AI時代のサイバーリスクと企業データの守り方【警察庁サイバー脅威レポート2025・第2回】

サプライチェーンの拡大やテレワークの普及により、企業の内外の境界は曖昧になりました。これに伴い、データは社内サーバだけでなくクラウドストレージにも分散して保管されるようになり、さらにSaaSや生成AIの利用拡大によって、データの所在や利用経路は一層分散・多様化しています。「誰が、どのデータに、どのようにアクセスしているか」を完全に把握することは、多くの企業にとって容易ではない状況です。

AIの普及は、この課題をさらに複雑にしています。AIはデータを学習・処理することで機能する技術であり、企業のAI活用が進むにつれて、機密情報や顧客データがAIシステムと接触する機会は増加します。そしてその接触点が、設定不備や不適切な利用を通じて、攻撃者に悪用されるリスクとなり得ます。

2026年3月、警察庁サイバー警察局が公表した「令和７年におけるサイバー空間をめぐる脅威の情勢等について」は、こうしたリスクが既に具体的な被害事案として顕在化していることを示しています。本コラムでは同レポートを主な根拠としながら、情報システム部門・セキュリティ担当者が認識すべき「AIとデータをめぐるサイバーリスク」を整理します。なお、一部の事例や分析についてはIPA「情報セキュリティ10大脅威2026 解説書（組織編）」も参照しています。^※1 ^※2

攻撃者もAIを活用する時代、攻撃の自動化が進む

サイバー攻撃はかつて、高度な技術知識を持つ一部の専門家にしか実行できないものでした。しかし生成AIの登場により、この状況は変化しつつあります。

警察庁資料で指摘されているのが「AIエージェント」による攻撃の自動化です。AIエージェントとは、与えられた目標に対して自律的にタスクを計画・実行するAIシステムを指します。偵察（ターゲットの調査）、脆弱性の探索、侵入、横展開、データの窃取といった、従来は人間が段階ごとに関与していた攻撃の全工程を、AIエージェントがほぼ自律的に実行できる段階に入りつつあると、民間企業の報告を引用しながら警告しています。

実際に、IPA「情報セキュリティ10大脅威2026 解説書（組織編）」では、Anthropic社の調査を引用し、中国の国家支援型アクターがAI「Claude Code」を悪用し、偵察、脆弱性発見、認証情報窃取、データ分析といった攻撃プロセスの80〜90%をAIが自律的に実行していたことが報告されています。

また、攻撃者の「参入障壁」の低下という観点では、17歳の高校生が生成AIを悪用して不正プログラムを作成し、複合カフェのアプリサーバに約724万件の不正な指令を送信、会員情報を漏えいさせるとともにアプリ機能の一部を停止させた事案が紹介されています。専門的なプログラミング教育を受けていない者でも、生成AIを利用することで高度な攻撃ツールを作成できる状況が生まれています。

こうした動向は、サイバー攻撃の担い手が国家レベルの高度な組織から技術的な素地を持たない個人まで広がっていることを示しています。攻撃者の裾野が拡大するにつれ、企業が直面する脅威の頻度・多様性も増していると考えておく必要があります。

AIを悪用した攻撃が狙うのは「データ」

AIを悪用したサイバー攻撃において、攻撃者が最終的に狙うのは企業が保有するデータです。個人情報、取引先情報、設計・開発データ、財務情報など、企業が扱うあらゆるデータが標的となり得ます。以下に、警察庁レポートが示す具体的な脅威シナリオを3つ紹介します。

①AIエージェントによる自律的な攻撃

AIエージェントを用いた攻撃の特徴は、人間が介在しない形でサイバー攻撃の全工程を実行できる点にあります。従来型の攻撃は人間が操作しているため、作業時間帯や攻撃パターンに一定の傾向が生まれ、それが検知の手がかりになることがありました。一方、AIエージェントは継続的に稼働し、防御側の対策に応じて攻撃手法を変化させることが可能です。

データ窃取の観点では、AIエージェントが侵入後に価値の高いデータを自律的に選別し、外部へ送出するというシナリオが想定されます。攻撃の効率化・高速化が進む中で、従来の検知・対応サイクルでは間に合わないケースが生じる可能性に留意が必要です。

