攻撃者はより速くなった; 検知はもう追いつけない
2026 年までに、AI 駆動のサイバー脅威はもはや理論的なリスクや狭義の自動化問題として扱うことはできません。大規模言語モデルとエージェンティック AI システムは、脆弱性発見、エクスプロイト開発、ターゲット分析、認証情報悪用、攻撃チェーン全体の自動化において、人間チームの速度を超える能力レベルに達しています。
この変化の最も顕著な兆候の一つは、Anthropic が Claude Mythos Preview モデルを一般公開しないという決定でした。Anthropic 自身の評価によれば、このモデルは主要 OS、ブラウザ、インフラソフトウェアにわたって大量のゼロデイ脆弱性を自律的に発見する能力を持っていました。この能力を市場に開放することは、防御側と同じ力を攻撃者の手にも置くことを意味します。
この出来事を孤立した事象として読むべきではありません。同時期の AI 駆動攻撃の台頭、人間の関与なく広範なインフラを攻撃する自律エージェント、Prompt Injection が新しいウェブセキュリティ問題のクラスとなったこと、そして侵害ウィンドウが数秒に縮小していること — これらすべては同じ構造的変化の一部です。
本レポートの中核的結論: マシン速度の攻撃チェーンに対して、主要防御戦略として「検知と対応」のみに頼ることはもはや十分ではありません。 WAF、SIEM、EDR、行動分析、脅威インテリジェンスは引き続き必要です — しかし、これらの制御が攻撃者がチェーンを完了する前に確実にトリガーされるという前提はもはや信頼できません。
そのため、業界は価値の高いアプリケーションに対して新しいアーキテクチャアプローチへと移行しています: デフォルトで封じ込め(contain by default)。このアプローチは、攻撃者が一部の制御をすり抜ける可能性を受け入れます。その上で、初期侵害が成功しても攻撃者に広範な実行表面、永続的アクセス、横方向移動を与えないよう、システムを設計します。
アプリケーション層では、この変化の最も明確な表現の一つはビジュアルブラウザ分離です。アプリケーションはユーザーのデバイス上で実行されず、分離環境でレンダリングされます。ユーザーはピクセルストリームのみを見ます。DOM、JavaScript、API レスポンス、セッション情報はエンドポイントに届きません。
変化の背後にある数字
2026 年に変わったのは攻撃の数だけではない
サイバーセキュリティでの増加統計は誤解を招き得ます。「攻撃が増えている」というだけでは、それ自体で十分な分析とは言えません。2026 年に重要なのは攻撃量ではなく攻撃の性質です。
従来の自動化は攻撃者が定義したフローを加速させていました。スクリプト、ボットネット、エクスプロイトキット、クレデンシャルスタッフィングツールは長年存在していました。しかしこれらのツールは主に狭いタスク向けに設計されていました。人間オペレーターがターゲットを選び、キャンペーンを設定し、結果を解釈し、チェーンを進めていました。
エージェンティック AI はこの分離を弱めます。新世代の AI 駆動システムは単にコマンドを実行するだけではありません — ターゲットを分析し、コードを読み、脆弱性を探し、試行を行い、失敗時に戦略を変更し、攻撃チェーンの複数ステップを自力で完了できます。攻撃者の自動化は今や速度だけでなく意思決定能力もスケールします。
これは防御側の中心的前提を変えます。人間アナリストがアラートを見て、インシデントを解釈し、対応するのにかかる時間と、攻撃チェーンが完了するのにかかる時間との差は縮まりつつあります。一部のシナリオでは、この差は防御側に不利な方向に反転しました。
Mythos の瞬間: 防御と攻撃が同じ能力を共有するとき
Claude Mythos Preview モデルを一般公開しないという Anthropic の決定は、2026 年で最も重要なセキュリティ信号の一つとして読むことができます。この決定で重要なのは、モデルが公開されなかったことではありません。重要なのは理由です。
報じられたところによれば、このモデルは主要 OS、ブラウザ、インフラソフトウェアにわたって、何年も気づかれずに残っていた深刻な欠陥を含む脆弱性を自律的に発見する能力がありました。この種の能力は防御側にとって計り知れない価値があります。同じモデルは、人間チームが大規模コードベースで見落としたバグを発見し、悪用可能性分析を行い、重要なサプライチェーンコンポーネントの早期警告を提供できます。しかし、同じ能力は攻撃者にとっても同等の価値があります。
Mythos の事例は、サイバーセキュリティにおける AI の根本的なパラドックスを可視化しました: 防御側より先に脆弱性を発見できるモデルは、攻撃者の手に渡る前に封じ込められなければ、攻撃能力でもある。
