Microsoftの「MDASH」とは?AIがWindows脆弱性16件を検知した多モデル型セキュリティを解説

Microsoftの「MDASH」とは?AIがWindows脆弱性16件を検知した多モデル型セキュリティを解説 アイキャッチ AIエージェント
2026.05.14

MDASHは、Microsoft社内で開発・運用され、2026年6月時点では対象組織向けにプレビュー提供されているセキュリティ研究システムです。100以上のAIエージェントを役割分担させ、ソフトウェアに潜む脆弱性を発見・検証・実証します。

2026年5月12日(現地時間)、Microsoftはこの仕組みでWindowsのネットワークスタックや周辺サービス、認証関連のコンポーネントを調べ、16件の新しい脆弱性を見つけたと公表しました。うち4件は深刻度が最も高いリモートコード実行(RCE)です。攻撃者に悪用される前に守る側がバグを先回りして潰す、その作業を人手ではなく多数のAIで回す点が新しいところで、Microsoftはこれを「AIの速度での防御(Defense at AI speed)」と表現しています。提供形態は当初、対象を絞ったプライベートプレビューでした。この記事では、MDASHが何をする仕組みなのか、なぜ「マルチモデル・エージェント型」という作りが効くのか、そして一般のWindowsユーザーや開発者にとって何を意味するのかを、専門外の方にも追えるよう順に整理します。

この記事の要点

  • MDASHは100以上のAIエージェントを役割分担させ、脆弱性の発見から実証までを段階的に行うMicrosoft製の研究システム
  • 準備・スキャン・検証・重複排除・実証の5段階で進め、AI同士の意見のズレを品質判断の手がかりに使う設計
  • Windowsのネットワーク・認証基盤で16件(うち4件はCritical RCE)を発見。修正は2026年4月・5月のセキュリティ更新で提供された

MDASHとは何か

MDASHは「Microsoft Security multi-model agentic scanning harness」のコードネームです。日本語にすると「複数モデルを束ねる、エージェント型のスキャン基盤」といった意味になります。難しく見えますが、分解すると次の3つの要素でできています。

  • multi-model(マルチモデル)=1種類のAIに頼らず、性質の異なる複数のAIモデルを組み合わせる
  • agentic(エージェント型)=目的を与えられたAIが、自分で手順を組み立てて作業を進める
  • scanning harness(スキャン基盤)=多数のAIを束ね、コードを点検する一連の流れを回す土台

開発したのはMicrosoftの社内チーム「Autonomous Code Security(ACS、自律コードセキュリティ)」で、攻撃側の研究を担うMORSE、Windowsの攻撃研究と防御を担うWARPと連携しています。守る側のチームが、攻撃者の視点を取り込みながらAIに脆弱性を探させる体制です。

発表の概要と位置づけ

Microsoft Security Blogによれば、MDASHは2026年5月12日に公開され、同社のセキュリティ研究チームが内部で運用を始めている段階にあります。一般のユーザーがその場でダウンロードして使える製品ではなく、まずは社内と一部の対象組織で検証されている研究プロジェクトという位置づけです。

ここで押さえておきたいのが「エージェント」という言葉。AIの文脈でのエージェントとは、ゴールだけを渡されたAIが、必要な手順を自分で考えて実行していく仕組みを指します。チャットのように1往復で答えを返すのではなく、「このコードに悪用できる穴がないか調べて」という目的に対し、どこをどう調べるかをAI自身が組み立てて動く。MDASHはこのエージェントを1体ではなく100体以上、しかも役割を分けて並べているのが特徴です。

マルチモデル・エージェント型である意味

なぜ1つの高性能なAIではなく、わざわざ複数を束ねるのか。理由はソフトウェアの脆弱性の性質にあります。本当に危ないバグの一部は、1か所のミスではなく、複数の処理の流れが重なったときに初めて成立します。入口の検査をすり抜けた値が、別の場所で想定外の使われ方をして悪用につながる、といった具合です。

