大規模言語モデル(LLM)を使った自動の「Web侵入テスト(ペネトレーションテスト)」は、いまどこまでできるのか――。この問いに正面から答えようとした査読前の研究が公開されました。結論から言うと、脆弱性の情報を正確に与えればLLMエージェントは最大9割の確率で攻撃を成立させた一方、自力で脆弱性を見つけ出す「偵察」の精度は5割前後で頭打ちでした。AIが攻撃を全自動化する未来を不安視する声は多いものの、現時点のボトルネックは「攻撃の実行」ではなく「発見」にある、という現実的な構図が見えてきます。
本記事は、攻撃技術の手順を解説するものではなく、情シスがAIによる攻撃自動化の脅威度を冷静に見積もるための材料として、研究のポイントを噛み砕いて紹介します。
この記事でわかること
- LLMによる自動侵入テストの「実力」を測った査読前研究の要点
- 攻撃の実行(exploitation)と偵察(reconnaissance)で能力差が大きい理由
- 情シスとして、この結果をどう脅威評価・防御に活かすか
そもそもどんな研究か
これは、LLMを組み込んだ「攻撃エージェント」がWebアプリの脆弱性をどこまで突けるかを、従来より精密に測定しようとした研究です。論文タイトルは「Decoupling Reconnaissance and Exploitation: Measuring the Capability Boundaries of LLM-Based Web Penetration Testing」。2026年6月にarXivへ投稿された査読前(プレプリント)の論文で、結果は今後の検証で変わりうる点に留意が必要です。
研究の肝は、侵入テストの工程を大きく2つに「分解(decouple)」して評価したことにあります。
- 偵察(reconnaissance):対象を調べ、どこに脆弱性があるかを自力で見つけ出す工程。
- 攻撃の実行(exploitation):見つけた脆弱性を実際に突いて侵害を成立させる工程。
従来の「最初から最後まで通しで評価する(end-to-end)」やり方では、序盤の偵察でつまずくと、その後の攻撃実行の実力まで低く見えてしまう――研究者はこの「失敗の連鎖(error cascading)」が正確な評価を妨げてきたと指摘します。そこで、あえて正解の脆弱性情報を注入したり知識を出し入れしたりする手法で、2つの能力を切り分けて測りました。
何が分かったのか:実行は得意、偵察が壁
研究の中心的な発見は明快です。正確な脆弱性情報を与えられれば攻撃の実行は得意だが、自力での発見(偵察)は不得意、という非対称な能力差です。
| 工程 | 条件 | おおよその成績 |
|---|---|---|
| 攻撃の実行(exploitation) | 正確な脆弱性情報を与えた場合 | 機能的な成功率 最大 90.0% |
| 偵察(reconnaissance) | 自力で脆弱性を発見させた場合 | 狙った脆弱性の再現率 約50.0%で頭打ち |
評価には70件の高再現性なWeb脆弱性テストベッドが使われ、代表的な50件の脆弱性に対して5種類のオープンソース・エージェントが試されています。エージェントの設計(アーキテクチャ)ごとに得手・不得手があった点も興味深いところです。
- マルチエージェント型:デシリアライズ攻撃のような複雑で手順の多い攻撃に強い。
- モノリシック(一体)型:素直なインジェクション系の攻撃で良好。
- グラフ駆動型:セッションをまたぐアクセス制御の不備に強い。
なぜ偵察が壁になるのか?
答えは「ツールの出力(非構造データ)を正しく読み解けないから」です。研究では、偵察の失敗の主因が「構造化されていないテレメトリ(スキャン結果やログなどの雑多な出力)の解釈ミス」にあると指摘されています。つまり、攻撃の手筋そのものを知らないのではなく、現場の生の情報から「ここが穴だ」と当たりを付ける情報処理の段階でつまずく、ということです。
これは実務者の感覚ともよく合います。熟練のペネトレーションテスターの価値は、ツールが吐き出す大量の出力の中から異常やヒントを嗅ぎ分ける「目利き」にあります。現時点のLLMエージェントは、その目利きの部分がまだ弱い、と読み取れます。
情シスはこの結果をどう受け止めるべきか
攻撃の自動化というと「AIが勝手に侵入経路を見つけて攻めてくる」という漠然とした不安につながりがちですが、この研究はもう少し解像度の高い見方を与えてくれます。現場目線で3点に整理します。
1. 「発見されにくくする」ことの価値が再確認される
攻撃の実行が高精度でも、偵察(発見)が5割止まりなら、そもそも見つけられなければ攻撃ループは回りにくいということです。公開資産の棚卸し、不要なポート・管理画面・古いエンドポイントの露出削減といった「攻撃対象領域(アタックサーフェス)の管理」は、地味ですがAI時代にも一貫して効く防御だと言えます。
2. ただし「情報を与えられた攻撃」には要警戒
裏を返せば、脆弱性情報が出回った瞬間に、攻撃の実行は高速・高精度で自動化されうるということでもあります。CVEが公表されPoC(実証コード)が出回ると、悪用までの猶予は今後さらに短くなる可能性があります。公表済み脆弱性へのパッチ適用スピードは、これまで以上に重要になります。
3. 自動ペンテストツールへの過信は禁物
「AIペンテストツールを入れれば人手の診断は不要」という期待には、まだ距離があります。少なくとも偵察・初期調査の判断は人の関与が前提で、ツールの結果を鵜呑みにせず解釈する役割は残ります。導入時は「何が自動化でき、何ができないか」を見極める視点が要ります。
こうした攻撃自動化の動向に対しても、最終的な守りの基本は変わりません。資産管理・脆弱性管理・最小権限・ログ監視といった基礎の徹底と、利用者への地道な啓発が土台です。中小規模の組織であれば、まずはIPAの中小企業の情報セキュリティ対策ガイドラインで自組織の現在地を確認するところから始めるのが現実的です。
限界・留意点(鵜呑みにしない)
- 査読前の研究です。arXiv上のプレプリントであり、第三者の査読を経ていません。数値や結論は今後の検証で変わる可能性があります。
- 評価環境は管理されたテストベッドです。70件のテスト環境・5種類のオープンソースエージェントでの結果であり、実際の本番環境や最新の商用LLM・攻撃ツールにそのまま当てはまるとは限りません。
- 「いまの限界」であって「今後の限界」ではありません。偵察の弱点(非構造データの解釈)はモデルやツールの進歩で縮まりうる領域です。今回の5割を固定的な数字と捉えないことが大切です。
まとめ
- 査読前研究によれば、LLMエージェントは脆弱性情報を与えれば攻撃実行は最大9割成功する一方、自力の偵察は5割前後で頭打ち。能力差が大きい。
- 偵察の壁は「ツール出力(非構造データ)の解釈ミス」。攻撃手筋ではなく情報処理がボトルネックという構図。
- 情シスの示唆は3点――(1)攻撃対象領域の削減は引き続き有効、(2)公表済み脆弱性の悪用は高速化しうるのでパッチ適用を急ぐ、(3)自動ペンテストツールへの過信は禁物。基礎の徹底が土台。
出典
- Liwei Yu, Shuo Li, Ming Zhou, Ge Chu, Yan Guo, “Decoupling Reconnaissance and Exploitation: Measuring the Capability Boundaries of LLM-Based Web Penetration Testing”, arXiv:2606.25332(2026年6月投稿・査読前): https://arxiv.org/abs/2606.25332
- IPA「中小企業の情報セキュリティ対策ガイドライン」: https://www.ipa.go.jp/security/guide/sme/index.html
- 関連記事: 研究・論文カテゴリ / 用語解説カテゴリ