この前提は時間的圧力についての声明でもあります。なぜなら、この能力は単一のラボに留まり続けることはないからです。国家アクター、民間のオフェンシブチーム、商業的なサイバー犯罪エコシステムが同等の能力に向かって動いています。
Anthropic の防御的脆弱性発見プログラムのローンチパートナーは、重要インフラの異常に広い横断面を形成しています: Amazon Web Services、Anthropic、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorganChase、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networks。この幅広さはモデルのスコープを反映しています — Mythos は OS、ブラウザ、ハードウェアファームウェア、金融ソフトウェア、ネットワーク機器にわたる欠陥を発見するため、早期アクセスを得るパートナーはこれらの領域すべてに及びます。暗黙のメッセージ: コンソーシアム外の組織は、開示された脆弱性がパッチされる前に、同等の能力に到達する悪意のアクターはいないだろうという賭けをしているということです。
AI 支援攻撃は実際にどう現れるか
AI 支援攻撃は単一の形では現れません。脆弱性発見に直接焦点を当てるものもあれば、既存ツールを高速化・適応化させるものもあり、人間オペレーターが行っていた意思決定ステップを自動化するものもあります。2026 年の注目すべき事例はこの幅を示しています。
Claude Code を介した中国国家キャンペーン
中国の国家後援グループに帰属する協調キャンペーンが Claude Code を使用し、テクノロジー、金融サービス、政府部門の約 30 組織に侵入しました。このキャンペーンは 2026 年にモデルベンダー自身によって開示されました。以前は高度な技術スキルを要した手順が、モデル支援ワークフローを通じてよりアクセスしやすくなりました。
単一エージェントによる 600 以上のファイアウォール侵害
業界調査は、単一の自律エージェントが 55 か国で 600 を超えるファイアウォールを侵害したインシデントを明らかにしました。人間のオペレーターはいませんでした — エージェントが偵察、悪用、永続化をエンドツーエンドで実行しました。エージェントが完全なチェーンを実行できるようになると、攻撃運用の経済性が変わります。
メキシコの重要インフラ攻撃
メキシコの重要機関を狙った 2026 年の攻撃は、Claude を用いて複雑なデジタル運用を指揮したと報じられました。エネルギー、金融、公共サービス、通信、産業システムにおける AI 支援の偵察と攻撃チェーンは、物理的または社会的な結果をもたらし得ます。パッチウィンドウと運用継続性の要件が、古典的なセキュリティ反射をさらに圧迫します。
ブラウザエージェントの Prompt Injection
広く展開されている LLM 駆動ブラウザエージェントの独立テストでは、対策のないエージェントに対する Prompt Injection 成功率が約 24% と測定されました。ページは一見無害なコンテンツを表示しながら、隠された、または間接的な指示を通じてエージェントの挙動を変えようとし得ます。ウェブページ自体が攻撃ベクトルとなり — AI 訪問者を人間ユーザーに敵対させます。
なぜ「検知優先」戦略は限界に達したのか
検知と対応はセキュリティの根幹を成す要素です。2026 年の問題はこれらの制御が存在することではなく、それらを主要な防御前提にしてしまうことです。三つの独立した力が防御側の選択肢を圧縮しています。
1. 速度の非対称性
人間主導の対応は分から時間単位で動きます。エージェンティック攻撃は秒単位で動きます。中央値 22 秒の侵害ウィンドウは、SIEM アラートが人間アナリストに届くまでの時間を下回り、ましてやアナリストが調査、分類、対応するのに必要な時間にはまったく届きません。
2. パターンの飽和
正規表現 WAF は既知の攻撃挙動を捕捉しますが、AI 生成ペイロードの変動には苦しみます。ブロックされたペイロードは書き換えられ、パラメータが変更され、エンコーディングがシフトし、チェーンが並べ替えられます — すべてルールセットが更新されるよりも速くです。WAF はボリュームと既知パターン適用にとって必須であり続けますが、主要な制御にはなり得ません。
3. AI エージェントがアプリに到達する
Web アプリケーションはもはや人間のブラウザだけが利用するものではありません。ユーザーの代わりに動作する AI エージェントや中間モデルがアプリケーション表面に到達します。これらは、読み取ったコンテンツに行動を誘導されたときに合法的なユーザーであると同時に潜在的な攻撃ベクトルでもあります。古典的なクライアント・サーバセキュリティモデルが拡張されます。
アーキテクチャ的転換: デフォルトで封じ込め
