レポート

チェックポイントリサーチ AI セキュリティレポート 2026:AI はサイバーセキュリティのアシスタントからアクティブオペレーターへ

mm

チェックポイントリサーチ AI セキュリティレポート 2026は、チェックポイント ソフトウェア テクノロジー (CHKP )によって公開され、サイバーセキュリティの風景が変化していることを示唆しています。人工知能 (AI) は、攻撃者がターゲットを研究したり、フィッシング メールを書いたり、悪意のあるコードの断片を生成したりするのを助けるものではなくなりました。AI は、ライブ攻撃チェーン内でコマンドを実行し、盗まれた情報を分析し、プロダクショングレードのマルウェアを開発し、複数のシステム間で攻撃を調整することができます。また、企業の採用は、機密データを公開し、ソフトウェア サプライチェーンのリスクを拡大し、従来の信号を使用して ID を検証することを弱めています。

AI はライブ攻撃チェーンに入っている

レポートの最も重要な発見は、AI が完全に新しいタイプのサイバー犯罪を発明したわけではないということです。代わりに、既存の攻撃を実行するために必要な時間、専門知識、コストを劇的に削減しました。

AI は現在、ソーシャルエンジニアリング、マルウェア開発、脆弱性調査、偵察、資格情報収集、横方向の移動、データ分析で役割を果たしています。最高のリスクを持つオペレーターは、最も高度なモデルを使用しているわけではありません。代わりに、複数の AI ツールを接続し、侵入の複数の段階を自動化する方法を学んだオペレーターです。

ある報告された中国関連のスパイキャンペーンでは、Claude Code を使用して、約 30 のターゲット組織に対して戦術的な作業の約 80% を実行しました。AI は、偵察、悪用、資格情報収集、横方向の移動、データの分類を処理し、人間のオペレーターは、より広範な戦略的方向性を提供するために残りました。

さらに明確なは、2025 年 12 月末から 2026 年 2 月中旬にかけて、9 つのメキシコ政府機関が妥協されたことを示しています。作戦は、約 400 万件のレコードを公開し、税金、市民登録、車両、患者、選挙データをカバーしました。研究者は、攻撃者自身のインフラストラクチャから攻撃を再構築し、1,088 の人間による指示が 34 回のセッションで 5,317 の AI 実行コマンドを生成したことを発見しました。

攻撃者は、Claude Code を使用してシステムを探索し、妥協し、GPT-4.1 を使用して盗まれたデータを分析し、後のセッションの指示を生成しました。Claude が初期に助けることを拒否したとき、オペレーターは、信頼できる CLAUDE.md 構成ファイルにペネトレーションテストの指示を挿入しました。後の各セッションは、自動的に変更された動作を継承し、再度「脱獄」する必要性を取り除きました。

これは、より広範な問題を示唆しています。多くの AI エージェントは、プロジェクト ファイルやシステムの構成を自動的に信頼しています。毒されたファイルは、将来のセッションに影響を及ぼし、暂定的プロンプト操作技術を永続的な妥協に変えることができます。

主流の AI ツールは依然として優先されるオプション

攻撃者は、商用サービス、セルフホストのオープンソース モデル、または目的のために構築された犯罪プラットフォームを介して AI にアクセスします。制限のないローカル モデルの周りの成長する議論にもかかわらず、主流の商用ツールは依然として最も実用的な選択肢です。

攻撃者は、ChatGPT、Gemini、Claude、DeepSeek、Kimi、Qwen などのサービスに対する有効または盗まれたアカウントを使用します。彼らは、個別に見ると無害に見える小さなタスクに悪意のあるリクエストを分割し、モデルを禁止された結果に向けて徐々に導きます。

AI 資格情報は、したがって貴重なターゲットになりました。 Bissa スキャナーキャンペーンは、30,000 を超える公開された開発者環境ファイルから、Anthropic、OpenAI、Google、その他のプロバイダーのログイン詳細を盗みました。AI アカウントは、収集された資格情報の中で最も一般的なタイプでした。

盗まれたアカウントは、LLMjackingという慣行を通じて、再販される可能性があります。購入者は、他の組織の AI リソースへのアクセスを取得し、使用コストを回避し、保存された情報にアクセスし、活動が有効なユーザーから発生しているように見せます。ある場合では、盗まれた Google Gemini アプリケーション プログラミング インターフェイス キーは、2 日間で約 82,000 ドルの請求が発生しました。

