今週のセキュリティ総括：AI の攻撃能力と脆弱性、そして対策の最前線🛡️（2026年5月1日ニュース）

今週のセキュリティニュースは、AI 技術の進化がもたらす新たな脅威と防御の両面が注目されました🤖。英国政府機関のテストで GPT-5.5 がネットワーク乗っ取りに成功するなど、AI のサイバー攻撃能力が現実味を帯びてきています。一方で、Anthropic や OpenAI は AI 自体をセキュリティに活用するツールや高度なアカウント保護機能を相次いで発表し、攻防の激化が見て取れます🔥。また、Linux カーネルの重大な脆弱性「CopyFail」や Chrome の 30 件もの修正など、既存インフラのリスクも引き続き警戒が必要です。企業からはソースコード流出や設定ミスによる多額請求の事例も報告されており、基本の徹底と最新動向のキャッチアップが不可欠な週となりました📉。

GPT-5.5 が「ネットワーク完全乗っ取り攻撃」を自律的に成功、Claude Mythos Preview に続いて 2 例目

英国の政府系機関 AI Security Institute（AISI）による検証で、OpenAI の「GPT-5.5」が企業のネットワークに対する乗っ取り攻撃シミュレーションを完遂したことが明らかになりました🇬🇧。このテストは 32 段階のステップで構成され、人間なら 20 時間を要する複雑な攻撃を AI が自律的に実行できることを示しています。GPT-5.5 は 10 回の試行中 2 回成功し、熟練者レベルのサイバー攻撃テストでも平均 71% の成功率を記録しました。特にカスタム仮想マシンのリバースエンジニアリング課題では、人間の専門家が 12 時間かかる内容を 11 分未満で解決しています。ただし、これは防御ツールが不足した制御環境下での結果であり、実環境での成否は不明です。AI の攻撃能力向上は、防御側の自動化と監視強化を急務とする警鐘となっています🔔。 GPT-5.5 が「ネットワーク完全乗っ取り攻撃」を自律的に成功、Claude Mythos Preview に続いて 2 例目

今週のセキュリティ：国家系マルウェア、ハードウェア禁止、Stuxnet 以前の Stuxnet

Hackaday が提供する今週のセキュリティまとめでは、Linux カーネルの重大な脆弱性「CopyFail」を中心に複数の脅威が紹介されています🐧。この脆弱性は 2017 年導入のコードに起因し、約 9 年間発見されずに潜在していたもので、ローカル権限昇格により root 権限を奪取される恐れがあります。また、ベネズエラの国営石油会社に対するワイパー攻撃や、米国の家庭用ルーター輸入禁止拡大など、地政学的な動きもセキュリティに影響を与えています。CPanel の認証バイパス脆弱性や AI に対するプロンプトインジェクション攻撃の追跡など、多岐にわたるトピックが含まれています。パッチの適用や設定見直しなど、早急な対応が求められる内容が盛りだくさんです🚨。 今週のセキュリティ：国家系マルウェア、ハードウェア禁止、Stuxnet 以前の Stuxnet

偽会議リンクで PowerShell マルウェアを実行する新たなグローバル詐欺

北朝鮮の Lazarus Group 傘下である BlueNoroff による、Web3 や暗号資産企業を対象とした新たな詐欺キャンペーンが確認されました🎣。攻撃者は深層偽造（ディープフェイク）やタイポスクワッティングされた会議リンクを用いて victims を偽の Zoom や Teams 通話に誘導します。通話中に音声が止まったように見せかけ、SDK の更新を促す通知を表示し、ターミナルへのコマンド貼り付けを指示して PowerShell マルウェアを実行させます。このマルウェアはファイルレスで動作し、記憶領域に常駐することで検知を回避します。Chromium ベースのブラウザプロセスにペイロードを注入し、暗号資産ウォレットの鍵や認証情報を窃取するのが目的です。北米の企業が特に狙われており、finance 部門の 80% が標的となっています🎯。 偽会議リンクで PowerShell マルウェアを実行する新たなグローバル詐欺

