更新日: 2026年5月21日
2026年、サイバー攻撃の約16%にすでにAIが関与している——複数の調査がこの数字を示している。1年前まで「いずれ来る脅威」と語られていたものが、もう現実の数字として観測されるフェーズに入った。
そして、この戦場はいま3つの勢力がぶつかる 三つ巴 になっている。
- 攻撃側のAI — 自律型ランサムウェア、ディープフェイク詐欺
- 防御側のAI — Anthropic の Claude Mythos、Google の CodeMender、OpenAI の GPT-5.5-Cyber
- 国家の規制 — 日本政府(総務省ガイドライン・AI推進法)
この記事では、AIを実務で触っている立場から、この三つ巴の現状を整理し、最後に「今すぐできること」まで具体的に落とし込む。技術の話とビジネスの話、両方が必要なテーマなので、どちらの立場でも読めるように書いた。
第1部:攻撃側 — AIが変えたサイバー攻撃の実態
まず押さえるべきは、AIが攻撃の「質」と「コスト」の両方を変えてしまったという事実だ。
自律型攻撃から、完全自律ランサムウェアへ
2025年、AIが統制する攻撃が初めて確認された。そして2026年、その能力は成熟し、完全自律型のランサムウェアを実行する仕組みへと進化しつつあると予測されている。
何が怖いかというと、これは攻撃の「民主化」を意味する。従来は組織的なサイバー犯罪グループにしかできなかった大規模・多標的の攻撃が、個人や小規模グループでも、複数の標的を同時に攻撃できるようになる。AIが偵察・侵入・横展開・暗号化までを自動で回す世界だ。
ディープフェイク詐欺 — 経営者の顔と声が武器になる
最も実害が出ているのが、ディープフェイクを使ったソーシャルエンジニアリングだ。経営者の声や顔を偽造し、電話やビデオ会議で送金を指示する「新時代の振り込め詐欺」が、すでに現実に発生している。
これは中小企業ほど危ない。大企業のような多段階の決裁フローや内部統制がない分、「社長から直接ビデオ会議で指示が来た」という状況に弱い。声も顔も本物に見える以上、従来の「メールの差出人を確認する」程度のリテラシーでは防げない。
コスト低下で、中小企業が標的になる
AIによって攻撃側のコストが劇的に下がった。これが意味するのは、「うちは小さいから狙われない」が通用しなくなったということだ。従来は費用対効果が合わず見送られていた中小企業が、AIによる自動化で「ついで」に攻撃できるようになっている。
実例 — MCP / AIアシスタントの脆弱性
具体的な事例も出てきている。2025年には、GitHub の MCP Server の脆弱性を突いてプライベートリポジトリの情報を読み出す事例や、Salesforce のAIアシスタント「Einstein」の脆弱性を悪用して顧客データを上書きできる事例が発覚した。
ここで注目すべきは、攻撃対象が「AIを組み込んだシステムそのもの」に移っている点だ。AIを業務に組み込むほど、AI経由の新しい攻撃面(アタックサーフェス)が増える。プロンプトインジェクション(AIに不正な指示を注入する攻撃)はその象徴だ。
IPA「情報セキュリティ10大脅威 2026」にAIリスクが初登場
国内の指標としても、IPA(情報処理推進機構)の「情報セキュリティ10大脅威 2026」に、ついにAI関連リスクが初めてランクインした。これは「一部の専門家の懸念」から「全企業が向き合うべき標準リスク」へと格上げされたことを意味する。
第2部:防御側 — Claude Mythos と「使えない最強AI」の意味
攻撃がAIで高度化するなら、防御もAIで対抗するしかない。その象徴が、Anthropic が2026年4月に発表した Claude Mythos だ。
Claude Mythos とは — 強すぎて一般公開されないモデル
Claude Mythos(クロード・ミュトス。表記揺れで「ミトス」「ミソス」とも呼ばれる)は、ギリシャ語の「μῦθος=物語・語り継がれる根源的な言葉」を語源に持つフロンティアモデルだ。
最大の特徴は、一般公開されないこと。Anthropic は「Project Glasswing」という防御的セキュリティプログラムの一環としてこれを位置づけ、提供先を AWS・Apple・Microsoft・Google といった創設パートナー12社と、重要インフラ系の約40組織に限定した。理由は明快で、そのサイバーセキュリティ能力が広く提供するには危険すぎるという判断だ。
報じられている実績は衝撃的だ。OpenBSD で27年間、FFmpeg で16年間も発見されなかった脆弱性を、Mythos が自律的に発見したとされる。何十億回もの自動スキャンをすり抜けてきたバグを、AIが見つけ出した格好だ(※これらは二次情報に基づく報道であり、一次情報での確認が望ましい)。
