AI時代のセキュリティ新潮流！IDベース防御とエージェントのリスク管理 🛡️（2025年12月3日ニュース）

今日のサイバーセキュリティニュースは、AI技術の進化がもたらす光と影を色濃く映し出しています。特に、自律的に動作するAIエージェントの台頭は、開発や運用の効率を飛躍的に向上させる一方で、新たなセキュリティリスクやガバナンスの課題を生み出しています。これに対し、富士通やIBMといった大手企業はAIの信頼性を担保するためのコンソーシアムや専門ソリューションを発表。また、Ciscoは従来のネットワークベースの防御からID中心の動的なセキュリティへと舵を切るなど、業界全体でパラダイムシフトが起きています。WhatsAppで発覚した大規模なプライバシー脆弱性や、依然として猛威を振るうランサムウェアの侵入経路など、基本的なセキュリティ対策の重要性も改めて浮き彫りになりました。今日のニュースから、未来の脅威とそれに対抗するための最新動向を読み解いていきましょう。

WhatsAppに深刻な脆弱性、35億件以上の電話番号が無防備に公開状態だったと研究者が報告

オーストリアのウィーン大学などの研究チームが、メッセージングアプリ「WhatsApp」に深刻なプライバシー脆弱性が存在したことを明らかにしました。この脆弱性を悪用すると、ユーザーの電話番号がWhatsAppに登録されているかを大量に検証できる「列挙攻撃」が可能でした。研究チームは、毎秒7000件の速度で電話番号を検証し、35億件以上のアクティブアカウントの存在を確認できたと報告しています。この攻撃により、プロフィール写真や自己紹介文などの個人情報も取得可能だったとのことです。Meta社は報告を受け、現在は対策を実装済みとしています。 WhatsApp、35億件超の電話番号が無防備に公開状態　毎秒7000件の列挙攻撃に成功　海外チームが報告

富士通、AIリスクに対応する国際コンソーシアム「Frontria」を創立

富士通は12月2日、生成AIの進化に伴う偽情報やAIシステムの脆弱性といったリスクに対応するため、国際コンソーシアム「Frontria（フロントリア）」を創立したと発表しました。世界中の50以上の組織が参画し、AIの信頼性を確保するための技術や知見を結集します。コンソーシアムでは「偽・誤情報対策」「AIの信頼性（AIトラスト）」「AIセキュリティ」の3つのコミュニティーグループを設置。富士通は、フェイク検知やAIの公平性に関する自社のコア技術をトライアル版として提供し、参画組織と共に技術を磨き、新たなユースケースの創出を目指します。 富士通、AIリスクに対応する国際コンソーシアムを創立--偽情報や誤情報などに対応

日本IBM、NTTデータグループにAIガバナンス・プラットフォームを提供

日本IBMは、NTTデータグループのAI開発およびサービス案件のリスク管理基盤として、AIガバナンス・プラットフォーム「IBM watsonx.governance」が採用されたことを発表しました。NTTデータグループは、AI活用を支える専任組織「AIガバナンス室」を設置しており、急増するAI案件のリスク管理体制を強化する狙いです。watsonx.governanceは、AIリスク評価、ライフサイクル管理、コンプライアンス運用などの機能を提供。これにより、NTTデータグループはAI開発案件の一元管理や集計の省力化を実現します。 日本IBM、NTTデータグループにAIガバナンス・プラットフォームを提供

シスコ、AIで加速する“老朽化インフラ”の危機に緊急警告

ネットワーク機器大手のシスコは、老朽化したデジタルインフラがもたらすセキュリティリスクについて警鐘を鳴らす啓発キャンペーンを開始しました。生成AIツールの普及により、攻撃者が古い機器の脆弱性を容易に発見・悪用できるようになったことが背景にあります。シスコは、寿命が近い自社製品に対して新たな警告表示機能を導入し、将来的には安全でない古い設定を完全に削除する方針です。同社が委託した調査によると、主要5カ国（日米英独仏）の中で、重要インフラにおける老朽化機器のリスクが最も低いのは日本でしたが、それでも継続的な対策の重要性を訴えています。 AIで加速する“老朽化インフラ”の危機──シスコが緊急警告

Cisco、ファイアウォールにIDベースの動的防御機能を追加

Cisco Systemsは、ファイアウォール製品「Cisco Secure Firewall」に、IDベースの脅威インテリジェンスと連携する新機能「Cisco Identity Intelligence」を追加すると発表しました。これは、正規の認証情報を悪用したID攻撃が急増している現状に対応するものです。新機能は、Active DirectoryやMicrosoft Entra IDなどの認証基盤と連携し、ユーザーの行動ログから異常を検知。リスクスコアに応じて、追加認証の要求やアクセスの遮断といった動的なポリシー変更を自動で行います。これにより、従来のIPアドレスベースの防御では困難だった、なりすまし攻撃への対策を強化します。 重大なサイバー攻撃の26％がActive Directoryを標的に　CiscoがファイアウォールにIDベースの動的防御を追加

