AIが歴史的発見 - OpenSSLに12件の重大ゼロデイ脆弱性を検出

AIシステムがOpenSSLに12件のゼロデイ脆弱性を発見

AISLEが開発したAI駆動型セキュリティリサーチシステムが、OpenSSLプロジェクトの2026年1月27日セキュリティリリースで公開された12件の未知ゼロデイ脆弱性を特定しました。この発見は自動脆弱性リサーチにおける歴史的なマイルストーンであり、AIシステムは2025年にOpenSSLに割り当てられた14件のCVEのうち13件、そして最近の2回のリリースで計15件を発見した功績を認められています。これはどの研究チームにとっても前例のない集中度であり、ましてやAI駆動型システムによる成果としては驚異的です。

脆弱性の技術的詳細

発見された欠陥には、CVE-2025-15467が含まれます。これはCMSメッセージ解析におけるスタックバッファオーバーフローで、OpenSSLによりHIGH（高）、NISTによりCRITICAL（緊急、CVSS 9.8）と評価されています。この脆弱性は有効な鍵材料なしでリモートから悪用可能であり、すでにエクスプロイトコードがオンライン上で確認されています。特筆すべき点は以下の通りです：

• 3件の脆弱性は1998年から2000年に遡り、広範なファジングや監査を受けていたにもかかわらず、25年以上も検出を逃れていました。
• 1件の欠陥はOpenSSLの前身であるSSLeayに由来し、プロジェクト自体よりも古いものでした。
• 12件中5件の脆弱性には、AIが生成したパッチが採用され、公式のOpenSSLリリースに組み込まれました。

Googleのチームを含む多くの研究者による数百万CPU時間のファジングや監査を受けてきたOpenSSLのコードベースは、長らくセキュアなソフトウェア開発のベンチマークと見なされてきました。しかし、今回の発見は従来の脆弱性発見手法の有効性に対する前提に疑問を投げかけています。

影響と示唆

この発見は、サイバーセキュリティリサーチにおけるAIの変革的な可能性を浮き彫りにし、人間や従来の機械解析では何十年も見逃されてきた深層かつ歴史的な欠陥を発見する能力を示しました。しかし、AI駆動型脆弱性発見の二面性は、以下のような重要な問いを提起しています：

• 攻撃的応用：脅威アクターが同様のAIシステムを活用し、ゼロデイ脆弱性を大規模に特定・悪用する可能性。
• 防御的進歩：AI駆動型ツールが脆弱性のパッチ適用を加速し、重要なソフトウェアの露出期間を短縮する可能性。
• 研究パラダイムの転換：単一のAIシステムによる発見の集中は、自動化されたセキュリティリサーチの新時代を示唆しており、AIが人間主導の取り組みを補完（あるいは凌駕）する未来を予感させます。

セキュリティチームへの推奨事項

1. パッチ適用の優先：OpenSSLを使用している組織は、2026年1月27日のセキュリティアップデートを直ちに適用し、特にCVE-2025-15467やその他の高リスク脆弱性に対処する必要があります。
2. エクスプロイト開発の監視：CVE-2025-15467のエクスプロイトコードが公開されていることを踏まえ、セキュリティチームは関連する攻撃パターンの監視を強化すべきです。
3. AI駆動型ツールの評価：社内セキュリティリサーチやレッドチームのワークフローにAIベースの脆弱性発見ツールを統合することを検討してください。
4. レガシーコードの見直し：25年前の脆弱性が発見された事実は、基盤となるコードベースの回顧的監査の必要性を浮き彫りにしており、たとえ十分に監査されたと考えられているものでも再評価が求められます。

AISLEチームの発見は、サイバーセキュリティにおける転換点を示しています。AIはもはや補助的なツールではなく、脆弱性発見の主要な推進力となっているのです。AIの能力が進化するにつれ、防御側も攻撃側もこれらのシステムに依存するようになり、脅威の状況はリアルタイムで変化していくでしょう。