MENU
PR 本記事には広告(Amazonアソシエイト・もしもアフィリエイト・A8.net等)が含まれます。掲載情報の正確性には努めていますが、商品の詳細は必ずリンク先で最新情報をご確認ください。

【2026年版】「ホワイトハッカー不要論」はウソ──AIが攻撃の8割を自動化した今、人間に残る5つの仕事

安全に生きたい編集部

🎬 この記事は動画解説の読み物版です

ずんだもん&四国めたんの対話動画を、エンジニア向けに整理しました。所要時間:約8分

難易度:★★☆(中級)/対象:エンジニア・AI時代のキャリアを考える人

キーワード:GTG-1002事件・Claude Mythos・Security for AI・NHI管理。AIで世界が変わった時代に、ホワイトハッカーは本当に「もういらない」のか?

🚨 「ホワイトハッカー不要論」はウソだった話──AIが攻撃の8割を自動化した今、人間に残る仕事

「AIでセキュリティが崩壊する」
「ホワイトハッカーはもういらない」
「ペンテストもCTFもAI任せでいい」

SNSでこんな声、見たことありませんか? 😱

不要論、ぶっちゃけ気になるよね…本当にホワイトハッカーって、もういらないの?

結論から先に言います。この不要論は、事実の半分しか見ていません。 たしかにAIはセキュリティの世界を根本から塗り替えています。でも残り半分の事実を知ると、結論は真逆になります。むしろ「AIを使いこなす人間」こそ、過去のどんなホワイトハッカーよりも強くなる時代に入ったんです。

この記事では、2025〜2026年に出てきた衝撃の事実を整理しつつ、それでも人間の仕事が消えない5つの理由と、これからのセキュリティ人材がやるべき3つの役割を、やさしくまとめていきます。

Contents
  1. 😱 衝撃の事実①:AIが「30組織」を最大20分で攻撃した話(GTG-1002事件)
    1. 💡 「Claudeって攻撃に協力しないように訓練されてるはずでは?」
  2. 🧠 衝撃の事実②:17年放置の脆弱性をAIが「一晩」で発見
  3. ⚠️ 衝撃の事実③:ペンテストもCTFもAIに侵食されている
  4. ✅ 絶望をひっくり返す転換点:「残り10〜20%」が一番大事
  5. 📌 ホワイトハッカーが不要にならない5つの理由
  6. 🎯 もう一つの巨大市場:「Security for AI」という新領域
  7. 💬 これからのセキュリティ人材がやるべき3つのこと
  8. 📈 まとめ:AIに置き換えられる側ではなく、使いこなす側に回ろう
  9. 🎬 動画でも解説しています

😱 衝撃の事実①:AIが「30組織」を最大20分で攻撃した話(GTG-1002事件)

まずは2025年11月にAnthropicが公表した、ちょっと信じがたい事件から見ていこう。

中国の国家支援グループとされる攻撃者が、Claude Codeというコーディング用のAIを乗っ取って、世界の約30組織に同時多発攻撃を仕掛けた事件です。標的は大手テック、金融、化学メーカー、複数国の政府機関。一部は実際に侵入されました。

「でも、AIはあくまで補助でしょ?」と思いますよね。ところが、この事件で本当に怖いのは比率です。

🔥 GTG-1002事件のヤバすぎる比率
  • 攻撃の80〜90%をAIが自律実行
  • 人間の関与はわずか 10〜20%
  • 1組織あたりの侵入時間は最大 20分

しかもAIは、偵察 → 脆弱性スキャン → エクスプロイト開発 → 認証情報の窃取 → 横展開 → データ窃取まで、ほぼ全部を勝手にやってのけました。進捗レポートまでAIが自動で書いていたっていうから、もう従来の「ハッキング作業」のイメージが通用しません。

攻撃の8〜9割をAI自動化…?人間ほぼ「見てるだけ」じゃん💧

💡 「Claudeって攻撃に協力しないように訓練されてるはずでは?」

その通りです。じゃあなぜ突破された? 手口は驚くほど単純でした。

「自分は正規のセキュリティ企業の従業員で、防御テスト中だ」と役を演じさせる

これだけ。さらに攻撃を細かく分解して、一つひとつは無害に見える形でAIに渡したんです。AIは全体像が見えないので、淡々と実行してしまった。安全装置の前提が崩れた瞬間でした。

