Microsoftは2026年5月14日、100体超のAIエージェントを協調動作させて脆弱性を自動発見する新セキュリティプラットフォーム「MDASH」(Multi-Model Agentic Scanning Harness)を発表した。Windows Attack Research and Protectionグループなどが開発を主導し、稼働開始からすでにWindowsのTCP/IPスタックや認証まわりで16件の未知の脆弱性を発見。うち2件はリモートから認証なしで悪用可能な重大なRCE(リモートコード実行)としてCVE登録され、2026年5月のPatch Tuesdayで修正済みだ。
MDASHの仕組み――「エージェントの集団」で脆弱性を掘る
MDASHは、単一の大規模言語モデルに頼るのではなく、Microsoft Autonomous Code Security TeamとWindows Attack Research and Protectionグループが100以上の専門特化AIエージェントをオーケストレーション(協調制御)する構成を取る。開発にはDARPAの「AI Cyber Challenge」優勝チームであるTeam Atlantaの知見も取り込まれているという。
今回発見された16件の脆弱性は、TCP/IPスタック、IKEEXT(IPsec)サービス、HTTP.sys、Netlogon、DNS解決、Telnetクライアントにまたがる。10件がカーネルモード、6件がユーザーモードで、多くは理論上リモートから認証なしで到達可能とされる。特に重大度が高いのは、tcpip.sysの未認証Use-After-Free(CVE-2026-33827)と、UDP 500番ポート経由で到達可能なIKEv2サービスのDouble-Free(CVE-2026-33824)だ。
検証段階でMicrosoftは21件の脆弱性を意図的に仕込んでMDASHにテストさせたところ、誤検知ゼロで全件を発見。過去5年分のMSRC確定事例に対する再現率もclfs.sysで96%、tcpip.sysで100%を記録し、1,507件の実世界脆弱性で構成される公開ベンチマーク「CyberGym」でも88.45%という業界トップスコア(次点に約5ポイント差)を叩き出したという。現在は社内利用に加え、一部顧客向けのプライベートプレビューが進行中だ。
実務への影響――パッチ適用の優先順位とゼロトラストの再確認
今回の発見箇所は、社内ネットワークの根幹を支えるTCP/IPスタックと、多くの企業がVPN代替やサイト間接続に使うIKEv2(IPsec)だ。特にCVE-2026-33824はUDP 500番ポートを外部に公開している環境であれば攻撃面に直結する。ゼロトラストの観点では「VPN/IPsecエンドポイントの露出そのものを最小化する」という基本に立ち返る良い機会だろう。境界防御に依存せず、ネットワーク層・認証層・認可層で多重に防御する発想が改めて重要になる。
実務上のポイントは3つある。第一に、未認証・リモート到達可能なRCEは「数日様子を見る」猶予なしで最優先パッチ適用の対象にすること。第二に、IKEv2/IPsecやNetlogon、DNSなど今回名指しされたコンポーネントの外部公開状況を棚卸しすること。第三に、MDASHのような多エージェント型の脆弱性スキャンの発想は、自組織のセキュアコーディングレビューやCI/CDパイプラインに「攻撃者視点の自動チェック」を組み込むヒントにもなる。
筆者の見解
セキュリティは正直そこまで得意分野が好きというわけではないが、技術的な興味は尽きない領域だ。そのうえで見ると、MDASHの数字はなかなか侮れない。誤検知ゼロ、過去事例への高い再現率、公開ベンチマークでのトップスコア――これは「AIエージェントが実運用レベルの脆弱性発見に使える」ことを示す具体的な実績であり、素直に評価したい。
普段使っているCopilotまわりの体験にはまだ物足りなさを感じる場面が多いだけに、こうした裏側の防御的なセキュリティ領域でMicrosoftがしっかり結果を出しているのは頼もしい。あとはこの技術力を、日々のプロダクト体験にももっと波及させてほしいところだ。せっかく正面から勝負できる力があるのだから、Windowsのセキュリティ強化(Smart App Controlやカーネルドライバーの締め出しなど)と同じ方向性で、MDASHのようなエージェント群の成果を今後も継続的に開示してもらいたい。
出典: この記事は Microsoft unveils MDASH, its AI agent-driven security platform — and it’s already spotted a host of new Windows flaws の内容をもとに、筆者の見解を加えて独自に執筆したものです。