Opus 4.7 でセキュリティ脆弱性を見つける「Claude Security」、Anthropic がベータ提供開始

Anthropic は、最新モデル「Claude Opus 4.7」を活用したコード脆弱性スキャンツール「Claude Security」のパブリックベータを提供開始しました🛠️。このツールはコードベース全体または特定ディレクトリをスキャンし、脆弱性の検出だけでなく修正案の生成まで行います。セキュリティ研究者のようにデータフローを追跡し、コンポーネント間の相互作用を解析することで、既知のパターンに依存しない発見を目指します。検出結果には信頼度や深刻度、再現方法が含まれ、不要なノイズを減らす多段階検証パイプラインを採用しています。CrowdStrike や Microsoft Security などの技術パートナーとも連携し、既存セキュリティプラットフォームへの統合も進めています。AI による防御の自動化が、開発者の負担軽減とセキュリティ強化に貢献すると期待されています🤝。 Opus 4.7 でセキュリティ脆弱性を見つける「Claude Security」、Anthropic がベータ提供開始

マネーフォワード、GitHub からソースコードと一部ユーザー情報流出か 銀行連携を一時停止

マネーフォワードは、ソフトウェア開発プラットフォーム「GitHub」の認証情報漏えいを利用した不正アクセスにより、ソースコードと一部顧客情報が流出した恐れがあると発表しました💾。影響を受けたのは子会社が提供するビジネスカード保持者 370 件の氏名とカード番号下 4 桁で、クレジットカードの全桁情報流出は確認されていません。同社は認証情報の無効化とパスワード再発行を完了しましたが、安全確認のため銀行口座連携機能を一時停止しています。本番データベースからの漏えいはないとしていますが、顧客への連絡と再発防止を急いでいます。開発環境の認証管理の重要性が改めて問われる事態となりました🔒。 マネーフォワード、GitHub からソースコードと一部ユーザー情報流出か 銀行連携を一時停止

Google が 30 のセキュリティ欠陥を修正、数十億人の Chrome ユーザーに更新を勧告

Google はブラウザ「Chrome」において 30 件の脆弱性を修正するセキュリティアップデートを公開し、ユーザーに即時更新を呼びかけています🌐。そのうち 4 件は最高リスクレベルの「Critical」で、ハッカーにコンピューターを乗っ取られる可能性があります。多くの脆弱性はメモリ処理の誤りに起因する「Use-After-Free」で、セキュリティサンドボックスを bypass されマルウェアを実行される恐れがあります。Canvas やアクセシビリティ機能など広範な箇所が影響を受けており、バグ報奨金プログラムでは最大 16,000 ドルが支払われました。世界中で 35 億人以上が利用するブラウザであり、修正公開後の悪用リスクが高まる前にアップデートすることが重要です⏳。 Google が 30 のセキュリティ欠陥を修正、数十億人の Chrome ユーザーに更新を勧告

ChatGPT のアカウントを強力に保護する「高度なアカウントセキュリティ」機能が登場

OpenAI は、デジタル攻撃のリスクが高いユーザー向けに「高度なアカウントセキュリティ」機能を発表しました🔑。このオプトイン設定を有効にすると、パスワードログインやメール/SMS による認証が無効化され、パスキーやハードウェアセキュリティキーが必須となります。アカウント復旧手段も制限されるため利便性は低下しますが、乗っ取り防止効果は大幅に向上します。セッション時間の短縮やログイン試行のアラート、学習データへの利用停止なども含まれます。Yubico と提携し、セキュリティキーを優待価格で提供する取り組みも開始されました。記者や公職者など標的になりやすいユーザーに特化した防御策です🛡️。 ChatGPT のアカウントを強力に保護する「高度なアカウントセキュリティ」機能が登場

