 個人アカウントの生成AIサービスを技術的にブロックしている
・10. AIへの入力をDLPで監視・記録している
技術対策(5項目)
・11. AI利用ログをSIEMに集約している
・12. プロンプトインジェクション(直接型・間接型)の検知ルールを設定している
・13. 社内RAGや業務統合AIの参照範囲を最小権限で制御している
・14. 重要操作(送金、削除、外部送信)にはhuman-in-the-loopを必須にしている
・15. 自社製品・社内システムに防御側AIによる脆弱性スキャンを導入または検討中
教育・運用(5項目)
・16. 全社員向けにAIリテラシー研修を年1回以上実施している
・17. 役員向けにディープフェイク詐欺・BEC対策の説明を実施済み
・18. AI関連インシデント対応の机上演習を年1回以上実施している
・19. 委託先・SaaSベンダーのAI利用ポリシーを契約に明記している
・20. AI関連インシデント件数・遵守率を経営報告KPIに組み込んでいる
採点と次の一手
・16以上: 先進。次は防御側AIの活用と、業界横断の脅威情報共有
・11~15: 標準。技術対策と教育を底上げし、監査サイクルを安定化
・6~10: 要加速。公式テナント導入と個人アカウントブロックを最優先
・5以下: 危険水域。経営承認のもと、初期90日プランを直ちに実行
よくある質問(FAQ)
Q1. 「生成AIを全社禁止」が一番安全では?
短期的にはリスクが下がりますが、シャドーAIに移行するだけで結局見えなくなります。Samsungが2023年3月~5月に全面禁止を選んだ後、業界全体は「条件付き許可+公式テナント」へと舵を切りました。禁止より「公式ルートの提供+分類別ルール+ログ可視化」のほうが、実態としてリスクを下げやすい構図です。
Q2. AI悪用攻撃は中小企業にも来ますか?
来ます。攻撃者向けの生成AIツール(WormGPT・FraudGPT系の進化版)は月額数十ドル~数百ドルで利用できる「攻撃SaaS」化しており、ターゲット選別のコストが下がりました。フィッシングメールが多言語・自然な日本語で量産されるため、海外取引のない中小企業でも巧妙ななりすましメールが届くようになっています。
Q3. Claude Mythosのようなモデルは私たちでも使えますか?
2026年5月時点では一般公開されていません。日本政府・3メガバンクなど36機関の官民タスクフォースが先行アクセスを交渉中という段階です。一般企業はまず、公開されているChatGPT EnterpriseやClaude for Enterpriseで「攻撃側AIに対抗できる体制」を整え、防御側AIの選択肢が広がるのを待つのが現実的です。
Q4. プロンプトインジェクション対策で「これだけは外せない」のは?
外部文書・メール本文・画像など「他者が編集できるコンテンツ」をAIに読み込ませる場合、それを必ず「untrusted(信用できない情報源)」として明示的に区別することです。OWASP Top 10 for LLM Applications 2025のLLM01でも、信頼境界の明確化が中核に置かれています。加えて、機微な処理(送金・削除・外部送信)は必ず人間が承認するhuman-in-the-loop構成にしておきます。
Q5. NIST AI RMFは日本企業も使う意味がありますか?
あります。NIST AI RMFは任意適用ですが、海外取引先からのデューデリジェンスや、グローバル展開時の説明資料に使いやすい共通言語です。国内向けには経産省・総務省「AI事業者ガイドライン」第1.1版を主軸にし、補足としてNIST AI RMFのGovern/Map/Measure/Manageの4機能を社内ポリシーの章立てに採用する企業が増えています。
Q6. シャドーAIをゼロにするのは現実的ですか?
ゼロは難しいですが、「見えない比率」を下げることはできます。①法人契約テナントの提供、②個人版AIサービスへのネットワークレベルのブロック、③DLPによる入力監視、④四半期ごとのアンケートと利用ログ突合で、シャドーAI比率は実測可能になります。重要なのは「ゼロ目標」ではなく「可視化と縮小の継続」です。
Q7. AIインシデントが起きたとき、最初にやるべきことは?
3ステップです。第一に該当AIサービスのアカウント・APIキーを止めて影響範囲を凍結、第二に入力・出力ログから漏えいデータを特定、第三にAI事業者へ削除依頼と再学習除外申請を行います。並行して関係者への報告と、必要なら個人情報保護委員会への報告判断を社内法務と進めます。NIST AI 600-1が掲げる「Incident Disclosure」の重要領域です。
Q8. 経営層にAIセキュリティ投資を承認してもらう殺し文句は?
「禁止コストよりガバナンスコストのほうが安い」という比較です。生成AIで業務効率が2割上がるシーンが社内に存在する以上、全面禁止は機会損失を生みます。一方、公式テナント年間契約+DLP+研修の費用は、機密情報が一度漏えいしたときの直接損害・対応コスト・レピュテーション損失より大幅に低いケースが多く、IPA「10大脅威 2026」3位という外部指標も意思決定の追い風になります。
本記事のまとめ
2026年5月、AI悪用は「未来の話」から「いま自社が対応しなければならない実務課題」に変わりました。Googleが確認した初のAI製ゼロデイ攻撃、Claude Mythosを巡る政府・メガバンクの動き、警視庁のシャドーAI注意喚起、IPA「10大脅威 2026」でのAIリスク3位選出。これらは「攻撃側がAIで先回りする時代」と「防御側もAIガバナンスで先回りする時代」がついに揃って始まったことを示しています。
本記事で示した「3公式フレームワーク(NIST AI RMF+AI事業者ガイドライン+OWASP Top 10 for LLM)」と「6か月の組織変革プラン」「20項目チェックリスト」をたたき台に、まず自社の現在地を採点してみてください。最初に動かすべきは技術ではなく、経営層から「公式ルートを用意する」というメッセージを出すことです。
AIセキュリティをより広い文脈で押さえたい方は、姉妹サイトセキュリティマスターズ.TOKYOで脆弱性・サイバー攻撃の最新動向を、企業全体のDX戦略はDXマスターズ.TOKYOで確認できます。AI実行基盤としてのLinuxサーバー設計はリナックスマスター.JP、クラウドAIサービスの選定はクラウドマスターズ.TOKYOもあわせてどうぞ。
PR
AIガバナンス入門 リスクマネジメントから社会設計まで(羽深宏樹 著/ハヤカワ新書)
AIガバナンスの第一人者がアジャイル・ガバナンスを軸に、リスク分類・説明責任・透明性まで解説。経営層へAIセキュリティ投資の必要性を説明する際の共通言語として手元に置きたい1冊です。
PR
生成AIの著作権・個人情報・契約実務までを企業法務の観点から整理。シャドーAI対策や委託先契約条項を作り込むときの実務リファレンスとして、情シス・法務・人事の共通テキストに使えます。
AI悪用時代の「使いこなす側」になるための実践ノウハウ
生成AIの業務活用と、AIセキュリティガバナンスの両立は、もう「先送りできない経営課題」です。
生成AIを”使う側”から”使いこなす側”へステップアップしたい方へ、メルマガで実践的なAI活用ノウハウとリスク対策をお届けしています。