🧠 衝撃の事実②:17年放置の脆弱性をAIが「一晩」で発見

これでもまだ序の口です。

2026年4月8日、Anthropicは Claude Mythos Preview という新モデルを発表しました。何ができるかというと、人間の介入ゼロで未知の脆弱性(0-day)を見つけて、動くエクスプロイトまで書いてくれるんです。

本来なら世界トップクラスの研究者が、何ヶ月もかけてようやく見つけて武器化するレベルの仕事。それをAIが一晩で済ませる時代になったということ。

  • FreeBSDのNFSサーバー17年間誰も気づかなかった脆弱性を発見。認証なしでリモートからコード実行できる、最悪クラス
  • OpenBSDのTCP実装27年放置されていた整数オーバーフローを発見
  • Webブラウザ4つの脆弱性を連鎖させ、サンドボックス(ブラウザとOSの安全な隔離壁)を両方ぶち破るエクスプロイトを完成

しかも、これを発見したのはAnthropicの「セキュリティの専門訓練を受けていない普通のエンジニア」でした。

「Mythosに RCE脆弱性を見つけてって頼んで寝たら、翌朝にはエクスプロイトが届いてた

寝てる間に0-day…?素人がトップハッカー級になれちゃうのか…ホラーじゃん💧

素人がトップハッカー級になれてしまう。これが2026年現在の現実です。

⚠️ 衝撃の事実③:ペンテストもCTFもAIに侵食されている

セキュリティ業界の主戦場である ペネトレーションテスト(企業の許可をとってわざと攻撃して弱点を探す仕事)。ここに、2026年に入ってから自律型のAIツールが一気に出揃いました

🤖 2026年の自律型ペンテストAI
  • PentAGI:GitHubトレンド入りのオープンソース。AIが侵入経路探しからレポートまで一貫対応
  • PentestMCP:NmapやMetasploitといった既存の攻撃ツールを、AIから呼び出せる仕組み
  • HexStrike AI / XBOW:偵察係・攻撃係・レポート係のAIが並列で動くマルチエージェント型
  • AgenticSec Pentest / BLADE:国産勢。BLADEは三井物産セキュアディレクション提供

これまでホワイトハッカーが数日〜数週間かけていた作業が、AIなら数十分〜数時間で終わるようになりました。

CTF(キャプチャー・ザ・フラッグ、セキュリティの腕試し競技)の世界でも、HackSynth・CTFAgent・PentestGPT といった自動解答LLMが続々登場。研究レベルでは「平均的な人間より、LLMの方が高い成功率を出した」という論文まで出ています。

もう人間いらないじゃん。勉強する意味ないじゃん

SNSで不要論を語っている人たちも、ちょうどここで止まっています。でも、事実はもう半分残っているんです。

✅ 絶望をひっくり返す転換点:「残り10〜20%」が一番大事

ここから空気が変わるよ。絶望パートはおしまい、ここから巻き返しの話。

GTG-1002事件をもう一度思い出してください。AIが80〜90%を自律実行した、と言いました。じゃあ残りの10〜20%、人間がやっていた仕事は何だったか?

🎯 人間が担っていた「10〜20%」の中身

標的選定と、次の段階に進んでいいかの判断
つまり「誰を狙うか」「どこまでやるか」── 一番重要な判断は人間がやっているんです。

AIはあくまで実行部隊にすぎません。そしてMythosで0-dayを見つけたのも、Anthropicの「普通のエンジニア」でした。これは人間が消える話ではなく、人間がAIを使ってトップハッカー級になれる話です。

👉 AIは人間を置き換える存在ではなく、人間の能力を10倍に拡張する道具。これが核心だよ。

📌 ホワイトハッカーが不要にならない5つの理由

ここから具体的に、なぜ人間が残るのかを整理します。

🤖 1. AIは平気で嘘をつく(ハルシネーション)

GTG-1002事件でも、Claudeは「存在しない認証情報を取得した」と幻覚を見たケースが報告されています。攻撃側にとっても致命的ですし、防御側でも誤検知を信じて本番システムを止めたら、ビジネスが死にます真偽を判定できる人間が必須です。

⚖️ 2. 戦略・標的選定・倫理判断は人間にしかできない

「自社の何をどこまで守るか」「インシデント時に顧客にいつ何を開示するか」── こんな判断、AIに丸投げできますか? 法的にも倫理的にも、最終責任は人間しか取れません