セルフホスト モデルは、より少ない制限とプロバイダーの監視が少ないことを提供しますが、攻撃者は、頻繁に、高価なハードウェア、技術的専門知識、および広範なファインチューニングが必要であると報告しています。WormGPT などの犯罪サービスは、パフォーマンスが悪いため信頼性を失いました。WormGPT 自体は、19,000 を超える顧客の支払い詳細を公開することによって侵害されました。

ランサムウェアとしてのサービス グループである The Gentlemen は、普通の犯罪グループが AI にどのようにアプローチしているかを示しています。2026 年 5 月までに、330 人以上の被害者を公表しましたが、メンバーは、自分でモデルを実行する方法を知らないと認めました。代わりに、商業 AI プラットフォームを比較し、どれが最も弱い保護を持っているかを判断しました。管理者は、3 日間で管理ツールを作成するために AI を使用しました。

AI ビルド マルウェアはプロフェッショナル クオリティに達する

AI アシスト マルウェア開発は、粗いプロトタイプを超えています。多くの場合、完成したマルウェアには AI は含まれていません。モデルは、コードを書き、テストし、デバッグし、改良するために開発中に使用され、デプロイされたマルウェアには、その関与の目立った証拠は残りません。

VoidLinkは、レポートの最も強力な例です。モジュラーな Linux コマンド アンド コントロール フレームワークには、ステルスと永続化の機能、および 30 を超えるポスト エクスプロイト プラグインが含まれていました。初期の質は、開発者チームが数ヶ月間作業したことを示唆していました。

開発者のオペレーショナル ミスは、VoidLink が TRAE SOLO AI コーディング環境を使用する 1 人の開発者によって作成されたことを明らかにしました。詳細な仕様と繰り返しの AI アシスト テストを通じて、開発者は約 1 週間で約 88,000 行の機能コードを生成しました。

他のグループは、同様の方法を採用しました。Transparent Tribe、別名 APT36 は、インド政府システムを標的とした使い捨てマルウェアを生成するために、AI ドリブンのアセンブリ ラインを採用しました。ロシア関連の GREYVIBE グループは、ウクライナに対する作戦で ChatGPT と Gemini を使用してカスタム マルウェアを作成しました。北朝鮮関連の KONNI グループは、PowerShell バックドアを生成するために AI を使用しました。

実行中のマルウェアが AI モデルと通信するものは、依然として一般的ではありません。LAMEHUG は Hugging Face API を介して Qwen を使用してコマンドを生成しましたが、PromptLock はランサムウェアに同様の概念を適用しました。これらの例は限られていますが、動的に生成された悪意のある動作が技術的に可能であることを示しています。

パッチするための時間が減っている

AI は、攻撃者と守備者両方にとって脆弱性の発見を加速しています。これにより、パブリック ディスクロージャー、悪用、修復の間の時間が短縮されています。

レポートでは、Anthropic の Project Glasswingについて説明しています。これは、未公開の Claude Mythos Preview モデルを使用して、主要なオペレーティング システムとブラウザの最初の月に、10,000 を超える高および臨界的な重大性のゼロデイ脆弱性を特定しました。モデルは、約 83% のケースで最初の試みで動作するエクスプロイトを生成しました。

Anthropic は、悪用される可能性があるという懸念からモデルを公開しなかったが、選択された組織向けに 1 億ドルの使用クレジットをコミットしました。ケースは、脆弱性の発見がどのようにしてより安価で自動化されるようになっているかを示しています。

政府のガイダンスはすでにこのより速い環境を反映しています。米国サイバーセキュリティおよびインフラストラクチャ セキュリティ機関 (CISA) は、連邦民間機関が特定の高リスク脆弱性を 3 日以内に修復することを要求しています。インドの CERT-In は、組織が特定のインターネットに面した弱点を 12 時間以内に修復することを推奨しています。

技術的な脆弱性の発見は、もはや主なボトルネックではありません。人間のレビュー、テスト、承認、およびデプロイが、より遅く、より脆弱なプロセスの部分になる可能性があります。