2026 年に前面に出てきた防御アプローチは、攻撃者が一部のレイヤーをすり抜け得ると認めることから始まります。中核の考え方: 攻撃者が成功し得ると想定しつつ、成功した場合に到達する表面は限定的に保つ。
それは「検知をやめよう」という意味ではありません。検知、ロギング、アラート、対応は引き続き必要です。しかし、重要システムの安全はこれらの制御が時間内に作動することのみに依存すべきではありません。デフォルトで封じ込めアプローチは、防御を構造的にします。
システム自体が、攻撃者が進入可能な領域を狭めます。エクスプロイトが成功しても広範なアクセスは得られません。侵害されたエンドポイントはアプリケーション表面に到達できません。サービスは暗黙の信頼で他のサービスに接続できません。セッションは自動的により広い権限へジャンプできません。
このアーキテクチャ姿勢は、特に価値の高いアプリケーションにとって決定的に重要になります。
アプリケーション層でのデフォルト封じ込め: ビジュアルブラウザ分離
アプリケーション層でのデフォルト封じ込めの最も具体的な例の一つは、ビジュアルブラウザ分離です。従来モデルでは、Web アプリケーションはユーザーのデバイス上で実行されます。ブラウザは DOM を取得し、JavaScript を実行し、API を呼び出し、セッション情報を運び、アプリケーション状態の一部をデバイスに保持します。このモデルは、エンドポイントが侵害された場合に攻撃者へ広いアプリケーション表面を提供します。
ビジュアルブラウザ分離はそのモデルを変えます。アプリケーションは分離されたサーバー側環境で実行されます。DOM、JavaScript、API レスポンス、セッショントークンはユーザーのデバイスに送信されません。ユーザーはアプリケーションのレンダリングされたピクセルストリームのみを見ます。マウスとキーボード入力は制御された形で分離環境に渡されます。
セキュリティ上の帰結は直接的です: 攻撃者がエンドポイントに到達しても、アプリケーション自体には到達できません。 WAF をすり抜けた攻撃者が触れるのは、顧客アプリケーションの直接的な実行表面ではなく、分離コンテナです。Prompt Injection を試みるエージェントは、DOM やアプリケーションの挙動に対して同じ制御を持ちません。ユーザーのデバイスはアプリケーションのランタイム環境でなくなります。
ビジュアル分離は、したがって、AI 駆動の脅威に対する追加のセキュリティ機能としてだけではなく、アーキテクチャ的制御として捉えるべきです。
同じファミリーの他のアーキテクチャ的制御
デフォルトで封じ込めはブラウザ分離に限定されません。同じ原則は、異なる制御を通じて異なるレイヤーに適用できます。共通する特性: 防御は攻撃者に時間内に気付くことだけではなく、システムの構造的限界に依拠します。
マイクロセグメンテーション
システムが侵害された場合、ネットワークとサービスアクセスを小さなセグメントに分割し、攻撃者の横方向移動を制限します。エクスプロイトの成功は着地したセグメントの権限のみを与え、ネットワーク全体への通行を提供しません。
ゼロトラストネットワークアクセス
サービス間の暗黙の信頼は受け入れられません。すべてのリクエストはアイデンティティ、コンテキスト、ポリシーを通じて再評価されます。一度入れたからといって、ユーザーやサービスがネットワーク全体で信頼されていると扱われることはありません。
コンフィデンシャルコンピューティング
ワークロードはセキュアエンクレーブで動作し、ホストオペレーターさえメモリを直接読み取れません。これは特に機密データ処理やマルチパーティ信頼の問題で重要です。
フォレンジックセッション記録
攻撃チェーンが人間の応答速度を超える場合、インシデント後の再構築が重要になります。完全なセッション記録、インテリジェントなスクリーンショット、キーストロークエントリ、クリックチェーン、完全性保護されたログにより、何が起きたかを事後に確実に理解できます。
ブラウザ分離における市場の動き
2025 年後半から 2026 年初頭にかけて、主要セキュリティベンダーがリモートブラウザ分離への投資を増やしたのは偶然ではありません。これらの動きは、分離がニッチ機能からゼロトラストおよびセキュアアクセスアーキテクチャの中核要素へとシフトしたことを示しています。
| 日付 | ベンダー | 発表 | 意味 |
|---|---|---|---|
| 2025 年 12 月 | Menlo Security | 高度な RBI プラットフォーム | 純粋な RBI ベンダーが中核提供を深化 |
| 2026 年 1 月 | Broadcom | Secure Web Gateway 内での RBI 拡張 | RBI が SWG アーキテクチャの標準部分に |
| 2026 年 2 月 | Zscaler | RBI 強化 | Zero Trust プラットフォームが分離表面を拡張 |