こうした「複数の流れをまたぐ」タイプは、1つのモデルが頭から終わりまで追いきるのが難しく、途中で見落とされがちになります。Microsoftは、これらの脆弱性の一部は複数のフローを利用するもので、単一のモデルでは追跡が難しく見逃しやすい、と公式に説明しています。だからこそ、観点の違うエージェントを並行で走らせ、1体が取りこぼしても別の1体が拾える構えを作る必要がありました。Microsoftは、賢い基盤が複数モデルのパネルを束ねる方式は単一モデルを上回り、その差はさらに広がりつつある、とも述べています。

製品開発の現場では、AIによる複数視点での自動チェックを品質ゲートに組み込む発想が広がっています。MDASHはこの考え方を、コードの脆弱性発見という難度の高い領域に持ち込んだ事例といえます。

MDASHの5段階の脆弱性検知プロセス

MDASHの中身を理解する近道は、作業を5つの段階に分けている点を押さえることです。各段階で担当するエージェントの役割が固定されており、別の役割には踏み込みません。流れは「準備 → スキャン → 検証 → 重複排除 → 実証」の順に進みます。

MDASHの5段階パイプライン(準備→スキャン→検証→重複排除→実証)① 準備(Prepare)コードの取り込み・索引化/攻撃対象領域の分析② スキャン(Scan)監査エージェントが脆弱性の候補(仮説と証拠)を提示③ 検証(Validate)討論者が賛否で議論し、根拠の弱い候補を除外④ 重複排除(Dedupe)意味的に同じ発見を1つに統合⑤ 実証(Prove)トリガー入力を実行し、悪用可能性を確認
MDASHの5段階パイプライン。各段階で役割を固定し(監査・討論・実証を兼務させない)、AI同士の意見のズレを品質判断の手がかりにする。

準備段階とスキャン段階

最初の準備段階では、調べる対象のソースコードを取り込み、索引を作り、攻撃対象領域(アタックサーフェス)を分析します。攻撃対象領域とは、外部から悪用される可能性のある入口や処理箇所のこと。家でいえば、まず間取り図を作って「鍵のかかっていない窓やドアはどこか」を洗い出す工程に近いものです。やみくもに全部を見るのではなく、どこを重点的に調べるべきかを先に整理しておきます。

続くスキャン段階では、100以上の特化型の監査エージェントが一斉に走ります。各エージェントは、脆弱性の候補を「仮説」と「証拠」の形で出力します。たとえば「この関数は入力チェックが弱い疑いがある。根拠は○○行目のこの処理」といった具体的な指摘です。多数のエージェントが別々の角度から同時に点検するため、候補がまとまった数だけ積み上がっていきます。

検証・重複排除・実証段階

スキャンで出た候補は、そのままでは玉石混交です。ここから精度を上げる3段階が続きます。

検証段階では、第二のエージェント群が「討論者(debaters)」として登場し、候補が妥当かどうかを賛成・反対の立場で議論します。指摘が的を射ているのか、見落としや誇張はないか。AI同士が言い分をぶつけ合い、根拠の弱い候補をふるい落とす工程です。

重複排除段階では、意味的に同じ内容の発見を1つにまとめます。100以上のエージェントが並行して動けば、当然似た指摘が重複して出てきます。これを統合し、重複を除いた一覧に整える役割です。

実証段階では、その脆弱性が本当に悪用できることを示すため、問題を引き起こす入力(トリガー)を実際に組み立てて実行します。理屈の上での指摘で終わらせず、コードのレベルで「確かに発火する」ところまで確認する。これにより、机上の空論と本物の脆弱性を切り分けられます。

役割を交差させない設計

この5段階で一貫しているのが、AIの役割を厳格に分けるという方針です。Microsoftの説明によれば、監査するエージェントは議論を行わず、議論するエージェントは実証を行いません。1体に何でもやらせず、1つの仕事に専念させます。

役割を分ける狙いは、モデル間の「意見のズレ」を脆弱性のシグナルとして使えるようにすることにあります。同じ役割を担うAIが揃って同じ箇所を指摘すれば、その指摘の信頼度は高い。逆に意見が割れた箇所は、さらに踏み込んだ検証が必要だという合図になります。もし役割を混ぜてしまうと、このズレが何に由来するのかが分からなくなり、判断材料として濁ってしまう。だからこそ機能を交差させない設計を選んでいます。