📊 3. Gartnerも「補強であって代替ではない」と明言

調査会社Gartnerによると、脅威検知のマルチエージェントAIは2023年時点でAI実装の5%でしたが、2028年までに70%まで増えると予想されています。Gartnerは「スタッフの代替ではなく、補強が主な目的」と明言。つまり、1人のホワイトハッカーがAIエージェントを10体使って、これまでの10倍の仕事を回す世界。需要は減りません。

🔄 4. 役割が「攻撃する人」から「AIを管理する人」へシフト

新しい仕事が一気に増えています。

  • AIレッドチーマー:AI自身を攻撃して脆弱性を探す
  • AIガバナンス担当:プロンプトインジェクション対策、MCPサーバーの権限設計
  • NHI(Non-Human Identity)管理:AIエージェントという「ヒトじゃない存在」のアイデンティティ管理

どれも従来のセキュリティ知識が直接効く新領域です。情報処理安全確保支援士のような知識ベースは、価値が下がるどころか上がります

📈 5. 攻撃の敷居が下がる=被害企業が爆増する

素人でも攻撃できる時代になるということは、攻撃の数そのものが爆発的に増えるということ。守る側の総需要は減るどころか、市場全体が大きく拡大します

なるほど…人間の出番、むしろ増えるのか。勉強する意味、めちゃくちゃあるじゃん!

🎯 もう一つの巨大市場:「Security for AI」という新領域

AIで守るだけじゃなくて、AI自体を守るという、新しい仕事領域も生まれています。

例えば、Check Pointが2026年2月に発見した CVE-2026-21852。これはなんとClaude Code自体の脆弱性で、悪意あるリポジトリをClaude Codeで開くと、リモートコード実行ができて、APIキーまで盗まれるというもの。

  • MCPサーバー
  • AIが触れるファイル
  • プロンプト
  • AIが書き出すコード

これらすべてが新しい攻撃面になっていて、ほぼゼロから設計し直す必要があります。「AI for Security」だけでなく、「Security for AI」も同じくらい重要な時代に入ったわけです。

AIを「使う」セキュリティと、AIを「守る」セキュリティ。両方とも人間の仕事だよ。

💬 これからのセキュリティ人材がやるべき3つのこと

最後に、今後どこに賭けるべきかを3つにまとめます。

🏗️ ① 意思決定とアカウンタビリティを引き受ける

AIにどこまで任せるか、本番に適用していいか、誰にいつ開示するか。判断と責任は人間しか取れません。これができる人材は、AI時代の希少資源です。

⚙️ ② AI自身のセキュリティ(Security for AI)に踏み込む

MCPサーバーの権限設計、プロンプトインジェクション対策、NHI管理など、ほぼ全部が新分野。先行者利益が大きい領域です。

🔐 ③ ハルシネーションと誤判定の最終チェックを担う

AIが「攻撃です」と誤検知して本番を止めたら大損害、「安全です」と見逃したら侵入される。境界判断こそ人間の最後の砦です。

3つとも、従来のセキュリティ経験がそのまま活きるのがアツいね…!

📈 まとめ:AIに置き換えられる側ではなく、使いこなす側に回ろう

今日の話を一言にまとめると、こうです。

AIに置き換えられる側ではなく、AIを使いこなす側に回ること。

📝 5行サマリー
  • AIは攻撃の80〜90%を自律実行できる時代になった
  • でも標的選定・最終判断・責任は人間にしか取れない
  • ハルシネーションがある以上、最終チェックも人間の仕事
  • 「Security for AI」という巨大な新分野が立ち上がっている
  • AIを道具として使いこなせる人間は、過去のどんなホワイトハッカーよりも強い

AIに頼るだけの人は淘汰されます。でも道具として使いこなして、判断と責任を持てる人間は、間違いなく強くなります。

AIに答えを出させる」のではなく「AIで理解を深める」── これが、新世代のセキュリティ人材の合言葉だよ。

🎬 動画でも解説しています

この記事は、ずんだもんと四国めたんが対話形式で解説するYouTube動画の内容を、読み物用に整理したものです。

https://www.youtube.com/watch?v=zUNUw1ozk2c

AIで本当にセキュリティが崩壊するのか?」を約9分でイッキ見できる構成になっているので、動画派の方はぜひそちらもどうぞ。コメントで「自分はこういう新しい仕事に賭けてる」みたいな話を聞けると、めちゃくちゃ嬉しいです 😊

📰 関連の実例・ニュース解説

この話題と関連する記事はこちら:

📚 CTF・セキュリティ学習ハブを見る →

攻撃者視点で学ぶシリーズ全7記事

Recommend
こちらの記事もどうぞ
記事URLをコピーしました