AI アプリケーションが標的になる

組織がブラウザ、電子メール プラットフォーム、ドキュメント、コーディング環境、ビジネス ワークフローに AI を組み込むにつれて、テクノロジーは機密データにアクセスし、既存のユーザー権限を使用してアクションを実行する能力を獲得します。

プロンプト インジェクションは、依然として最も重要な脅威の 1 つです。直接プロンプト インジェクションは、攻撃者がモデルと通信し、そのルールをオーバーライドしようとするときに発生します。間接プロンプト インジェクションは、AI が後に処理するコンテンツ (Web ページ、電子メール、カレンダー招待、ドキュメント、またはメタデータ フィールド) 内に悪意のある指示を隠します。

レポートでは、1 億 2,000 万の URL をスキャンし、約 15,300 の間接プロンプト インジェクション ペイロードを特定した研究について言及しています。約 70% は、人間の訪問者が通常見ることができないコメント、ヘッダー、メタデータを含む非レンダリング HTML に隠されていました。

Check Point のテレメトリは、悪意のあるペイロードが長くなったことを示しています。2026 年 3 月から 5 月にかけて、検出は約 5 倍に増加し、5 月には約 1% の観測されたプロンプトに達しました。長いペイロードは、Web ページ、ドキュメント、または接続されたツールからの出力を処理するエージェントにとって特に重要です。

AI パワード ブラウザは、認証されたセッション内で動作するため、追加のリスクを作成します。1 つのコントロールされたテストでは、悪意のあるカレンダー招待により、Perplexity の Comet ブラウザが保存されたパスワードを公開しました。別の実験では、AI ブラウザが人間の関与なしに 4 分以内に完全なフィッシング フローを完了しました。

エージェント サプライ チェーンが攻撃面を拡大している

AI エージェントは、モデル コンテキスト プロトコル サーバー、拡張機能、構成ファイル、モデル ハブ、およびダウンロード可能なスキルを介して機能を獲得します。これらのコンポーネントは、通常、自動的に信頼され、人間のレビューが制限された状態でインストールされます。

Check Point Research は、開発者が毒されたリポジトリを開いたときに攻撃者が制御されたコマンドを実行できる可能性のある、Claude Code プロジェクト ファイルの脆弱性を特定しました。Gemini CLI、Cursor、Windsurf、その他のコーディング環境でも同様の問題が発生しており、特定のベンダーの問題ではなく、より広範なアーキテクチャの弱点を示唆しています。

GlassWorm マルウェアは、150 を超えるリポジトリを横断して、モデル コンテキスト プロトコル パッケージを介して広がったと報告されています。研究者は、約 46,500 の公開ソフトウェア パッケージを調査し、そのうち 428 が、NPM トークン、GitHub キー、または Hugging Face キーを含む、有効な Claude Code ローカル設定ファイルを偶然包含していることがわかりました。約 1/13 のファイルには、ライブ資格情報が含まれています。

10,000 のモデル コンテキスト プロトコル サーバーの別のレビューでは、40% にセキュリティ上の弱点が見つかりました。221 の OpenClaw エージェント スキルを調査した結果、70% が必要以上の資格情報を要求し、43% にコマンド インジェクション パターンが含まれていたことがわかりました。

ClawHavoc キャンペーンは、マーケットプレイスに 44 の悪意のあるスキルを配置し、12,500 回以上ダウンロードされました。別の場所では、トロイの化されたコーディング拡張機能は、約 150 万人の開発者からコードを収集し、Sears Home Services を使用する顧客サポート チャットボットは、録音されたコール、トランスクリプト、および個人情報を含む 370 万件のレコードを公開しました。

合成 ID がデジタル トラストを損なっている

生成的な AI は、声、顔、文書、オンラインの個性をより簡単に偽造し、検証することをより困難にしました。馴染みのある声、生のビデオ カール、または政府の ID ドキュメントは、もはや誰かが本物であることを独立して証明することができません。

ATHR プラットフォームは、オートノマス ボイス エージェントを使用して、アカウントの回復を呼び出し、一時的なパスワードを盗みます。1 人のオペレーターは、人間のコールを雇用せずに複数の会話を同時に管理できます。

