政府や企業に壊滅的なサイバー攻撃をもたらすAIモデルが「数カ月以内」に登場する恐れ、ファイブ・アイズが異例の共同警告

アメリカ、イギリス、カナダ、オーストラリア、ニュージーランドによる情報共有枠組み「ファイブ・アイズ」のサイバーセキュリティ機関が、AIによってサイバーリスクが急速に変化しているとして、政府や企業の首脳に「今すぐ行動を起こすべき」と促す共同声明を公開しました。声明では、最先端AIモデルが攻撃と防御の両方の能力を大きく変える時期は「年単位ではなく数カ月以内」と表現されています。

The AI shift in cyber risk: why leaders must act now | National Cyber Security Centre
https://www.ncsc.gov.uk/news/the-ai-shift-in-cyber-risk-why-leaders-must-act-now

AI models capable of devastating attacks on governments and business months away, rare Five Eyes statement warns | AI (artificial intelligence) | The Guardian
https://www.theguardian.com/technology/2026/jun/22/anthropic-claude-fable-ai-model-artificial-intelligence-national-security

Rare Five Eyes statement warns AI 'months away' from taking down governments | Metro News
https://metro.co.uk/2026/06/22/ai-models-can-take-governments-business-is-months-away-28879138/

政府や企業を対象にしたサイバー攻撃はAIブームより前から頻繁に発生しており、病院の予約システムが止まったり、企業の社内ネットワークが暗号化されて業務メールも会計ソフトも開けなくなったりといった大規模な被害も発生しています。こういったサイバー攻撃には「脆弱(ぜいじゃく)性を探す」「攻撃用プログラムを作る」「狙った組織への攻撃を実行する」というプロセスに相応の知識と時間が必要でした。しかし生成AIは、サイバー攻撃に必要な作業を簡略化でき、比較的技術力の低い攻撃者でもサイバー攻撃が可能となります。ファイブ・アイズの声明では、AIはサイバー防御を改善する一方で、脅威の速度、規模、巧妙さも高めると説明されています。

特に問題視されているのが最先端のAIモデルである「フロンティアAIモデル」です。AIがサイバーシステムの脆弱性を見つける力が高まることは、防御側が修正箇所を早く見つけられるという利点につながるものの、一方で攻撃側が同じ能力を使えばまだ修正されていない弱点を素早く見つけて悪用できる恐れがあります。

こうした状況でファイブ・アイズが求めているのは、セキュリティ部門だけに対応を任せる姿勢からの転換です。サイバー攻撃で工場が止まる、顧客情報が流出する、行政サービスが使えなくなるといった被害は、技術部門だけで完結しません。売上、信用、取引先、利用者、国民生活に直結するため、声明ではサイバーリスクを「経営上のリスク」や「リーダーシップの責任」として扱う必要があるとしています。

対策の出発点として挙げられているのは、特別な新技術を導入することではなく、攻撃される入口を減らすことです。外部からアクセスできるシステムを必要最小限にし、不要な接続を切り、重要なシステムを分離すれば、攻撃者が侵入に使える経路を減らせます。高度なAI攻撃が登場してから慌てて対応するのではなく、攻撃者に狙われる可能性のある場所を事前に減らしておくことが重要だというわけです。

次に重要なのが、ソフトウェア更新の遅れを減らすことです。脆弱性が公表されてから悪用されるまでの時間がAIによって短くなると、数週間以内に修正すればよかった時代の前提は崩れます。古いシステムや更新の難しい業務システムほど狙われやすくなるため、声明ではレガシーシステムを単なる技術的負債ではなく、戦略上の負債として扱うべきだと指摘しています。

アカウント管理も重要な対策です。誰が重要なシステムに入れるのか、退職者や異動者の権限が残っていないか、多要素認証が使われているかを確認することで、侵入後の被害拡大を抑えられます。AIによって攻撃の速度が上がるほど、1つの盗まれたIDから全社システムへ広がる危険性も大きくなるためです。

さらに、侵入を完全に防ぐ前提ではなく、侵入された後に早く封じ込める準備も求められています。インシデント対応計画を作るだけでなく、実際に訓練し、担当者の連絡網や復旧手順を確認しておく必要があります。声明では、侵害は起こり得るものであり、準備によって大規模な業務停止や財務上の危機への発展を防ぎやすくなると説明されています。

防御側でもAIを活用するよう呼びかけられています。脆弱性の早期発見、ソフトウェア品質の改善、不審な動作の監視、インシデント対応の高速化などにAIを使えば、攻撃者だけがAIの恩恵を受ける状況を避けられます。

ファイブ・アイズは、AIによってサイバーリスクの前提が数カ月単位で古くなる可能性があると警告しています。政府や企業が準備を先送りすれば、避けられたはずのリスクが業務継続や市場の信頼を揺るがす恐れがあるとのこと。ファイブ・アイズの各機関は、産業界やベンダーを含むリーダーに対し、人々を守り未来を安全にするため、今すぐ協力して行動するよう呼びかけています。