AIで攻撃が量産される時代に、私たちは「破られない城」を作るのではなく、「壊されても連鎖しない都市」を設計し直す必要がある。
この発想転換の出発点が、2009年末に起きたGoogleへの攻撃。
通称オペレーション・オーロラだ。
Googleは2010年1月に攻撃の存在を公表し、標的の一つが人権活動家のGmailであったこと、そして対処として事業方針まで見直す決断を示した。
WIRED+3blog.google+3blog.google+3
🧨オーロラが壊した「城と堀」モデル
当時の常識は「外周に巨大な防壁(ファイアウォール)を築き、内側を守る」だった。だがオーロラで破られたのは、サーバの正面玄関ではなく人と端末(クライアント)。
実際、IEの脆弱性をフィッシングで突く形で侵入が始まったと報じられている。
以後の業界の潮流は、社内ネットワーク特権を廃し、ユーザーと端末の状態でアクセスを判定するゼロトラストへと舵を切る。
Googleはこの考え方をBeyondCorpとして体系化し、「どこからでも安全に働ける」ことを前提に再設計した。
Googleリサーチ+2USENIX+2
ここがポイント
ネットワークの内側=安全という発想は廃番。場所ではなく誰が・どの端末でを常時検証する。
🧲なぜ「人」が最初の突破口になるのか
攻撃の起点はたいていソーシャルエンジニアリングだ。
人間の注意の隙、確認の甘さ、思い込みを突く。
さらにIoTが普及した結果、思わぬ機器が跳び石(ラテラルムーブの足掛かり)になる。
象徴的なのがネット接続の水槽センサーを起点にカジノのネットワークへ侵入した事例だ。
一見どうでもいい機器に、内側ネットへの“通行証”を持たせない。
この原則がいまや必須だ。
National Cybersecurity Center+3The Washington Post+3フォーブス+3
ここがポイント
IoT機器は安全設計より省リソースが優先されがち。
ネット分割と最小権限をサボると小さな穴が大きな損失に変わる。
🧩防御側のジレンマを裏返す地図:𝗖𝘆𝗯𝗲𝗿 𝗞𝗶𝗹𝗹 𝗖𝗵𝗮𝗶𝗻
攻撃者は一箇所の穴を突けば勝てる。
守る側は全部を守らねばならない。
これが「防御側のジレンマ」だ。
しかしキルチェーンという考え方は状況を変える。
偵察→武器化→配信→侵入→横展開→目標到達→成果取得の段階ごとに検知・遅延・遮断を仕掛ければ、どこかで必ず折れる。
局所の完全性より連鎖の断絶を目指す。
ロッキード・マーチン+2community.mis.temple.edu+2
ここがポイント
完璧な一点防御より、会社全体を使った多段の“減衰”が効く。
🔑人を強くする「既定値」の力:フィッシング耐性MFA
消費者領域では「ユーザーに行動変容を求めない」が鉄則。
そこで威力を発揮するのがハードウェアキー(FIDO準拠)。
Googleは社員全員に物理キーを必須化し、フィッシング被害ゼロを公言した。
これは強い既定値が社会全体のリスクを静かに下げる好例だ。
krebsonsecurity.com+2Google Cloud+2
ここがポイント
設定の強さ=人の強さ。
既定値で防ぐと、教育や注意喚起より持続的に効く。
🤖AIが攻撃をスケールさせる二つの現実
一つ目はポリモーフィック化。
生成AIにより、マルウェアやフィッシング文面は毎回“別物”に変えて出荷できる。
従来のシグネチャ検知をすり抜ける“量産の知性化”だ。
二つ目はノンデタミニズム(非決定性)。
同じ入力でもLLMの応答は毎回揺らぐ。
この性質がテストの再現性や防御検証を難しくする。
さらにプロンプトインジェクションやデータ汚染、サプライチェーン改ざん(モデル配布の改竄)といったAI特有の新リスクが加わった。
OWASP Foundation+2OWASP Foundation+2
ここがポイント
LLM01:プロンプトインジェクションはOWASPのLLMリスクでも最上位。
設計原理で抑え、運用で減衰させる。OWASP Foundation
🧪深層の守り:適応型レッドチームと層状の防御
Google/DeepMindは、モデル自身に耐性を学習させると同時に、自動化レッドチームで常時叩く。
ポイントは静的な攻撃リストではなく、相手の出方に合わせて攻撃が自動で進化する“適応型”であること。
周辺には高感度の分類器を重ねて迅速に新手へ追随する。
Geminiの保護率を引き上げたとする報告も公表されている。
Google DeepMind+2arXiv+2
ここがポイント
モデル内の耐性×外周の監視で“二重防御”。
学習の再実行より分類器の差し替えが速いのも実戦的。