リアルタイムの顔スワッピングも、暗号通貨の盗難、ロマンス詐欺、投資詐欺、国家関連の作戦に現れています。欧州当局は、ディープフェイク ビデオを使用して偽の投資を宣伝し、700 万ユーロ以上を洗浄したとされるネットワークを解体しました。

研究者はまた、23,000 を超えるドメインが、AI チャットボットが金融アドバイザーを装ったメッセージ グループに被害者を誘導していることを発見しました。OnlyFake サービスは、約 56 か国をカバーする、10,000 を超える AI 生成の ID ドキュメントを販売し、顧客が銀行や暗号通貨取引所での検証を回避できるようにしました。

北朝鮮関連のリモート ワーカー スキームは、作成された履歴書、変更された ID ドキュメント、生成された写真、およびターゲット化された個性を使用して、西側の企業内で正当な雇用を得るためにさらに進んでいます。米国当局は、1 つのネットワークを、北朝鮮の兵器プログラムのために約 8 億ドルの収益と関連付けました。

人間は、これらの偽物を検出するのに特に信頼できるわけではありません。1 つのコントロールされた研究では、トレーニングされたスーパーリカグナイザーは、AI 生成の顔の約 41% を正確に識別しました。普通のビューアーは約 30% を検出した。

エンタープライズ AI の使用は、永続的なデータ公開を生み出している

平均的な組織は、現在、毎月 10 個の異なる AI アプリケーションを使用しています。従業員 1 人あたりのプロンプトの平均数は、2025 年 12 月の 56 から 2026 年 5 月の 70 に増加し、25% の増加を示しました。

87% から 93% の組織は、毎月少なくとも 1 つの高リスクの生成可能な AI インタラクションを経験しました。機密企業、個人、または規制された情報を含むプロンプトの割合は、2% から 4% に倍増し、約 1/50 のインタラクションから約 1/25 のインタラクションに変わりました。

ヨーロッパは、約 3.95% で最高の地域レートを記録し、その後ラテンアメリカの 3.76%、北アメリカの 3.33%、アジア太平洋の 2.88% が続きました。ビジネス サービスは、約 5.91%、または約 17 回のプロンプトごとに 1 回のリスキーなインタラクションで、最高の業界レートを記録しました。5 月までに、毎月のレートは 6.98% に上昇し、約 14 回のプロンプトごとに 1 回のインタラクションに近づきました。

多くの漏洩は、悪意のある活動ではなく、通常の使用によるものです。1 つのデモでは、ChatGPT と Google Drive の間の有効な接続により、1 つの質問の後に 1 秒以内に 400 を超える機密内部ファイルが取得されました。

サードパーティ プロバイダーは、さらなる公開をもたらします。Chat & Ask AI という消費者向けアプリは、2500 万人を超えるユーザーに属する約 3 億件のメッセージを公開しました。Sears Home Services を使用する顧客サポート チャットボットは、録音されたコール、トランスクリプト、および個人情報を含む 370 万件のレコードを公開しました。

将来の影響

チェックポイント リサーチ AI セキュリティ レポート 2026は、AI が攻撃者を強化し、新しいソフトウェア サプライ チェーンの弱点を作成し、リモート ID の検証を損なうデジタル トラストを損なう、そして機密データの日常的なリスクを増やすセキュリティ環境を提示しています。その中心的な警告は、組織が AI セキュリティを管理するために、ポリシーと年次レビューだけでは十分ではないということです。AI アプリケーション、エージェント、インフラストラクチャ、権限、サードパーティ プロバイダー、および従業員が共有するデータに対する継続的な可視性が必要です。AI がマシンの速度で動作し始めると、セキュリティ チームは、同等の速度で検出、検証、および対応する必要があります。

アントワーヌは、Unite.AIのビジョナリーレーダーであり共同創設者であり、AIとロボティクスの未来を形作り推進することに尽力しています。シリアルエントレプレナーである彼は、AIが電気と同様に社会に大きな変化をもたらすと信じており、破壊的な技術とAGIの可能性について語ることがよくあります。

彼はフューチャリストとして、これらのイノベーションが私たちの世界をどのように形作るかを探求することに尽力しています。さらに、彼はSecurities.ioの創設者であり、未来を再定義し、全セクターを再構築する最先端技術への投資に焦点を当てたプラットフォームです。