人間のレビューでも、複数のレビュアーの評価が割れた箇所こそ注意して見直すものです。MDASHはこの「意見の不一致を品質の手がかりに変える」やり方を、100体以上のAIの間で機械的に回している、と捉えると分かりやすいでしょう。

具体的な検証結果(2026年6月時点)

MDASHが他の研究と一線を画すのは、抽象的な仕組みの説明だけでなく、数字で裏づけられた検証結果を公表している点です。以下は2026年6月時点でMicrosoftが公開している範囲の内容で、製品の進展により今後変わる可能性があります。

サンプルドライバでの精度検証

Microsoftはまず、意図的に21個の脆弱性を埋め込んだサンプルのデバイスドライバ(StorageDrive)を用意し、MDASHに調べさせました。結果は、埋め込んだ21件すべてを正しく検出し、この実行では誤検出(本来は問題でないものを脆弱性と誤って指摘すること)がゼロでした。

この検証で意味が大きいのは、対象ドライバのソースコードがインターネット上に公開されていない点です。AIモデルが学習時に一度も見ていない初見のコードに対しても、暗記ではなく分析で脆弱性をたどれたことを示します。ただしこれは特定の検証条件での結果であり、あらゆる未知のコードで同じ精度が保証されるわけではない点には注意が必要です。

Windows実環境での脆弱性発見

サンプルでの検証にとどまらず、MDASHはWindows本体の調査にも投入されました。対象はWindowsのネットワークスタックと周辺サービス、認証関連のコンポーネントで、結果として16件の新しい脆弱性を発見しています。Microsoftは、このうち4件を深刻度Criticalのリモートコード実行(RCE)に分類しています。RCEは、攻撃者が遠隔から任意のコードを実行できてしまう種類の脆弱性で、影響が大きいものです。

見つかった16件は、内訳としてカーネルモードに関わるものが10件、ユーザーモードに関わるものが6件と報じられています。対象となったコンポーネントは、WindowsカーネルのTCP/IPネットワークスタック(tcpip.sys)、インターネット鍵交換のIKEv2サービス、Netlogonサービス、DNS関連のAPIライブラリなど、ネットワークと認証の中核に当たる部分です。なお16件すべてがどの環境にも一律で影響するわけではなく、たとえば特定の役割(IKEv2のresponderとして構成したホストなど)でのみ到達可能、といった条件付きのものも含まれます。

これらの脆弱性は、2026年5月12日(現地時間)のPatch Tuesday(Microsoftの月例セキュリティ更新)で公表・修正されました。一部のCVEは4月のPatch Tuesdayでの修正分も含みます。該当するWindowsのバージョンや構成では、これらの更新を適用していないとリスクが残ります。個人ユーザーはWindows Updateで最新状態を確認し、企業環境では各CVEの影響を受ける製品・構成をMicrosoft Security Response Center(MSRC)で確認しておくのが確実です。

過去事例の再発見率とベンチマーク

MDASHは、過去に確認済みの脆弱性をもう一度独立して見つけられるか、という「再発見率(recall)」の検証も公表しています。MSRC(Microsoft Security Response Center)に登録された過去事例を対象に、clfs.sysでは5年分・28件で96%、tcpip.sysでは7件で100%を記録したとされています。一度見つかった脆弱性のほぼすべてを、改めて自力で発見できる水準です。

外部の公開ベンチマークでも実績が示されています。CyberGymは、実際の脆弱性をAIがどれだけ再現・発見できるかを測る課題集で、1,507件の実課題で構成されます。MDASHは発表時点(2026年5月)でこのベンチマークに対し88.45%の成功率を記録し、当時の公開リーダーボードで首位に立ちました。Microsoftによれば、2位のエントリー(83.1%)を約5ポイント上回るスコアです(GeekWireなどはこの2位をAnthropicのClaude Mythos Previewと報じていますが、Microsoftの公式ブログは競合名を明記していません)。さらにMicrosoftは2026年6月のBuild 2026に合わせた発表(6月2日)で、このスコアが3週間足らずで約10ポイント伸び、96.55%に更新されたと公表しています。短期間での向上幅自体が、この分野の進展の速さを物語る数字です。