②生成AIを悪用する「動的マルウェア」

生成AIを悪用するマルウェアとして、異なる2つの手口が実際に確認されています。

1つ目は、感染先の端末が利用する生成AIサービスを悪用する手口です。警察庁が2025年7月に解析した事案では、マルウェア本体に攻撃命令が記録されておらず、感染した端末が普段から使用している生成AIサービスに接続して、その場で不正な命令を生成させる仕組みでした。業務目的で導入した生成AIツールそのものが、マルウェアの動作基盤として利用されるという点が特徴です。

2つ目は、外部のAI APIへリクエストを送り、コードを動的に生成・変化させる手口です。Google Threat Intelligence Groupによると、PROMPTFLUXやPROMPTSTEALといったマルウェアは、攻撃命令をプログラム本体にハードコードする代わりに、実行時に外部のAI APIへ問い合わせ、検知回避のための難読化コードやデータ収集コマンドをその場で生成させます。

いずれの手口も、攻撃命令をマルウェア本体に持たないため、従来のシグネチャ検知が効きにくい構造を持っています。

③AIが生成する高精度なフィッシング攻撃

AIによる翻訳機能の向上により、攻撃者はフィッシングメールや偽サイトの文面を標的の母国語で違和感なく作成することが可能になっています。警察庁レポートが紹介するインド共和国・中央捜査局（CBI）との国際共同捜査事案では、被疑者グループが生成AIを悪用して標的の特定、フィッシング用ポップアップウィンドウの生成、日本語への翻訳を自動的に実行していたことが判明しています。

従来のフィッシングメールには不自然な日本語表現など何らかの識別点が含まれることが多くありましたが、生成AIの活用により、こうした「見分けるための手がかり」が失われつつあります。サポート詐欺やビジネスメール詐欺（BEC）への対策として、「人が注意して見れば見分けられる」という前提を見直し、多要素認証（MFA）の徹底やメールフィルタリングの強化など、技術的な対策との組み合わせが求められます。

AIを活用する企業が直面するリスク

AIによる脅威は外部からの攻撃だけではありません。企業がAIを活用することで生じる「利用者側のリスク」についても把握しておくことが重要です。ここでは、AIを活用する企業が直面する代表的な3つのリスクを整理します。

リスク１：シャドーAI、管理外のデータ流通

「シャドーIT」とは、IT部門の承認を経ずに従業員が独自に導入・使用するITツールを指す概念ですが、同様の問題が生成AIの文脈でも発生しています。これが「シャドーAI」です。

ある調査によれば、業務において生成AIにデータをコピーアンドペーストして入力している利用者が77%に上り、そのうち82%が組織に管理されていないアカウントによるものであったとされています。例えば提案書の作成で顧客情報を入力する、議事録を要約させるために録音データをアップロードする、コードのデバッグに社内システムの仕様情報を貼り付けるといった行為が、組織的なデータ管理の範囲外で日常的に行われている可能性があります。

対策としては、「どのAIツールを、どのようなデータに対して、どのような条件で使用してよいか」を明文化したAI利用ポリシーの整備が基本となります。また技術面では、CASBやDLPツールを活用して生成AIサービスへのデータ送信を監視・制御することも有効です。利用を一律に禁止するのではなく、適切に管理する体制を整えることが現実的なアプローチです。

リスク２：ハルシネーションを悪用した攻撃

シャドーAIとは性質の異なるリスクとして、AIの出力結果を十分に検証せず業務に活用してしまう問題も指摘されています。生成AIは時に、架空の情報をあたかも事実として生成することがあり、これを「ハルシネーション」と呼びます。

Koi Securityの報告によると、ハルシネーションが悪用され、実際に攻撃へと利用された事例が確認されています。生成AIはコード生成時に、実在しないライブラリやパッケージ名を自信をもって提示してしまうことがあります。攻撃者はこれを逆手に取り、「AIが提案しそうな名前」でマルウェアを仕込んだ偽パッケージをnpmなどのパッケージリポジトリにあらかじめ登録しておきます。開発者がAIの提案通りにpip install ○○やnpm install ○○を実行すると、そのマルウェアパッケージがインストールされ、悪意あるコードが実行される、という仕組みです。

リスク3：プロンプトインジェクションによる不正操作・情報漏洩

プロンプトインジェクションとは、AIに対して悪意ある指示（プロンプト）を与え、意図しない応答や処理を引き起こす攻撃手法です。IPAの資料は、この中でも「間接プロンプトインジェクション」について指摘されています。これは、AIに直接不正な指示を入力するのではなく、AIが動作中に参照するデータ（ファイルやWebページなど）の中に不正な命令を埋め込み、AIに気づかせないまま実行させる手法です。