NVIDIA「NemoClaw」が AI エージェント推進の転換点に Claw ブームで直面する「特権リスク」

NVIDIA は、オープンな AI エージェントプラットフォーム「OpenClaw」にセキュリティ制御機能を追加する企業向けスタック「NemoClaw」を発表しました🤖。AI エージェントがローカルデバイスのルート権限を必要とする特性は、企業利用においてガバナンス上の大きな障壁となっていました。NemoClaw はオープンソースのランタイム「OpenShell」を提供し、エージェントのデータアクセスやツール使用をポリシー境界内で制御します。Microsoft Security や CrowdStrike といった既存セキュリティ大手とも連携し、ネイティブ統合を可能にします。AI エージェントの普及に伴う特権リスクに対処し、企業導入を加速させる転換点となると見られています🚀。 NVIDIA「NemoClaw」が AI エージェント推進の転換点に Claw ブームで直面する「特権リスク」

Google Cloud で請求 300 万？攻撃者に API キーを抜かれた開発者の悲劇：877th Lap

オーストラリアのエンジニアが、Google Cloud の設定ミスにより一晩で約 300 万円の請求を受けた事例が報告されました💸。攻撃者は公開されていた「Cloud Run」サービスからコンテナ内の平文 API キーを入手し、画像生成リクエストを約 6 万件実行しました。支出上限や異常検知機能が初期状態で無効だったこと、サポート対応の遅れが被害拡大の要因となっています。最終的に Google との協議で返金されましたが、API キーが料金に直結する権限であることの認識が求められます。クラウド利用時にはアクセス制限や支出上限の設定など、適切な対策を講じることが不可欠です⚠️。 Google Cloud で請求 300 万？攻撃者に API キーを抜かれた開発者の悲劇：877th Lap

世界の海底ケーブル市場と地政学リスク：2026 年以降の調査レポート・政策動向分析

世界の国際データトラフィックの 95% 以上を支える海底ケーブルインフラのセキュリティと地政学リスクに関する包括的な分析が発表されました🌊。AI 需要や洋上風力発電の拡大により市場は成長していますが、物理的な切断リスクや国家間のデジタル主権競争が課題となっています。欧州委員会はセキュリティツールボックスを導入し、日本も陸揚げ局の分散化基金を検討するなど、国家による介入が強まっています。NTT や NEC などは容量拡大や常時監視技術で課題解決を図っていますが、保守リソースの不足も懸念されます。グローバル経済の根幹を支えるインフラの保護は、国際協力と技術革新の両面での取り組みが必要です🌍。 世界の海底ケーブル市場と地政学リスク：2026 年以降の調査レポート・政策動向分析

考察

今週のニュース全体を通じて、AI 技術がセキュリティの「攻撃」と「防御」の両面で決定的な役割を果たし始めたことが浮き彫りになりました🔍。GPT-5.5 の攻撃成功事例は、AI が単なる支援ツールではなく、自律的な脅威となり得ることを示しており、防御側も AI 活用（Claude Security や NemoClaw など）で対抗せざるを得ない状況です。これはセキュリティ業界全体が、従来のシグネチャベースの防御から、AI 駆動の予測・自動対応へとパラダイムシフトを迫られていることを意味します🤖。

また、インフラレベルのリスクも依然として深刻です。Linux カーネルや Chrome の脆弱性、海底ケーブルの物理的脅威は、デジタル社会の基盤がいかに繊細かを示しています。特に CopyFail のように長期間潜伏するバグや、設定ミスによる多額請求事例は、基本の徹底と継続的な監視の重要性を再認識させます📉。企業は AI 導入の利便性だけでなく、サプライチェーンや設定管理を含めた多層防御の強化が急務でしょう。

今後の動向として、AI エージェントの権限管理と、国家レベルでの重要インフラ保護規制がさらに強化されると予想されます🛡️。セキュリティはもはや IT 部門だけの課題ではなく、経営層がリスクとして認識し、投資判断に組み込むべき時代です。技術の進化スピードに人的な対策が追いつかないギャップをどう埋めるかが、今後のセキュリティ戦略の鍵を握ることになりそうです🔑。