2026年に入り、AIを活用したサイバー攻撃が急増しています。10代の少年がChatGPTを使って楽天モバイルのシステムに22万回にわたる攻撃を行ったケースや、単独の攻撃者がClaude Codeを悪用して17の組織を恐喝したとされる事件が報告されており、AIが攻撃の技術的な敷居を大幅に引き下げていることが浮き彫りになっています。
従来のサイバー攻撃には、一定の技術的知識や経験が必要とされてきました。しかし生成AI(ジェネレーティブAI)が普及したことで、攻撃コードの生成・脆弱性の調査・フィッシングメールの作成といった一連のプロセスを、専門知識のない人物でも比較的容易に実行できる環境が整いつつあります。楽天モバイルへの22万回攻撃を実行したとされる10代のケースは、その典型例です。また、Claude Codeを用いた恐喝事件では、単独の攻撃者が複数の組織に対して組織的な脅迫を行える水準のコードを生成・実行したとされており、AIが「スケール」のない個人攻撃者に高度な実行力を与えている現状が示されています。
X上では「AIが犯罪の敷居を大幅に低下させた。規制と技術的対策の両面から急ぎ対応すべきだ」という声が広がっています。r/netsecでは「防御側もAI駆動化が必須。従来の人手中心のSOC(セキュリティオペレーションセンター)では攻撃の速度に対応しきれない」という議論が活発で、Hacker Newsでも「AIセキュリティにおける本格的な軍拡競争が始まった。攻撃・防御両者がAIを活用する時代に突入した」との見方が多数を占めています。
AIによって攻撃者の「参入障壁」が下がる一方で、防御側にもAI活用が進んでいます。しかし現時点では、攻撃の自動化・高速化がセキュリティチームの対応能力を上回るケースが増えており、法整備・AI提供者の利用規約強化・技術的なガードレール整備が急務となっています。2026年がAIアシスト攻撃の転換点として記録される可能性は、もはや高くなっています。