【緊急投稿】【IPA公式】AIが“攻撃面”になった日｜10大脅威2026で初選出

ビリケンさんも靴下履いてもうレベルの一大事！！

・情報セキュリティ10大脅威 2026
https://www.ipa.go.jp/security/10threats/10threats2026.html

情報セキュリティ10大脅威2026を、富山出身エンジニアが大阪からツッコみながら解説する

2026年版「情報セキュリティ10大脅威」に、
“AIの利用をめぐるサイバーリスク” が初選出されたんや。

いやこれ、ほんまに時代変わったで。
AI が「便利な道具」から、ついに “攻撃面そのもの” に昇格してもうた。

たとえばやな、Gemini が Gmail / Google Drive / Calendar にアクセスできる設定のまま、
攻撃者が「この情報送っといてや〜」みたいなメール送ってきたら…

AI は従順やから、
「あ、ユーザーさんの指示やな！」って素直に送ってまう。

いやいや、誰の指示やねん。
富山の実家の母ちゃんでももうちょい疑うわ。

---

1. 2026年の10大脅威で何が起きたんや

IPA の公式発表では、AI 利用リスクが 組織向け脅威の上位 にランクイン。

• ランサムウェア
• サプライチェーン攻撃

に続いて、AI が堂々のランクイン。
いや、AI…出世しすぎやろ。

---

2. なんで今、AIが脅威扱いなんや？

■ AI がクラウド情報を“横断アクセス”する時代になった

Gemini みたいな統合 AI は、
Gmail も Drive も Calendar も、ぜ〜んぶ見れる。

便利やけど、攻撃面としては最悪や。

■ AI は「意図の真正性」を判断できへん

AI はめっちゃ素直やから、
「これほんまに本人の指示？」
って確認できへん。

攻撃者のメールでも、
「はい！了解です！」って動いてまう。

■ 攻撃者は AI を騙すだけで情報漏洩が成立

人間を騙すより、AI を騙す方が早い。
しかも AI は権限をまとめて持ってる。

そら狙われるわ。

---

3. Gemini の例で理解する“AI経由の情報漏洩”

■ AI の権限が横断してる構造

[AI] → Gmail  
     → Drive  
     → Calendar  
     → その他クラウド

■ 攻撃者メール → AI誤動作の流れ

攻撃者メール
   ↓
AI「ユーザーさんの指示や！」と誤認
   ↓
Driveの機密ファイルを送信

AI は素直で疑わへん。
富山のホタルイカより光速で情報が飛んでいく。

---

4. 攻撃者から見た AI の姿

• 人間より騙しやすい
• 権限をまとめて持ってる
• ログ残さへん設定もある
• 「意図の真正性」を判断できへん

攻撃者からしたら、
「AIを騙したら内部情報に最短アクセス」
っていう夢のルートが完成してもうてる。

---

5. 実務で何すべきか（大阪からのガチ助言）

■ 1. AIに与える権限は最小限に

“全部見せる”は危険。
必要な範囲だけにしとこ。

■ 2. メール送信・ファイル共有権限は分離

AI に送信権限持たせたら、
攻撃者の指示で誤送信まっしぐら。

■ 3. AI操作ログは絶対残す

AI が何読んで何送ったか、後から追えるように。

■ 4. AIにもゼロトラスト

• 権限分離
• アクセス制御
• 意図確認
• ログ監査

AI も人間と同じく“信用せん”ところから始めるんや。

---

6. まとめ：AIは便利やけど、便利すぎると危険やで

2026年は、
AI が「攻撃面」になったことが公式に認定された年 や。

• AIは従順すぎる
• AIは意図の真正性を判断できへん
• AIは権限をまとめて持ってる

この3つ揃ったら、
攻撃者にとって“理想の侵入口”や。

AI を安全に使うには、
設計思想そのものを見直す必要がある。

---

【追記】
・Weaponizing Calendar Invites: A Semantic Attack on Google Gemini
https://www.miggo.io/post/weaponizing-calendar-invites-a-semantic-attack-on-google-gemini
※GoogleはMiggo Securityが発見した特定の脆弱性を既に修正している

・メールもURLも踏まない攻撃が始まった　Geminiを乗っ取る恐怖のシナリオ
https://www.itmedia.co.jp/enterprise/articles/2601/28/news013.html

---

──もはや“メールもURLも踏まない攻撃”が現実になりました。
Google Geminiを狙った攻撃が、ついに“説明文を読むだけ”で成立する段階に突入。

Black Hatの場で話題になった研究（正式公開はMiggo Security）では、
Googleカレンダーの招待説明欄に隠された一文だけで、Geminiが乗っ取られる。

つまりこういうこと。

• クリック不要
• URL不要
• 添付ファイル不要
• 「予定を読む」という日常行為だけでアウト

AIが“攻撃面”として初選出された理由が、もはや説明不要レベルで露骨になってきた。

GeminiはGmail・Drive・Calendarを横断して参照できる。
攻撃者はその“横断アクセス権”を丸ごと奪える。

しかもAIは「これは攻撃者の指示か？」なんて疑わない。
富山の母ちゃんでも疑うのに、AIは疑わん。

そして今回の研究で明らかになったのは、
「自然言語だけで認可回避が成立する」という最悪の事実。

コードもスクリプトも不要。
ただの文章で、AIは“正当な指示”だと誤認して動く。

スマート家電の操作、Zoom開始、メール傍受、ファイル取得──
全部、説明欄の一文から始まる。

AIが便利すぎると危険、という話ではない。
“便利すぎるAIを中心に据えた設計思想そのものが攻撃面になる”時代に入った。

2026年は、AIセキュリティが“オプション”ではなく“社会インフラ”になる年や。