「使えないのに最強」が示すもの
ここで重要なのは、Mythos が「ショーケース」として機能している点だ。最強の脆弱性発見能力は、裏を返せば最強の攻撃ツールにもなる。だからこそ一般公開せず、防御側の限られた組織にだけ渡す。この「両刃の剣」性こそが、AIセキュリティの本質的なジレンマを表している。
Google も同じ方向に動いている。Google I/O 2026 で発表された CodeMender は、コードの重大な脆弱性を自動で発見・修正するセキュリティエージェントだ(まずは専門家グループにAPIを限定開放)。攻撃AIの高速化に対し、防御AIの自動化で応じる——大手AIラボはこぞって「守りのAI」に投資し始めている。
関連: Google I/O 2026のCodeMenderを含む全発表はGoogle I/O 2026 全速報で解説しています。
OpenAIも参戦 — GPT-5.5-Cyber と日本政府の連携【2026-05-21 追記】
そして、本記事を公開した翌日の2026年5月21日。OpenAIが、セキュリティ特化モデル「GPT-5.5-Cyber」を日本政府と一部企業に提供する方針を発表した。来日した元NSA長官のポール・ナカソネ氏(OpenAI取締役)が、都内の記者会見で明かしたものだ。
GPT-5.5-Cyberは5月7日に発表されたモデルで、「Trusted Access for Cyber(TAC)」という枠組みのもと、OpenAIが承認した一部組織に限定して提供される。Claude Mythosの「12社限定」と同じ、”信頼できる相手にだけ絞って配る”発想だ。
これで構図がくっきりした。Anthropic(Mythos)・Google(CodeMender)・OpenAI(GPT-5.5-Cyber)——大手3ラボがそろって「守りのAIを、信頼できる相手に限定提供する」方向に動いている。しかもOpenAIは日本政府と直接連携を協議しており、後述する国家の動きと完全に地続きになってきた。
攻撃AI vs 防御AI の軍拡競争
構図を整理するとこうだ。攻撃側は「安く・速く・自律的に」攻める。防御側は「人間より速く脆弱性を見つけて塞ぐ」。両者がAIで殴り合う、いわばAI軍拡競争が始まっている。
そして、この競争には終わりがない。防御AIが見つけた手法は、いずれ攻撃側にも応用される。だからこそ「一度対策すれば安心」ではなく、継続的に走り続けるしかない領域になっている。
第3部:規制 — 日本政府はどう動いているか
技術の殴り合いだけでは社会は守れない。そこに国家の規制が絡む。日本政府も2026年に入って明確に動き出した。
しかも、これは官僚レベルの話にとどまらない。2026年5月、高市総理がClaude Mythosを念頭にサイバー攻撃対策の強化を指示した。自民党のサイバーセキュリティ戦略本部も5月14日、Mythosのような高度に自律的なAIの脅威を挙げ、「Mythos級のオープンモデルが数ヶ月内に登場しうる」として、各国政府や主要テック企業との連携を急ぐよう総理に提言している。首相レベルでAIセキュリティが論じられている——それが今の日本の温度感だ。
総務省「AIセキュリティ確保ガイドライン」(2026年4月)
総務省は2026年4月、「AIのセキュリティ確保のための技術的対策に係るガイドライン」を公表した。2025年9月以降、サイバーセキュリティタスクフォース配下の「AIセキュリティ分科会」で議論されてきた、以下のようなAI特有のリスクへの技術的対策を整理したものだ。
- プロンプトインジェクション(AIに不正・有害な出力をさせる攻撃)
- AIを組み込んだシステムの停止・誤作動を狙う攻撃
- 学習データやモデルの改ざん
- AIの判断を悪用した自動化攻撃の高度化
AI推進法 — 日本は「ソフトロー」を選んだ
もう一つの柱が AI推進法だ。国のAI基本計画の策定、研究開発・人材育成の推進を定めるとともに、悪用による人権侵害のリスクには、国が調査を行い、事業者へ指導・助言する仕組みを盛り込んだ。
ここで日本のスタンスがはっきりする。EU の AI法が罰則付きの厳格な「ハードロー」であるのに対し、**日本はガイドラインベースの自主ガバナンス(ソフトロー)**を選んだ。利用促進と規制のバランスを取り、イノベーションを止めない現実路線だ。
評価は分かれるところだ。「罰則がないと実効性が弱い」という批判もあれば、「過剰規制で日本のAI産業が萎縮するのを避けた賢明な判断」という擁護もある。少なくとも企業にとっては、「法律で守られる」のではなく「自分で守る」前提で動く必要がある、ということだ。