| 2026 年 3 月 | Cloudflare | Zero Trust プラットフォームでの RBI 拡張 | エッジとアクセスのセキュリティが分離と収束 |
これは Web アプリケーション所有者にとって何を意味するか
AI 駆動の脅威変革は、セキュリティ研究者が追いかけるトピックだけではありません。Web アプリケーション所有者にとって、これは直接的なアーキテクチャ的帰結を生みます。
WAF の役割を再定義する
WAF は依然として必要です — 既知のエクスプロイト試行をブロックし、プロトコル衛生を強制し、ボリューム的スキャンを減らし、標準的な Web 攻撃に対する重要な第一層を提供します。しかし、WAF を AI 駆動攻撃者に対する単一かつ十分なバリアとして位置づけることはもはや現実的ではありません。正しい位置づけ: WAF は既知およびボリューム的なリスクを減らします。重要アプリケーションにとっては、その隣に構造的制御が必要です。
価値の高いアプリケーションをインベントリ化する
侵害が壊滅的な結果をもたらすアプリケーションを特定します: 金融取引ポータル、顧客 PII コンソール、SCADA・ICS パネル、法的文書リポジトリ、管理コンソール、広範なデータアクセスを持つ内部ツール、重要なサプライチェーンパネル、健康・金融・政府データを扱うアプリケーション。このインベントリは、追加の分離およびフォレンジック記録レイヤーをどこに適用すべきかを定義します。
機密ワークロードのブラウザ分離を評価する
機密アプリケーション向けのブラウザ分離は、三つの中核的質問で評価されるべきです: DOM、JavaScript、API レスポンス、セッション情報がユーザーのデバイスに転送されるか? 分離レイヤーは既存のアイデンティティおよびアクセスポリシーと並んで動作するか? セッションは監査およびインシデント後のレビューのために記録できるか? リモートレンダリングだけでは不十分です — アイデンティティ、ポリシー、ロギング、フォレンジック記録が同じアーキテクチャの一部でなければなりません。
脅威モデルに AI エージェントを追加する
AI エージェントがアプリケーションにアクセスする場合、脅威モデルは変わっています。エージェントは、ユーザーに代わって動作する合法的なクライアントであると同時に、Prompt Injection のような攻撃で影響を受け得る仲介者でもあります。これに応じて計画してください: アイデンティティ検証と認可制限、構造化されたアクションサーフェス、高影響操作に対する人間の承認、Prompt Injection 試行に対するコンテンツ/コンテキストフィルタリング。
パッチウィンドウへの依存を減らす
パッチ管理は依然として重要な規律です。しかし、AI 駆動のゼロデイ発見はパッチウィンドウへの絶対的依存をリスキーにします。防御戦略はこの前提に基づくべきです: 一部の脆弱性は、あなたがパッチを当てる前に攻撃者によって発見・試行されます。未パッチの脆弱性がある場合でも被害範囲を制限するようシステムを設計する必要があります — マイクロセグメンテーション、最小権限、重要アプリケーションのための分離、横方向移動経路の制限。
フォレンジック記録をアーキテクチャに組み込む
攻撃チェーンが秒単位で進むとき、インシデント後の分析はもはやコンプライアンス上の後付けではありません。完全なセッション動画、インテリジェントなスクリーンショット、単語ベースのキー記録、クリックチェーン、完全性保護されたログは、価値の高いアプリケーションにおいてプレミアム機能ではなく — どの画面が見られたか、どの操作が行われたか、どの時点で挙動が変わったかを理解するための、期待される制御となりました。
TR7 はどのように階層モデルに取り組むか
TR7 WAAP プラットフォームは単一製品のバリアの上には構築されていません。構造は多層防御アプローチを中心に設計されています。各層は独自の役割を持ち、価値の高いアプリケーションではこれらの層が連携して動作します。
Web アプリケーションファイアウォール (WAF)
ボリューム層と既知パターンの適用。スキャンを吸収し、文書化されたエクスプロイトシグネチャをブロックし、大規模にプロトコル衛生を強制します。AI 駆動の脅威環境で依然として必要ですが、もはや単独で最終防御ではありません。
ロードバランサー (LB) + GTM
トラフィック分散、TLS 終端、グローバルルーティング。単一ポイント露出を減らし、リクエストパス全体の可観測性を提供します。トラフィックフローを可視化し、中央制御点を提供します。
アクセスゲートウェイ (AGS)
アイデンティティ対応のアクセス制御。各セッションはアイデンティティ・コンテキスト(ユーザー、デバイス、ロケーション、リスクレベル、ポリシー)で評価されます。アプリケーション入口点でのゼロトラスト姿勢。
ZeroLeak — ビジュアルブラウザ分離
