2026年に入り、AIを使って開発されたとされる世界初のゼロデイ(未公開)2要素認証(2FA)迂回ツールが実際の攻撃で確認されました。The Hacker Newsが報じたもので、GoogleもAIシステムを利用してゼロデイ脆弱性を発見した脅威アクターのケースを初めて公式に報告しており、AIが攻撃側の武器として本格活用される時代が到来したことを裏付けています。
セキュリティコミュニティが特に懸念するのは、脆弱性が公開されてから悪用されるまでの時間です。かつて平均700日以上あったこの期間は、2025年以降には44日にまで短縮されており、AIが攻撃ツール開発に加わることでさらなる圧縮が予測されています。今回の2FA迂回ツールの事例は、ゼロデイ脆弱性の発見から悪用まで人間の介在なしにAIが完結しうることを示した、重大なマイルストーンです。
X上ではセキュリティ研究者から「AIが攻撃者の武器になるという予測が現実になった。2026年は『AI支援型サイバー攻撃元年』として記録されるかもしれない」という警告が拡散されました。Redditのr/cybersecurityでは「脆弱性の開示から悪用までの期間が700日から44日に短縮した事実と合わせると、防御側の対応時間がほぼゼロになりつつある」という危機感が高まり、組織的な対応策の議論が続いています。Hacker Newsでは「Claude Codeを悪用した恐喝キャンペーンや政府システムへの侵入など、具体的なAI支援攻撃事例が増加中。AIガバナンスの緊急性が増している」という議論も展開されました。
攻撃側がAIを活用する速度は、規制や防御体制の整備を上回るペースで進んでいます。国家レベルでのAIセキュリティガバナンスの確立と、企業が採用する多層防御の強化が急務であることを、今回の事例は改めて突きつけています。