正式名称(コードネーム) Microsoft Security multi-model agentic scanning harness(MDASH)
発表日 2026年5月12日(現地時間)
開発元 Microsoft(Autonomous Code Security チーム、MORSE・WARPと連携)
構成 100以上の特化型AIエージェントを複数モデルで連携
検知プロセス 準備・スキャン・検証・重複排除・実証の5段階
主な検証実績 サンプルドライバ(StorageDrive)21件すべて検出・誤検出ゼロ/Windows脆弱性16件発見(うち4件はCritical RCE、カーネル10・ユーザー6)/clfs.sys 96%・tcpip.sys 100%の再発見率/CyberGym 88.45%(2026年5月・当時首位)→96.55%(2026年6月)
提供形態 発表時は限定プライベートプレビュー。2026年6月時点では対象組織向けの拡大プレビュー(MDASH本体はプレビュー継続。同時期にMicrosoft DefenderとGitHub Code Securityの統合が一般提供=GAに)

AIエージェント型セキュリティが示すもの

MDASHが実証して見せたのは、1つの万能AIに任せるより、専門特化したエージェントを束ねて互いに検証させる方が、難しい脆弱性発見では機能しうる、という考え方です。

単一モデルから役割分担型へ

ここ数年、ソフトウェア開発の現場ではAIによるコード生成や自動レビューが急速に普及しました。一方で、AIが書いたコードのレビューでは、論理的な正しさだけでなく、境界条件の扱い、意図しない副作用、見えにくい技術的負債まで確認する必要があると指摘されています。1つの視点だけでは抜けが出やすい、という現場の実感の表れです。

MDASHの設計は、この課題への1つの答え方といえます。検出役・議論役・実証役を分け、互いをチェックさせる。AIに任せきりにするのでも、人間がすべてを見るのでもなく、AI同士の相互検証で品質を担保する。複数のAIを協調させてタスクを解く発想は、近年さまざまな分野で試みられており、AIエージェントを組み合わせて構築する開発フレームワークも整いつつあります。MDASHはその思想をセキュリティという高難度の領域で大規模に動かした実例として参照できます。

守る側と攻める側のスピード競争

セキュリティは長く、守る側と攻める側の時間差の勝負でした。脆弱性が見つかってから修正が行き渡るまでの間が、攻撃者にとっての隙になります。AIで脆弱性発見を大規模・高速に回せるようになると、この時間差を守る側が縮められる可能性が出てきます。Microsoftが「AIの速度での防御」と銘打ったのは、この点を意識したものです。

もっとも、同じ技術は攻撃側にも開かれています。AIで脆弱性を効率よく探せるなら、それは悪用を目的とする側にも使えてしまう。だからこそ守る側が先んじて、しかも実証可能な形で脆弱性を潰しておく取り組みに意味が生まれます。MDASHのような仕組みは、その競争における守る側の備えの1つとして位置づけられます。

利用者・開発者が今できること

個人のWindowsユーザーがすぐ取れる行動はシンプルです。Windows Updateを確実に適用すること。MDASHが見つけた16件は2026年5月(一部は4月)のセキュリティ更新で修正されているため、更新を止めている環境ほどリスクが残ります。「あとで更新する」を繰り返している場合は、この機会に設定からWindows Updateを開き、保留中の更新と再起動を済ませておくと安心です。

開発者やセキュリティ担当者にとっては、自社コードへのAI監査の適用が現実的な選択肢になりつつあります。MDASHは発表時点では限定的なプライベートプレビューでしたが、2026年6月時点では対象組織向けの拡大プレビューへと提供範囲が広がりました。MDASH本体はプレビュー段階の継続で、同時期にMicrosoft DefenderとGitHub Code Securityの統合が一般提供(GA)になっています。利用にあたってはMicrosoftのアカウント担当者への問い合わせが案内されており、個人向けの一般公開(GA)やパブリックプレビューとして誰でも使える状態だとは明記されていません。一般提供の時期は今後の発表を待つ必要があります。それでも「複数のAIで役割を分担して検査する」という設計方針自体は、自社で類似の仕組みを組む際の参考になります。AIエージェントに権限を与えて自律的に動かす設計を検討するなら、エージェントに渡す文脈をどう設計するかもあわせて押さえておくとよいでしょう。