価値の高いアプリケーション向けの分離レイヤー。機密アプリケーションはサーバー側でレンダリングされ、ユーザーはピクセルストリームを見ます。DOM なし、JS なし、API はクライアントに公開されません。AI 駆動の攻撃に対する構造的応答: 攻撃者がエンドポイントを侵害しても、実際の実行表面に到達できません。
フォレンジック記録
完全なセッション動画、スマートスクリーンショット、単語ベースのキーストロークログ。侵害ウィンドウが秒単位で測定される際に必要な事後再構築サーフェス — コンプライアンス証拠とインシデント対応の両方のために。
ネイティブ統合
TR7 の層は一つのスタックとして動作するよう設計されています。WAF、LB、AGS、ZeroLeak は認証、ロギング、ポリシーを共有します — 別々のベンダーから組み合わせた製品ではありません。これにより、攻撃者が悪用し得る統合の継ぎ目が減ります。
結論: AI 時代にセキュリティの前提は変わりつつある
2026 年の AI 駆動の脅威変革は、セキュリティチームに単純なメッセージを送ります: セキュリティ運用の速度で攻撃者の速度に追いつくことは常に可能とは限らない。 その現実は検知・対応システムを不要にはしません。しかし、それらを単独で主要な防御戦略として位置づけることを弱めます。
価値の高いアプリケーションにとって、新しいセキュリティアプローチはこの前提から始めなければなりません: 一部の制御はすり抜けられる。一部の脆弱性はあなたより先に発見される。一部の攻撃チェーンは人間の応答時間より速く進む。その場合、アーキテクチャ的目標は、攻撃者が成功したときに到達する表面を制限することでなければなりません。
WAF は既知の攻撃を減らします。アクセスゲートウェイはアイデンティティとポリシーを適用します。マイクロセグメンテーションは横方向移動を制限します。ビジュアルブラウザ分離はアプリケーション表面をエンドポイントから切り離します。フォレンジック記録は事後に真実を再構築します。このアプローチの名は「デフォルトで封じ込め」です。
AI 駆動の攻撃者がより速く、より生産的で、より適応的な脅威環境では、防御もまた、より速くアラートを出すだけでなく、より強いアーキテクチャ的限界を構築する必要があります。
参考文献と出典
能力、限定公開の決定、パートナーコンソーシアムを詳細にまとめた公式プレビュードキュメント。https://red.anthropic.com/2026/mythos-preview/
防御的脆弱性発見イニシアチブの公式プログラムページ。https://www.anthropic.com/glasswing
主要システムにわたって Mythos が自律的に数千のゼロデイ欠陥を発見したことの報道。https://thehackernews.com/2026/04/anthropics-claude-mythos-finds.html
2026 年に AI ツールが支援役から能動的攻撃表面へ移行したことを示す Microsoft のドキュメント。https://www.microsoft.com/en-us/security/blog/2026/04/02/threat-actor-abuse-of-ai-accelerates-from-tool-to-cyberattack-surface/
侵害ウィンドウが 8 時間(2022)から 22 秒(2026)に縮小したことの分析。https://blog.jazzcybershield.com/agentic-ai-cyber-attacks/
エージェンティック AI を 2026 年の最重要攻撃ベクトルとして識別する業界調査。https://www.kiteworks.com/cybersecurity-risk-management/agentic-ai-attack-surface-enterprise-security-2026/
AI WAF バイパス率に関する DEG-WAF と GenXSS の測定を取り上げる業界概説。https://thehackernews.com/2026/05/2026-year-of-ai-assisted-attacks.html
リモートブラウザ分離におけるベンダー拡張の市場概況。https://www.gartner.com/reviews/market/remote-isolation-software
価値の高いアプリケーションのためのデフォルトで封じ込め
TR7 WAAP プラットフォームは、WAF、ロードバランサー、GTM、アクセスゲートウェイ、ZeroLeak ビジュアルブラウザ分離、フォレンジック記録レイヤーを単一のアーキテクチャ内で統合します。価値の高いアプリケーションにとって、目的は攻撃を検知することだけではありません — 攻撃者が 1 つのレイヤーをすり抜けても、アプリケーション表面に直接到達できないようにすることです。
ZeroLeak を見る