欧州最大級のサイバーセキュリティ見本市が、2026年6月初旬に「将来の脅威」を語る場ではなくなりました。ロンドンのExCeLで開催されたInfosecurity Europe 2026では、トロント大学の研究チームが公開した適応型AIワームの実証、米国のAIサイバーセキュリティ大統領令、OWASPのエージェント向け研究体制の立ち上げが同じ週に重なり、議論の前提が一気に現実寄りにシフトしています。
この記事では、公式発表と学術プレプリントに基づき、イベントで注目された4つの論点(AIワーム、エージェント防衛、欧州規制、米国政策)と、実務者が今週から取り組むべき防衛の方向性を整理します。
この記事でわかること
- 適応型AIワームの実験結果と、従来型ワームとの決定的な違い
- Infosecurity Europe 2026で議論されたエージェントAIの攻撃面と防御フレーム
- NIS2・DORAが現場に与える報告・第三者管理の圧力
- 2026年6月の米国大統領令が企業に与える間接的な影響
適応型AIワームが「理論」から外れた理由
https://cleverhans.io/latest-research.html
トロント大学のCleverHans Lab(Nicolas Papernot教授率いるサイバーセキュリティ研究グループ)は、Vector Institute、ケンブリッジ大学と共同で、2026年6月2日にプレプリント「AI Agents Enable Adaptive Computer Worms」を公開しました(arXiv)。
研究の核心は、攻撃手順をあらかじめ固定しない点にあります。従来のワーム(WannaCryなど)は、設計時に選んだ脆弱性のパッチで広がりを止められます。今回のプロトタイプは、侵害したマシン上でオープンウェイトの大規模言語モデル(LLM)を動かし、到達したホストごとに偵察・戦略立案・攻撃コード生成を繰り返します。商用AI APIに依存しないため、ベンダー側の拒否応答やレート制限は、構造的に効きません。
隔離された仮想ネットワーク上の33台(Linux、Windows、IoT)に対し15回の独立実験を行った結果、7日間の完全自律運用で次の平均値が報告されています(論文・ラボ公式サイトより)。
- 検出した脆弱性・弱点:31.3件(標準偏差±1.7)
- 権限昇格まで到達したホスト:23.1台(±3.9)
- 自己複製が成功したホスト:20.4台(±3.2)
ネットワーク全体に換算すると、約73.8%を悪用し、約61.8%へ伝播した計算です。最大7世代の自己複製に達した事例もあります。攻撃コストの面では、侵害先のGPUで推論を回す「寄生型」設計のため、攻撃者の限界費用は実質ゼロに近づく、と論文は指摘しています。
注目すべきは、LLMの学習データ以降に公開された脆弱性への対応です。実験環境では、CopyFail(Linuxカーネル)、DirtyFrag、Marimoノートブックの事前認証不要RCE(CVE-2026-39987)など、公開アドバイザリを実行時に読み込んで悪用できたと報告されています。ゼロデイ発見能力の実証ではなく、「未パッチの既知脆弱性を、公開情報から短時間で武器化できる」ことが問題視されています。
研究チームは実装コードの一般公開は行わず、防衛研究向けの審査付きアクセスを検討中です。プロトタイプには隠蔽機能を意図的に入れておらず、非標準ポートへのビーコン、SSH公開鍵の自動注入、認証情報の横展開など、検知可能な挙動シグネチャが残ると説明しています。
Infosecurity Europe 2026で交差した攻防の論点
Infosecurity Europe 2026は、欧州最大級の年次サイバーセキュリティイベントの第31回で、ロンドンExCeLに1万3千人超の専門家と380社超の出展者が集まりました(TechTimesの会場レポート)。2026年のプログラムでは、初のOWASP GenAI Security Summitが設けられ、生成AIとエージェントAIの防御が前面に出ています。
6月4日、OWASPはGenAI Security Project内のAgentic Security Initiativeから、Agentic Research Councilを正式に立ち上げました(Infosecurity Magazine)。学術研究と実務標準のギャップを埋めるパイプラインを公開し、研究テーマの優先順位付けとワーキンググループ運営を担います。あわせて6月3日付の論文「State of Agentic AI and Governance」では、リスク階層ごとにTop 10対策をどう適用するかの実務ガイドが示されています。
エージェントの攻撃面そのものは、2025年12月に公開されたOWASP Top 10 for Agentic Applicationsが枠組みを提供しています。プロンプトインジェクション、メモリ汚染、過剰権限エージェントによる権限昇格などが主要クラスとして整理されています。Ciscoの「State of AI Security 2026」では、エージェントAIのセキュリティ準備ができている組織は29%に対し、業務機能への導入予定は83%と、準備と導入のギャップが大きいと報じられています(会場報道・ベンダー調査として言及)。
攻撃側の前例も、会議と同週に重なりました。Sysdigは2026年5月10日、脆弱なPythonノートブックから始まり、約1時間で内部データベースまで到達した、LLMエージェント主導の侵入を公開事例として報告しています。人間が各ステップを指示するのではなく、エージェントが多段階の攻撃チェーンを自律的に進めた点が、トロント大学のワーム研究と文脈を共有します。
