米国、英国、カナダ、オーストラリア、ニュージーランドの5カ国による機密情報共有枠組み「ファイブ・アイズ」は2026年6月22日、最先端の人工知能(AI)技術がサイバー攻撃能力を飛躍的に高める恐れがあり、この脅威に立ち向かうため緊急の対応が必要だとする共同声明を発表した。声明では、政府や企業に壊滅的なサイバー攻撃を可能にするフロンティアAIモデルの登場時期は「数年単位ではなく数カ月以内」になり得ると警告し、首脳や経営陣に今すぐ防御体制の強化に着手するよう求めている。
事案の要点
- 攻撃者・脅威アクター: 現時点で特定の攻撃者名や組織名は示されていないが、ファイブ・アイズは国家や犯罪組織などの攻撃者全般が最先端AIを悪用し得ると警戒している。
- 標的・被害組織: 具体的な個別組織名は示されていないものの、声明は政府機関や企業を含む広範な組織を想定し、壊滅的なサイバー攻撃のリスクに言及している。
- 攻撃手法・マルウェア種別: 特定のマルウェア名やキャンペーン名は示されていないが、最先端AIが脆弱性の発見と悪用の高速化、攻撃の速度・規模・巧妙さの向上、複雑で壊滅的になり得るハッキングの自動化を可能にする懸念が表明されている。
- 被害規模・影響範囲: 具体的な被害件数や損害額は現時点で示されていないものの、ファイブ・アイズは政府や企業の防御を圧倒し得る壊滅的な攻撃が数カ月以内に実現する可能性を指摘している。
- 現在の対応状況: ファイブ・アイズ各国のサイバーセキュリティ機関・情報機関が異例の緊急共同声明を発出し、政府・企業・産業界リーダーに対して即時の防御強化と協調行動を要請している。
事案の詳細
報道によると、ファイブ・アイズは2026年6月22日付の共同声明で、最先端のフロンティアAIモデルが攻撃・防御双方のサイバー能力を根本的に変容させると警告した。その時間軸は「数年」ではなく「数カ月」であり、サイバー脅威の前提が短期間で古くなる可能性が高いと指摘している。
声明は、最先端AIがサイバー防御の改善に役立つ一方で、攻撃側にとっても強力なツールとなり、脆弱性を見つけてから悪用するまでの時間を大幅に短縮し得ると説明している。攻撃者は高性能AIを使うことで、どのソフトウェアやシステムに脆弱性があるか、どの組織が同じ弱点を抱えているかを短時間で把握し、既知の脆弱性が修正される前に集中的に悪用することが可能になると警戒している。
今回の警告は、Anthropicのモデル「Mythos(ミュトス)」や、OpenAIの「GPT‑5.5‑Cyber」といった高度なAIモデルに対する各国当局者の懸念が高まっていることを背景にしている。これらのモデルは、複雑かつ壊滅的になりかねないハッキングを迅速に実行できる可能性があるとされ、米商務省による輸出管理指令の発動など、安全保障上の対応も進んでいる。
ファイブ・アイズの声明は、産業界やクラウド事業者、AIベンダーを含むリーダーに対し、人々を守り未来を安全にするために、「今すぐ行動を起こすべき」と強く呼びかけている。具体的には、旧型ソフトウェアの更新、不要な外部接続の遮断、本人認証の強化、重要システムへのアクセス制限などの基本的なサイバー衛生を徹底するとともに、防御側もAIを活用して脆弱性発見・異常検知・インシデント対応を加速することが必要だとした。
なお、現時点で特定のサイバー攻撃キャンペーンや、フロンティアAIモデルを用いた具体的な侵害事例は明示されていない。ファイブ・アイズの主眼は、近い将来に攻撃能力が一変し得るリスクを事前に共有し、政府や企業が準備を先送りした場合に避けられたはずのリスクが業務継続や市場の信頼を揺るがす可能性を警告する点にある。
推奨される対策
- 最新の脅威情報の継続的な確認: ファイブ・アイズや各国のサイバーセキュリティ機関など、公的機関・信頼できる情報源が発する共同声明・注意喚起・技術文書を定期的に確認し、最先端AIによる攻撃手法の変化を早期に把握する。
- 基本的な防御の徹底: 多要素認証の利用、強固なパスワード運用、不要なアカウント権限の削減、重要システムへのアクセス制限など、声明で示されたサイバー衛生の基本措置をあらためて点検・実施する。
- 更新と脆弱性管理: OSや主要ソフトウェア、ネットワーク機器のアップデートを迅速に適用し、既知の弱点を放置しない。高性能AIにより脆弱性の発見から悪用までの時間が短くなることを前提に、パッチ適用のスピードと優先順位付けを見直す。
- 監視とログ管理: 重要システムやクラウド環境のログを保全し、AIを含む高度な分析手法を用いて不審な挙動を早期に検知できる体制を整える。異常検知やインシデント対応の自動化・迅速化を図り、攻撃の速度に防御側が追いつけるようにする。
- 教育と訓練: 従業員・利用者向けに、不審なメールやチャット、生成コンテンツに対する注意喚起を行うとともに、インシデント発生時の手順確認、報告ルートの周知を徹底する。AIを悪用したより巧妙なフィッシングやソーシャルエンジニアリングを想定した訓練も検討する。
よくある質問
Q. 今回の共同声明で、具体的な攻撃者や標的は特定されていますか?
A. 共同声明では、特定の攻撃者名や標的・被害組織は名指しされていません。ファイブ・アイズは、国家・犯罪組織・ハッカー集団など広範な攻撃者が最先端AIを悪用する可能性を念頭に、政府機関や企業全般に対する壊滅的なサイバー攻撃のリスクを警告しています。
Q. どのような手法やマルウェアが使われると懸念されていますか?
A. 報道によれば、声明は特定のマルウェア名やキャンペーンを列挙してはいませんが、高性能AIによって脆弱性の発見と悪用までの時間が短縮されること、攻撃の速度・規模・巧妙さが高まること、複雑で壊滅的なハッキングが自動化される可能性に焦点を当てています。具体例として、AnthropicのMythosやOpenAIのGPT‑5.5‑Cyberのようなモデルが、危険なサイバー攻撃の実行を支援し得ると懸念されています。
Q. 企業や組織は何を優先して備えるべきですか?
A. ファイブ・アイズは、最先端AIが数年ではなく数カ月以内にサイバー能力を一変させると警告し、政府や企業に対して今すぐ防御体制を見直すことを求めています。優先すべきは、旧型ソフトの更新、不要な外部接続の遮断、本人認証の強化、重要システムへのアクセス制限などの基本的なサイバー衛生の徹底に加え、防御側もAIを活用して脆弱性管理・異常検知・インシデント対応の速度を上げることです。これにより、攻撃者が高性能AIで加速させる攻撃サイクルに対抗することが求められています。