AIコードエディタのCursorは、プロジェクト内のファイルを参照しながらコード生成の支援を行います。この仕組みを悪用し、READMEファイルなどに悪意ある指示を埋め込むことで、開発者の権限で任意のコードを実行させる脆弱性が実際に発見されています。

技術的な完全対策は現時点では知られておらず、AIが参照するデータの信頼性管理を徹底するとともに、最新の脅威動向を継続的に注視していく姿勢が求められます。

セキュリティ担当者が取り組むべき5つのアクション

AIをめぐるサイバーリスクは、既に現在進行形の課題として対応が求められています。企業のセキュリティ担当者として取り組むべき事項を以下に整理します。

AIを含むデータの所在と流通経路の可視化：
社内で利用されている生成AIサービスを把握し、どのデータが入力・処理されているかを可能な範囲で把握・監視します。IT資産管理やログ分析等によりAIサービスの利用状況を可視化し、さらにシャドーAIの実態調査もあわせて実施することが望まれます。
AI利用ポリシーの策定：
入力を禁止するデータの定義、承認済みAIツールのリスト化、外部サービス利用時のオプトアウト設定の徹底、違反時の報告フローなど、実態に即したルールを整備します。策定後は従業員への周知と教育を継続的に行います。
フィッシング対策の設計見直し：
AIによって生成された高精度なフィッシングコンテンツを人が見分けることには限界があります。多要素認証（MFA）の徹底、メールフィルタリングの強化、疑わしいと感じた際の報告体制の整備など、技術的・組織的な対策を組み合わせた多層防御が有効です。
AI出力の検証体制と開発プロセスの見直し：
プロンプトインジェクションやハルシネーションを悪用した攻撃への対策として、AIが提案するパッケージやコードの安全性確認を標準プロセスに組み込むことが必要です。
守る側もAIを活用する：
AIを活用したSIEM（セキュリティ情報・イベント管理）やEDR（エンドポイント検出・対応）など、既存のセキュリティ製品に組み込まれた分析・検知機能の活用を検討します。ただし、AIによる異常検知や分析の高度化が進んでいる一方で、過信せず従来の対策と組み合わせて運用することが重要です。

AI時代に求められるデータガバナンスと暗号化戦略

AI時代におけるセキュリティ対策は、「データの統治（ガバナンス）」を軸に再設計することが求められます。

米国国立標準技術研究所（NIST）が提示するサイバーセキュリティフレームワーク（CSF 2.0）では、新たに「Govern（統治）」機能が明確に位置づけられています。これは、組織としてリスクをどのように認識し、責任を定義し、ポリシーとして統制するかを示す中核的な領域です。

本コラムで触れた「シャドーAI」や「管理外のデータ流通」は、まさにこの統治の不備によって生じるリスクです。どのAIツールを許可するのか、どのデータを入力してよいのか、責任は誰が持つのかといったルールを設定することが重要になります。そのため、まずは以下のような観点でデータガバナンスを確立することが重要です。

AI・クラウドを含めたデータ利用ポリシーの明文化
データ分類と取り扱いルールの定義
利用責任と承認プロセスの明確化
ログ・監査による継続的な統制

その上で重要となるのが、「データをいかに制御するか」という視点です。単に保護するのではなく、誰が・どの条件で・どのようにデータを扱えるのかを一貫してコントロールすることが、AI時代のセキュリティの本質となります。

NISTにおいても、データ保護は識別（Identify）や保護（Protect）といった機能と連動しながら、データの所在やアクセスの可視化・統制を前提とした考え方が採られています。特に、クラウドやAIの活用によってデータが境界を越えて流通する環境では、「持ち出されること」を前提に、その後の利用まで含めて制御する設計が不可欠です。

暗号化は、このデータ制御を実現するための代表的な手段の一つです。アクセス権限の管理や利用ポリシーと組み合わせることで、たとえデータが外部に持ち出された場合でも、意図しない利用を防ぐことが可能になります。

ガバナンスによって「どう扱うべきか」というルールを定義し、データ制御によって「そのルールを逸脱した利用を防ぐ」。この構造を組織として実装することが、AI時代に求められる実効性の高いデータ保護の基本となります。