加えて政府は、ディープフェイク対策、AI生成コンテンツを判別する技術(電子透かし等)の開発支援、AI関連サイバー事案への対処能力向上にも取り組むとしている。
第4部:企業が今すべきこと — 実務への落とし込み
ここからが本題だ。三つ巴の現状を踏まえて、企業が実際に何をすべきか。規模別・優先度順に整理する。
1. ディープフェイク詐欺対策(最優先・全社共通)
経営者なりすましの送金詐欺は、技術より業務フローで防ぐのが現実的だ。
- 送金・重要決裁は「ビデオ会議の指示」だけで実行しない運用ルールを明文化
- 金額のしきい値を超える送金は、別チャネル(事前に決めた電話番号やコールバック)での二重確認を必須に
- 「合言葉」方式:役員間で、本人確認用の質問・キーワードを事前共有しておく
これは投資ゼロ、ルール整備だけで効く。中小企業でも今日から始められる。
2. プロンプトインジェクション対策(AI導入企業)
AIを業務に組み込んでいる、または組み込もうとしている企業は、AI経由の新しい攻撃面を意識する必要がある。
- 外部入力(顧客の問い合わせ文、Webから取得したデータ)をそのままAIに渡さない
- AIエージェントに与える権限を最小化(特に書き込み・削除・送金系の権限)
- 総務省ガイドラインを社内のAI利用ポリシーのベースにする
3. 「狙われない」前提を捨てる(中小企業)
AIで攻撃コストが下がった以上、中小企業も標的になる。最低限、以下は押さえたい。
- 多要素認証(MFA)の全社展開
- バックアップの「3-2-1ルール」(3コピー・2媒体・1オフサイト)でランサムウェアに備える
- OS・ソフトの自動更新を徹底(既知の脆弱性が最大の侵入口)
4. AIガバナンス体制(経営層の仕事)
最後に、これは経営マターだ。
- 誰がAI利用のリスクを管理するのか、責任者を決める
- IPA「情報セキュリティ10大脅威 2026」を経営会議で共有する
- 「守りのAI」も検討する——脆弱性スキャンや異常検知にAIツールを導入する側に回る
規模別 対策早見表
「全部やる」は現実的でない。自社の規模に応じて、優先度の高いものから着手するのが鉄則だ。
| 対策 | 個人事業・小規模 | 中堅企業 | 大企業 |
|---|---|---|---|
| ディープフェイク詐欺の二重確認ルール | ◎ 最優先 | ◎ 最優先 | ◎ 最優先 |
| 多要素認証(MFA)全社展開 | ◎ 必須 | ◎ 必須 | ◎ 必須 |
| バックアップ3-2-1ルール | ◎ 必須 | ◎ 必須 | ○ 既存見直し |
| OS・ソフト自動更新の徹底 | ◎ 必須 | ◎ 必須 | ○ 一元管理 |
| AI利用ポリシー策定(総務省GL準拠) | △ 簡易版 | ◎ 推奨 | ◎ 必須 |
| プロンプトインジェクション対策 | △ AI導入時 | ○ AI導入企業 | ◎ 必須 |
| AIガバナンス責任者の設置 | — | ○ 推奨 | ◎ 必須 |
| 守りのAI(脆弱性スキャン等)導入 | — | △ 検討 | ◎ 推奨 |
ポイントは、規模に関係なく「ディープフェイク二重確認・MFA・バックアップ・自動更新」の4つは全員が今すぐやるべきということ。ここはコストもほぼかからない。逆にAIガバナンス体制や守りのAI導入は、企業規模と予算に応じて段階的に進めればいい。
まとめ — 攻防は終わらない、だから「構え」が要る
AIサイバー攻防戦2026を一言でまとめるなら、「攻撃も防御も規制も、すべてが同時に走り始めた年」だ。
攻撃側はAIで安く速く自律的に。防御側は Claude Mythos・CodeMender・GPT-5.5-Cyber のような「守りのAI」で対抗。国家はソフトローで利用と規制のバランスを取りつつ、首相レベルで対策を指示し始めた。この三つ巴は、どれか一つが勝って終わる類のものではない。走り続ける前提の、終わりなき競争だ。
知識労働者・経営者にとって大事なのは、過度に怯えることでも、楽観することでもない。「AIは攻撃にも防御にも使われる両刃の剣だ」と理解し、自社の業務フローとガバナンスを、今の現実に合わせて更新し続けること。それが唯一の現実解だ。
特にディープフェイク詐欺対策のような「投資ゼロ・ルール整備だけ」で効く対策は、この記事を読んだ今日にでも始められる。まずはそこから動いてほしい。
関連記事
本記事は2026年5月21日時点の公開情報に基づきます(GPT-5.5-Cyber・首相指示に関する記述を5/21に追記)。Claude Mythos の脆弱性発見実績など一部は二次情報に基づく記述を含みます。セキュリティ対策の導入にあたっては、各社の最新の公式情報・専門家の助言をご確認ください。
コメント