「FFのボス化」するサイバー攻撃。AWS幹部が語る多段階の脅威

皆さん、こんにちは！エンジニア向けに日々の技術ニュースを記事にするTetraです。

【速報】サイバー攻撃は「FFのボス」？AWSセキュリティVPが語る脅威
【考察】なぜこれが重要なのか？「第一形態」で終わらない攻撃の恐ろしさ
【未来】これからどうなる？AIとセキュリティの終わらないいたちごっこ
【提言】エンジニアはどう動くべきか？
まとめ

【速報】サイバー攻撃は「FFのボス」？AWSセキュリティVPが語る脅威

2026年3月24日にStackoverflowのポッドキャストで非常に興味深いエピソードが公開されました。ホストのRyanが、AWSのセキュリティ担当VPであるGee Rittenhouse氏をゲストに迎え、現在のサイバーセキュリティにおける「マルチステージ攻撃（多段階攻撃）」の複雑さについて語り合っています。

話題の核心は、現代のサイバー攻撃がいかに巧妙に展開し、検知が困難になっているかということ。さらに、AIがセキュリティを強化する一方で、新たな脆弱性を生み出すという「諸刃の剣」の役割を果たしている点についても深く議論されています。タイトルにある「マルチステージ攻撃はセキュリティにおけるファイナルファンタジーのボスである」という比喩が、まさに今の状況を的確に表していますね。

【考察】なぜこれが重要なのか？「第一形態」で終わらない攻撃の恐ろしさ

「ファイナルファンタジーのボス」という例え、ゲーマーのエンジニアなら思わず膝を打ったのではないでしょうか。苦労して第一形態を倒したと思ったら、姿を変えてより凶悪な第二形態、第三形態が現れる。今のサイバー攻撃はまさにこれと同じ構造になっています。

従来のサイバー攻撃といえば、外部から一発の脆弱性を突いてシステムをダウンさせたり、データを盗んだりする単発のものが多かったかもしれません。しかし、最近のマルチステージ攻撃はもっと陰湿で戦略的です。

最初はフィッシングメールや些細なクレデンシャルの漏洩から「初期侵入（第一形態）」を果たします。そこでは目立った破壊活動を行わず、システム内に静かに潜伏します。その後、権限昇格を行い、ネットワーク内を横展開（ラテラルムーブメント）し、最終的に重要なデータを暗号化したり持ち出したりする「最終形態」へと進化していくのです。

このニュースが日本の開発現場で働く私たちにとって重要な理由は、「一度の防御で安心できる時代は終わった」という事実を突きつけているからです。

日本の開発現場では、未だに「社内ネットワークは安全」という境界型セキュリティの考え方が根強く残っているケースも少なくありません。VPNさえ通っていれば大丈夫、という認識です。しかし、マルチステージ攻撃においては、VPNの認証情報そのものが「第一形態」の突破口として狙われます。攻撃者は、正当なVPN経路から侵入し、そこから数ヶ月間も社内システムに潜伏して情報を収集し続けるのです。

インシデントが発生した際、後からログを丹念に辿ってみると「実は半年も前から初期侵入されており、じわじわと権限を広げられていた」というケースが後を絶たないのも、この多段階攻撃の恐ろしさを物語っています。各段階の行動一つひとつを見ると、正規のユーザーの行動と見分けがつきにくいため、検知のハードルが異常に高いのだと思います。

【未来】これからどうなる？AIとセキュリティの終わらないいたちごっこ

今回のポッドキャストでも触れられていますが、セキュリティの未来を語る上で「AI」と「機械学習」の存在は絶対に外せません。2026年の現在、AIはすでに私たちの開発業務に深く浸透していますが、それは攻撃者にとっても同じです。

これから起こる未来として、AIによる攻撃の自動化と高度化が挙げられます。

これまでのフィッシングメールは、日本語が少し不自然だったりして人間が気づく余地がありました。しかし、AIを使えば、ターゲット企業の社内用語や文脈を完璧に学習した、極めて自然なビジネスメールを自動生成できます。これにより、マルチステージ攻撃の「初期侵入」の成功率が跳ね上がるでしょう。

また、攻撃の自動化が進むことで、大企業だけでなく中小企業やスタートアップも等しくターゲットにされる未来が予想されます。「ウチみたいな小さな会社を狙うハッカーなんていないだろう」という油断は命取りになります。AIが自動でインターネット上の脆弱なシステムをスキャンし、自動で攻撃スクリプトを実行するようになれば、企業規模は関係ありません。

