Palo Alto Networks、ハッキング被害の主因は基本設定ミスと指摘

138DATA

AIを恐れる前に足元を見よ。パロアルトが喝破するハッキング被害の「意外な主原因」

この記事はAI生成です。元記事の内容を元に、事実のみを要約しています。

「生成AIを使った未知のサイバー攻撃が攻めてくる」――そんなSFのような脅威にばかり目を奪われ、肝心の足元がおろそかになっていませんか?

世界的なサイバーセキュリティ企業であるPalo Alto Networks(パロアルトネットワークス)の専門家らは、ハッキング被害の深刻な原因は高度なAI攻撃ではなく、ID管理の甘さや設定ミスといった「初歩的な不備」にあると指摘しました。本記事では、最新の国際フォーラムで語られたセキュリティのリアルな現状と、これから到来するAIエージェントハッキング時代への備えについて解説します。

基本設定ミスが主原因と診断

グローバルサイバーセキュリティ企業のPalo Alto Networksは、世界中で発生しているハッキング被害の相当数が、人工知能を活用した高度な攻撃によるものではなく、ID管理の不備やシステム設定ミスといった「基本的なセキュリティ管理の不足」に起因するとの診断を下しました。

同社の脅威インテリジェンスチーム「Unit 42」でアジア太平洋地域を統括するヘレン・テイシェイラ氏は、2026年6月30日にソウル市中区のザ・プラザホテルで開催された「韓国CIOフォーラム6月朝食会」に登壇し、この見解を示しました。

テイシェイラ氏は「顧客環境をテストして得られた初期結果を見ると、依然として攻撃者が極めて容易に侵入できる環境が数多く存在する」と現場のリアルな緩みを指摘。さらに「発見される問題の大半は、ID管理の脆弱性や誤ったシステム設定に起因している。一部でAI関連の新たな問題も出始めてはいるが、依然として最大の原因は基本的なセキュリティ管理の不足にある」と強調し、「これは特定の地域だけの問題ではなく、世界的に共通して見られる危険な現象だ」と警鐘を鳴らしました。

AI時代の新たな脅威とパラダイム転換

同日のイベントには、Palo Alto Networksの韓国支社長であるパク・サンギュ氏も登壇し、急速に進化するAIがもたらす新たなフェーズについて言及しました。

パク氏は、米国のAI企業Anthropicが4月7日に公開したとされるAIモデル「Mythos」を引き合いに出し、「Mythosの公開後にPalo Altoの株価は2倍以上に上昇した」と紹介。AIとMythosの登場によって既存のサイバーセキュリティ手法はもはや有効ではなくなりつつあるとし、「これからはフロンティアAIによる『エージェント』が自動でハッキングを行うことになる。こうしたエージェントハッキング時代を迎える準備ができているか」と会場の経営層やCIOへ問いかけました。

またパク氏は、昨年韓国インターネット振興院が公式発表したサイバーセキュリティのハッキング被害件数が2,300件余りだったことに触れ、「表に出ていない潜在的な被害を合わせると実際には10倍以上になるだろう」との予想を展開。さらに、Anthropicの「Glasswing Project」という取り組みについて、AIの脆弱性検知機能をPalo Alto Networksを含む米国企業・機関52カ所に先行提供し、最近では150カ所に拡大したと説明しました。Palo Altoの米国本社が自社の130余りの全製品をこの機能でスキャンした結果、「多くの脆弱性を発見する強力な機能を示した」と述べ、AIによる防御の革新性をアピールしました。

今回の公表で判明していること

今回の発表から浮き彫りになったのは、企業のサイバーセキュリティにおける最大の死角が、依然としてIDの放置や設定ミスといった基本的な運用面にあるという冷酷な現実です。その一方で、Mythosのような強力なAIの台頭により、従来の防御手法が通用しなくなるセキュリティパラダイムの大転換期が迫っていることも指摘されました。

ただし、AIを活用した防御への移行には現実的な課題も横たわっています。オープンソースソフトウェアに潜む脆弱性の問題に加え、AIスキャンにかかる莫大なコスト(Palo Altoが自社製品を1週間スキャンするのに100万ドル以上を要した事例など)が挙げられ、これら最先端のテクノロジーをどのように自社の予算と運用に落とし込んでいくかという、新たな判断基準が企業に突きつけられています。

138DATAの視点:迫り来る「AIハッカー」に対抗するための、普遍的なアプローチ

今回のPalo Alto Networksの幹部陣による提言が示しているのは、「未来の高度な脅威(AIエージェント)に備えるためにも、まずは現在の初歩的な防御(ID・設定)を完璧にしなければならない」というセキュリティの鉄則です。ハッカーがAIを使って攻撃を自動化・高速化してくるとしても、彼らが最初に狙うのは、やはり企業側がうっかり残した「設定ミス」や「弱いパスワード」というイージーな隙だからです。

エージェントハッキング時代を前に、IT管理者や経営層が今すぐ見直すべき社内の判断基準は以下の3点です。

  • ID管理(アイデンティティ・ガバナンス)の徹底的な棚卸し:使用されていない休眠アカウントや退職者のIDが放置されていないか、また特権管理者権限が必要最小限のユーザーだけに絞られているかを厳格に監査する。
  • 「設定ミス」を自動検知する仕組みの導入:クラウド環境や社内システムの構成が安全に保たれているか、ヒューマンエラーによる設定不備(パブリック公開の設定など)を常時監視してアラートを出すツール(CSPM等)の活用を検討する。
  • AI防衛のコストパフォーマンス評価:Palo Altoの自社スキャン事例が示す通り、AIを活用したセキュリティ対策には高額なインフラコストが伴う場合があります。自社のどの重要資産(コア製品や機密データベース)に対して優先的に高度なAIスキャンや防衛リソースを投資すべきか、リスクベースでの予算配分を最適化しておく。

テクノロジーがどれほど進化しようとも、防衛の基本は変わりません。足元の脆弱性を完全に潰した上で、次世代のAI駆動型セキュリティへと段階的に舵を切っていきましょう。