マイクロソフトは7月16日、今月の「パッチチューズデー」セキュリティアップデートを公開し、一度に最大570件ものセキュリティ脆弱性を修正した。これは同社の月間脆弱性修正件数として史上最多の記録を更新するものであり、従来の最高記録(2024年6月の317件)のほぼ2倍に相当する。マイクロソフトはアナウンスの中で、大量の脆弱性発見に人工知能(AI)技術の導入が貢献したことを明示し、特に社内AIセキュリティツールがコード監査と脅威検出に広く活用されたと述べた。
パッチチューズデー:定例更新からAI主導のセキュリティ革命へ
「パッチチューズデー」は、マイクロソフトが2003年から実施している毎月定例のセキュリティアップデートの仕組みである。従来は主に手動コードレビュー、外部セキュリティ研究者からの報告、自動スキャンツールに依存していた。しかし、マイクロソフトがAIをセキュリティ開発ライフサイクル(SDL)に深く統合したことで、脆弱性発見の効率が質的な飛躍を遂げた。マイクロソフトセキュリティレスポンスセンター(MSRC)によれば、今年導入されたAI支援セキュリティ分析システムは、マイクロソフトに提出されたコード変更をリアルタイムで解析し、従来のツールでは検出困難だった複雑な論理的脆弱性やゼロデイ攻撃経路を特定できるという。
「AIのおかげで、膨大なコードベースをかつてない速度でスキャンし、人間の専門家が見落としがちな微細な異常を捉えられるようになった。」——マイクロソフト セキュリティ担当副社長 Vasu Jakkal氏がブログで述べた。
今月修正された570件の脆弱性のうち、210件が「リモートコード実行(RCE)」タイプとして分類され、Windowsカーネル、Hyper-V仮想化プラットフォーム、Microsoft Exchange Serverに関係している。また85件は特権昇格の脆弱性であり、攻撃者がシステムの最高権限を取得するために悪用される可能性がある。特筆すべきは、実際に悪用が確認されたゼロデイ脆弱性が3件含まれており、マイクロソフトはAIのパターンマッチング技術を活用してこれらの脅威を迅速に特定・修正した点である。
AIはいかにして脆弱性発見を変えるのか?
業界アナリストは、マイクロソフトのAIセキュリティ戦略が主に3つの側面に現れていると指摘する。
1. 自動化ファジングテスト:AIモデルが大量のランダム入力データを自動生成し、従来のテストでは到達できないコードブランチをカバーする;
2. 静的コード解析の強化:Transformerアーキテクチャに基づくコード理解モデルが、ファイルやコンポーネントを横断して依存関係を解析し、データフローの異常を発見する;
3. 脅威インテリジェンスの関連付け:AIエンジンがグローバルなセキュリティコミュニティのレポートからキーワードを抽出し、マイクロソフト社内の脆弱性データベースと自動照合することで、既知の攻撃パターンへの対応を加速する。
マイクロソフトは2024年にSecurity Copilotを発表し、GPT-4などの大規模言語モデルをセキュリティ運用に統合した。今回570件という記録的な脆弱性の発見は、CopilotとMicrosoft社内コード解析システムの深い統合によるものと見られている。匿名を希望したマイクロソフトの元セキュリティエンジニアは次のように述べた。「以前は、経験豊富な研究者が1週間で1〜2件の脆弱性を発見できれば良い方だった。今ではAIが1日で数百件の疑わしい箇所を提示でき、人間はその検証と精査に集中すればよい。」
編集者注:AIセキュリティ——両刃の剣の試練
マイクロソフトによる今回の「AIの功績」は間違いなく業界の標準を打ち立てるものだが、新たな問いも生じさせる。攻撃者もまたAIを活用してより巧妙な悪意あるコードを生成する時代において、防御側は常に一歩先を行けるのだろうか?セキュリティ業界では「攻撃者は一つの弱点を見つければよいが、防御側はすべての穴を塞がなければならない」とよく言われる。AIの導入は人手不足の補完に役立つ一方、システムがAI自体の脆弱性に依存するリスクも生む。例えば、AIモデルが敵対的攻撃を受けた場合、その脆弱性評価結果が誤った方向に誘導される可能性がある。そのため、マイクロソフトはAI活用を加速しながらも、より完全なAIセキュリティ監視と冗長検証の仕組みを構築すべきである。
さらに、570件もの脆弱性を集中的に修正することは、IT管理者の展開能力にも深刻な挑戦をもたらす。企業は各パッチの互換性を緊急に評価し、一つのセキュリティ脆弱性を修正したことで別の業務障害を引き起こすような事態を避ける必要がある。
総じて、この出来事はサイバーセキュリティ防御が「AIのスケール化」時代に突入したことを示すものである。マイクロソフトの実践は、AIが未来の概念ではなく、現在のセキュリティ攻防において不可欠な生産性ツールであることを証明している。
本稿はTechCrunchより編集・翻訳。
© 2026 Winzheng.com 赢政天下 | 转载请注明来源并附原文链接