一方で、防御側にとってもAIは強力な武器になります。膨大なアクセスログの中から、人間には気づけないような微細な異常（いつもと違う時間帯のアクセス、通常とは異なるAPIコールのパターンなど）を機械学習で検知し、マルチステージ攻撃が「最終形態」に到達する前にブロックすることが可能になります。
AWSのような巨大クラウドプロバイダーがAIによるセキュリティ強化に注力しているのも、人間の目視や単純なしきい値ベースのアラートでは、多段階の複雑な攻撃に対抗できなくなっているからだと思います。

しかし、AIが生み出す「新たな脆弱性」にも警戒が必要です。LLM（大規模言語モデル）を組み込んだアプリケーションに対するプロンプトインジェクションや、AIの学習データを汚染するデータポイズニングなど、少し前には存在しなかった攻撃ベクトルが次々と生まれています。技術が進化すればするほど、攻撃と防御のいたちごっこはより複雑化し、スピードアップしていくことでしょう。

【提言】エンジニアはどう動くべきか？

このような状況下で、私たち日本のエンジニアはどう行動し、キャリアを築いていくべきでしょうか？「セキュリティ専任のエンジニアではないから関係ない」で済まされるフェーズはとうに過ぎています。

1. 「想定内」を広げ、ゼロトラストを前提とした設計を行う

「ファイナルファンタジーのボス」は、必ず変身して襲ってくるものです。システム設計においても「侵入されることは避けられない」という前提（ゼロトラストの概念）に立つ必要があります。
内部ネットワークだから安全だと思い込まず、マイクロサービス間の通信であっても必ず認証・認可を行う。最小権限の原則を徹底し、万が一ひとつのアカウントが乗っ取られても、そこからの横展開を最小限に食い止めるアーキテクチャを意識することが求められます。

2. AIとセキュリティの両輪を回すスキルを身につける

生産性向上や自動化のためにAIツールを活用するのは素晴らしいことですが、同時に「そのAI連携がどんなセキュリティリスクを生むか」を想像できるエンジニアは、現場で非常に重宝されます。
開発の現場で急速に普及しているAIコーディングアシスタントの存在も忘れてはいけません。エンジニアの生産性向上に多大な貢献をしている一方で、AIが提案したコードに微細なセキュリティホールが含まれている可能性もゼロではありません。機能開発のスピードを落とさずに、シフトレフト（開発の初期段階からセキュリティを組み込むこと）を実践する。このバランス感覚は、今後のエンジニアキャリアにおいて強力な武器になるはずです。

3. クラウドのセキュリティ機能にアンテナを張る

AWSをはじめとするクラウドプロバイダーは、AIを活用した高度な脅威検知サービスを次々とリリースしています。例えば、AWS環境であれば、機械学習を用いてアカウント内の異常なアクティビティを継続的にモニタリングし脅威を検出する「Amazon GuardDuty」や、AWS全体のセキュリティアラートを一元管理してコンプライアンス状況を評価する「AWS Security Hub」、悪意のあるWebリクエストからアプリケーションを保護する「AWS WAF」などのマネージドサービスが非常に有効です。

これらのサービスは、背後で高度なAIや機械学習アルゴリズムが稼働しており、普段のアクセスパターンとは異なる微細な異常をリアルタイムで検知してくれます。人間が一つひとつログを目視したり、静的なしきい値ベースのアラートを設定したりするだけでは見逃してしまうような、マルチステージ攻撃の「初期侵入」や「横展開」の兆候を、これらのAIベースのセキュリティ機能が早期に捉える役割を果たします。

自前で複雑なログ監視システムをゼロから構築するのではなく、こうしたクラウドネイティブなマネージドサービスをうまく組み合わせて「マルチステージ攻撃の早期発見」の仕組みを素早く構築することが、現代のエンジニアには求められています。インフラエンジニアだけでなく、バックエンドやフロントエンドのエンジニアも、自分が使っているクラウドのセキュリティベストプラクティスや最新サービスを定期的にアップデートしていくべきだと思います。

キャリアという観点から見ても、セキュリティの知識はこれまで以上に「掛け算の武器」になります。「フロントエンド×セキュリティ」「インフラ構築の自動化×セキュリティ」のように、自身の専門領域にセキュリティの視点を掛け合わせることで、エンジニアとしての市場価値は飛躍的に高まります。