🔎未知の穴をAIで先に見つける:Project NapTime→Big Sleep
Google Project ZeroとDeepMindは、LLMを脆弱性研究者として機能させる枠組みを開発。
NapTime(のちにBig Sleepへ発展)は、巨大コードベースの依存関係やバージョン差分を横断的に推論し、未発見のゼロデイを洗い出すことに成功した。
実際にSQLiteの実環境ゼロデイを発見・報告し、修正に結びつけた例が公開されている。
blog.google+3Project Zero+3Project Zero+3
ここがポイント
透明性こそ最大の防御。
OSSの脆弱性を先に見つけ、先に直す速度をAIで獲得する。
🧵見つけた後を自動化する:CodeMenderの登場
脆弱性を多く見つけられるほど、直す負荷が爆増する。
ここを埋めるのがCodeMenderだ。生成AIで候補パッチを自動生成し、テスト/形式手法/モデル評価を組み合わせて自己検証、最終は人間がレビューする。
公開情報では、6か月でOSSに72件のセキュリティ修正をアップストリームした実績が示され、“見つける→直す”のスループットを押し上げている。
ザ・レジスター+3Google DeepMind+3The Hacker News+3
ここがポイント
量産×品質保証を両立。
守りにもCI/CDの速度を持ち込む発想。
🧯実サービス統合で顕在化した“新たな入口”
エージェント化したAIがメール・カレンダー・ファイルに直結し始めると、入力中に埋め込まれた命令がモデルを乗っ取るリスクが現実化する。
Gmailの要約やカレンダー招待を悪用したプロンプトインジェクションの概念実証が報告され、Google側も緩和策の導入とAIバグ報奨金制度(AI VRP)の拡充を打ち出している。
blog.google+4TechRadar+4Tom’s Hardware+4
ここがポイント
AIの入口はUIの外にも潜む(HTML/CSSの不可視要素、履歴、添付、リンク先)。
“見せない命令”を無害化する層が必要。
💹セキュリティは「固定費」から「運用の速度」へ
CAPEX→OPEX化
ハードウェアや境界装置に頼る固定費から、学習・分類器更新・パッチ生成といった運用アジリティが価値の源泉に。
期待損失の逓減
侵害1件あたりの損失×発生確率の積(期待値)を、ゼロトラスト×MFA×分割設計で地道に下げる。
フィッシング耐性MFAの既定値化はLTV向上・解約率低下に効く。
Google Cloud+1
在庫(バックログ)回転率
脆弱性対応の在庫滞留は企業価値のボラティリティを増幅する。
Big Sleep→CodeMenderは、この在庫を高速回転させるオペレーティング・システムだ。
blog.google+2TechRadar+2
🧭まとめ
セキュリティは“コスト”ではなく“速度”の問題になった。
攻撃のスケールに対峙するには、防御もスケールし、早く学び、早く直す。
AIがその回路を作り始めた今、企業価値を守る最良の戦略は「ゼロトラスト×適応型防御×高速修繕」の運転力を磨くことだ。
参考ソース
・Googleのオーロラ公表と経緯(2010年1月・3月)blog.google+1
・BeyondCorp/ゼロトラストの一次情報(論文/公式)USENIX+2Googleリサーチ+2
・IoT水槽経由の侵入事例(報道)The Washington Post+1
・キルチェーンの原典(Lockheed Martin)ロッキード・マーチン
・フィッシング耐性MFA(物理キー)の効果と位置づけkrebsonsecurity.com+1
・NapTime/Big Sleepの技術ブログと初の実環境ゼロデイblog.google+3Project Zero+3Project Zero+3
・CodeMenderの公式発表とメディア報道ザ・レジスター+3Google DeepMind+3TechRadar+3
・プロンプトインジェクションとAI防御の最新動向(OWASP/Google)OWASP Foundation+1
・Gmail/カレンダー統合を狙う実証報告(報道)TechRadar+1
コメント
コメント一覧 (1件)
Yo, Jilipark2 looks like it could become my new go-to. Cool games, quick loading times. Already won a little something, haha! Might be worth your time if you’re looking for some fun. Visit jilipark2!