防御側の議論では、従来のマルウェア署名ではなく、エージェント特有の挙動(機械可読なコマンド列、分散アドレスからの並列セッション、適応的なスキーマ列挙など)を検知対象に含める必要がある、という方向性が会場で繰り返し示されました。エージェントを「便利な自動化」ではなく、独立した攻撃面として資産台帳化し、最小権限と専用検知ロジックを組み合わせる、というのが実務的な結論です。
ポスト量子暗号と「収穫して後で復号」
量子コンピュータがRSAや楕円曲線暗号を実用時間で破る可能性は、Infosecurity Europeの別トラックでも大きな聴衆を集めました。問題の本質は、Shorの算法により整数因数分解や離散対数が多項式時間で解ける点にあります。
多くの組織にとっての当面のリスクは、能力到達前に暗号化通信を保存しておくharvest now, decrypt later(今収穫し、後で復号)です。知的財産や医療記録など、長期保管されるデータは、量子コンピュータが未実用でも既にリスクにさらされている、という見方が会場で共有されました。
対策の技術基盤は整備が進んでいます。NISTは2024年8月にML-KEM(FIPS 203)、ML-DSA(FIPS 204)、SLH-DSA(FIPS 205)を確定し、2025年3月にはバックアップの鍵カプセル化方式HQCを追加しました。課題はアルゴリズム選定より、証明書チェーン・OT機器・サードパーティ製品を含む暗号資産の棚卸しと移行計画の実行です。EUの協調ロードマップでは、2026年末までに移行開始、2030年までに重要インフラの移行完了が示されており、金融・CNI事業者には規制と技術の両面から圧力がかかります。
NIS2とDORAが現場に求めること
欧州の規制トラックでは、NIS2とDORA(デジタル運用レジリエンス法)が中心でした。
NIS2は2024年10月の加盟国実施期限を過ぎても、2026年6月時点で一部加盟国では国内法への完全移行が遅れ、多国籍企業は国ごとに異なる義務を同時に満たす必要があります。食品生産や廃棄物処理など、従来は対象外だった中堅事業者も義務主体に含まれ、「適切かつ比例した」対策の具体化が難しい、という現場の声が報じられています。重大インシデントの初回報告は24時間以内です。
DORAは2025年1月から金融機関とICT第三者プロバイダーに適用され、ICT契約の登録・第三者リスク管理・脅威に基づくペネトレーションテストなどが求められます。重大インシデントの初回報告は4時間以内と、NIS2より厳しい。監督当局は、文書だけでなく機能する統制の実証を期待する方向にあり、取締役・経営層への説明責任も強まっています。
米国大統領令が欧州の実務者に与える意味
2026年6月2日、トランプ大統領は「Promoting Advanced Artificial Intelligence Innovation and Security」に署名しました(ホワイトハウス公式ファクトシート)。
主な内容は次のとおりです。
- 60日以内に、財務省・国防総省(NSA経由)・国土安全保障省(CISA経由)が、フロンティアAIモデルのサイバー能力を評価する分類ベンチマークを策定
- 開発者が公開前に最大30日、対象モデルを連邦政府に提供できる任意の事前レビュー枠組み(強制ライセンスや事前許可の新設は明示的に禁止)
- 財務省・NSA・CISAが連携するAIサイバーセキュリティクリアリングハウスの設置
- 30日以内にCISAが連邦 civilian システム向けの拘束力ある運用指令を発行し、州・地方・重要インフラへのAI防御ツール提供を拡大
ロンドン在住の組織にとって直接義務は生まれませんが、米連邦調達やトランスアトランティックの共同フレームワークに関与する事業者には、任意枠組みとEU AI Actのリスクベース義務のすり合わせが新たなコンプライアンス論点になります。AIを重要インフラ防衛の一部として位置づける政策シグナルは、ベンダーの製品ロードマップにも波及します。
今週から着手すべき防衛の優先順位
イベントと研究が示す優先順位は、大きく4つに整理できます。
エージェントの資産管理 — 社内にデプロイ済みのAIエージェントを一覧化し、接続先ツール・権限・データアクセスを最小化します。OWASP Top 10 for Agentic Applicationsをチェックリストの出発点にし、ランタイムの挙動監視をSIEMに載せます。
既知脆弱性の短い修正ウィンドウ — AIワーム研究が示すのは、公開直後のCVEを数時間で悪用しうる現実です。パッチ検証の自動化と、フラットな社内ネットワークのセグメント化(ゼロトラスト・マイクロセグメンテーション)が、論文が想定した最悪の平面ネットワークより効果的な防御層になります。
暗号資産の棚卸し — PQC移行は2030年問題ではなく、すでに保管データが標的になり得ます。RSA/ECC依存のシステムを洗い出し、NIST標準への移行ロードマップを2026年内に起票します。
規制の実効性確認 — NIS2・DORAは報告期限と第三者台帳が具体的です。ポリシー文書の更新だけでなく、4時間・24時間のインシデント演習と、ICTベンダー契約の実データ突合が、2026年後半の執行強化に備える現実的な一歩です。
Infosecurity Europe 2027は来年6月に再びロンドンで開催される見込みです。今年の議論が「いつか対処する」から「今四半期のバックログに載せる」へ移ったかどうかが、組織の防御成熟度を分ける分岐点になっています。