Let's Encrypt、証明書の有効期間を45日に短縮すると発表

無料でTLS証明書を発行する認証局「Let's Encrypt」は、発行する証明書の有効期限を現在の90日から段階的に短縮し、2028年までに45日にすると発表しました。これは、証明書の有効期間を短くすることで、万が一秘密鍵が漏洩した際の影響範囲を限定し、インターネット全体のセキュリティを向上させることが目的です。また、ドメイン所有者の認証情報を再利用できる期間も、現在の30日から7時間へと大幅に短縮されます。この変更に伴い、手動での証明書更新は非推奨となり、DNS-PERSIST-01といった新しい自動更新技術の活用が推奨されています。 Let’s Encryptが証明書の有効期間を45日間に短縮すると発表

AWS、DevOpsを支援する3種類のフロンティアAIエージェントをリリース

Amazon Web Services (AWS)は、re:Invent 2025にて、自律的にタスクを処理する新しいAIエージェント群「フロンティアエージェント」を発表しました。今回リリースされたのは、コード管理向けの「Kiro」、アプリケーションのセキュリティを支援する「AWS Security Agent」、そしてインシデント対応を自動化する「AWS DevOps Agent」の3種類です。これらのエージェントは、単にコードを記述するだけでなく、リポジトリの更新、脆弱性分析、障害発生時の根本原因分析などを自律的に実行し、開発から運用までのライフサイクル全体を支援します。 AWS、DevOpsを支援する3種類のエージェント型AIをリリース

AIデータアノテーション業務委託で「闇取引」が横行、認証済みアカウントの乗っ取りも

AI開発の裏側で、データラベリングなどの業務委託に必要な「認証済みアカウント」を不正に売買するブラックマーケットが拡大していることが、Business Insiderの調査で明らかになりました。Scale AIやSurge AIといったプラットフォームでは、仕事を求めるギグワーカーが地理的な制限を回避したり、適性テストを通過したりするために、Facebookなどで不正にアカウントを購入するケースが横行。中には、フィッシングメールで本物のギグワーカーのアカウントを乗っ取る手口も確認されています。この問題は、AI開発の品質やセキュリティに深刻な影響を与える可能性があります。 【独自】AIデータアノテーション業務委託で「闇取引」が横行。認証済みアカウント乗っ取りも

台湾検察、TSMCの企業秘密を盗んだとして東京エレクトロン子会社を起訴

台湾の検察当局は12月2日、半導体製造装置大手東京エレクトロンの台湾子会社が、世界最大のファウンドリであるTSMCの2nmプロセス技術に関する企業秘密を盗んだとして、同社を起訴しました。検察は、東京エレクトロン台湾が元TSMCの従業員による不正行為を防ぐための監督義務を怠ったとして、約5億9500万円の罰金を求めています。この事件は、台湾の国家安全保障にも関わる重要な技術の漏洩事件として注目されており、関与したとされる元従業員には最大で懲役14年が求刑されています。 台湾検察が東京エレクトロン子会社を起訴、TSMCの企業秘密を盗んだとして罰金6億円を請求

VPN機器の脆弱性がランサムウェア被害で露呈、ユーザー企業の9割が不安

リモートアクセスサービスを手掛けるe-Janネットワークスが実施した調査で、VPNを利用する企業の約9割がセキュリティ面に何らかの不安を感じていることが明らかになりました。警察庁の報告によると、2025年上半期のランサムウェア被害のうち、VPN機器からの侵入が原因だったケースが半数以上を占めており、VPNの脆弱性が依然として深刻な侵入経路となっています。調査では、VPNの課題として「セキュリティ担保への不安」が最も多く挙げられ、導入時にも「セキュリティ要件を満たすか不安」という回答がトップでした。 VPN機器の脆弱性、ランサムウェア被害で露呈　ユーザー企業「9割が不安」

考察

今日のニュースを俯瞰すると、セキュリティ業界が「AIエージェント」という新たなパラダイムにいかに向き合おうとしているかが明確に見て取れます。AWSが発表したDevOpsやセキュリティに特化した自律型エージェントは、運用自動化を加速させる一方で、AI自身が攻撃対象となったり、意図せぬ脆弱性を生み出したりするリスクもはらんでいます。この「AIエージェントのリスク」に対し、富士通の国際コンソーシアム設立やIBMのAIガバナンスソリューション提供といった動きは、技術的な対策だけでなく、組織的なルールや倫理観の確立が急務であることを示唆しています。AI開発の裏側で横行するアカウントの闇取引の実態は、この問題の根深さを象徴していると言えるでしょう。🤖

一方で、AIという最先端のテーマと並行して、ID管理、インフラの老朽化、証明書運用といった、いわば「セキュリティの基礎体力」とも言える領域の重要性が再認識されています。Ciscoがファイアウォールの軸足をネットワークからIDへと移したことは、巧妙化するなりすまし攻撃に対抗するための必然的な進化です。また、Let's Encryptによる証明書有効期間の短縮や、依然としてランサムウェアの主要な侵入経路となっているVPNの脆弱性問題は、どれだけ高度な技術が登場しても、基本的なセキュリティ対策の徹底が防御の土台であることを改めて教えてくれます。AI時代だからこそ、自社の足元にあるリスクを丁寧に見直し、堅牢な基盤を築くことの価値はますます高まっています。基礎を固めつつ、新たな脅威に適応していく、その両輪がこれからのセキュリティ戦略の鍵となりそうです。💡