注意したいのは、MDASHのようなAI監査の仕組みが普及しても、すべての脆弱性を100%発見できるわけではない点です。clfs.sysの過去28件を対象にした評価では96%という高い水準でしたが、Microsoftはこの数値だけで将来の検出率を予測できるものではない、と説明しています。AI監査は人間のレビューや既存のセキュリティ対策を「置き換える」のではなく、「補完する」ものとして捉えるのが現実的です。

よくある質問

Q. MDASHは個人でも使えますか?

発表時は限定的なプライベートプレビューでした。2026年6月時点では対象組織向けの拡大プレビュー(Microsoft Defenderとの統合を含む)として提供範囲が広がったと発表されています。利用はMicrosoftのアカウント担当者への問い合わせが案内されており、個人向けの一般公開やパブリックプレビューとは明記されていません。企業のセキュリティ担当者であれば、窓口を確認する価値はあります。

Q. Windowsの何が修正されたのですか?

Microsoftによれば、Windowsのネットワーク・認証関連のコンポーネントで見つかった16件の脆弱性(うち4件はCritical RCE)が、2026年5月のセキュリティ更新(一部CVEは4月分)で修正されました。対象はTCP/IPネットワークスタックやIKEv2、Netlogon、DNS関連のAPIライブラリなどです。複数の処理フローをまたぐ複雑なタイプも含まれているとされています。

Q. 個人ユーザーがやるべきことはありますか?

Windows Updateを必ず適用してください。MDASHが見つけた問題は該当する更新で塞がれているため、更新を止めている環境にはリスクが残ったままになります。設定のWindows Updateから手動で更新をチェックし、再起動が必要な場合は早めに済ませるのがおすすめです。

Q. なぜ100以上ものAIエージェントが必要なのですか?

1つのAIモデルでは見落としやすい、複数の処理フローをまたぐ脆弱性を捕捉するためです。役割の異なる多数のエージェントを並行で動かし、互いの指摘の一致・不一致を品質判断のシグナルとして使う設計になっています。観点の多様性そのものが、検出精度を底上げする仕組みです。

Q. MDASHはどれくらい正確なのですか?

公開された検証では、意図的に脆弱性を埋め込んだサンプルドライバで21件すべてを検出し誤検出ゼロ、過去事例の再発見率はclfs.sysで96%・tcpip.sysで100%、公開ベンチマークCyberGymでは2026年6月時点で96.55%とされています。ただしこれらは特定の検証条件での数値であり、あらゆるコードで同じ精度を保証するものではありません。Microsoft自身も、将来の検出率をこの数値だけで予測できるものではないと述べています。

まとめ

MDASHは、100以上のAIエージェントを役割分担させ、脆弱性を発見・検証・実証してWindowsの修正につなげる、Microsoftのセキュリティ研究システムです。準備・スキャン・検証・重複排除・実証という5段階を踏み、サンプルドライバ(StorageDrive)の検証では21件すべてを誤検出ゼロで検出。Windows本体でも16件(うち4件はCritical RCE)の新しい脆弱性を発見し、2026年4月・5月のセキュリティ更新で修正が提供されました。AI同士の意見のズレを品質判断の手がかりに変える設計が、この仕組みの中核にあります。

個人ユーザーがまず取るべき行動は、Windows Updateの適用状況を確認すること。設定画面から最新の状態になっているかをチェックし、保留中の更新があれば再起動まで済ませれば、MDASHが見つけた脆弱性の修正が反映されます。開発者であれば、複数のAIエージェントを役割分担させて互いに検証させるというMDASHの設計方針を、自社のコードレビューや品質管理を見直す際のヒントとして取り入れてみるとよいでしょう。守る側がAIの速度で先回りできるかどうかは、これからのセキュリティを左右するテーマになりそうです。

参考資料

本記事は AIツール図鑑編集部 が記載時点の情報をもとに執筆。製品アップデートや提供条件・対応範囲の変動で評価が変わる可能性がある。一定期間が経過した内容は再検証を推奨する。

タイトルとURLをコピーしました