NewsAngle
NewsAngle

AIゼロデイ悪用未遂、Google報告が迫る防御戦略刷新の急務

by 坂本 亮
URLをコピーしました

GTIG報告が示すAIゼロデイの衝撃

Google Threat Intelligence Group(GTIG)は2026年5月12日、犯罪系の攻撃者がAIを使って未知の脆弱性を発見し、悪用コードに落とし込んだとみられる事例を公表しました。対象は広く使われるオープンソースのWebベース管理ツールで、2要素認証(2FA)を迂回する論理欠陥だったと説明されています。

この事例の重要性は、単に「AIを使った攻撃があった」という話にとどまりません。従来のスキャナーが得意とする入力検証やメモリ破壊ではなく、開発者の意図と実装の食い違いを読むような欠陥が焦点だったからです。AIが攻撃者の補助道具から、脆弱性探索の量産エンジンへ近づいている可能性を読み解きます。

Googleが示したAIゼロデイ悪用未遂の実像

2FA迂回を狙った論理欠陥

GTIGの報告によると、攻撃者は有効なユーザー認証情報を前提に、2FAを迂回できるゼロデイ脆弱性をPythonスクリプトとして実装していました。Googleは影響を受けたベンダーに責任ある開示を行い、攻撃活動の妨害につなげたとしています。ベンダー名や製品名は公表されていませんが、攻撃が「大量悪用イベント」として計画されていた点が深刻です。

ここでいうゼロデイとは、開発元が修正パッチを公開する前に攻撃者側が把握している脆弱性です。今回の欠陥は、既知のCVEを組み合わせたものではなく、開発者が2FAの判定ロジック内に固定的な信頼前提を置いたことに由来します。つまり、入力値の危険な文字列やクラッシュを探すだけでは見つけにくい、設計上の矛盾でした。

2FAは、パスワード流出後の最後の防波堤として広く導入されています。しかし、認証フローの一部に「この状態なら信頼してよい」という例外が埋め込まれていると、攻撃者は正規ログイン後の分岐を突いて追加認証を避けられる場合があります。今回の事例は、MFAや2FAの導入だけで安全を保証できないことを示しています。

GTIGは、Geminiが使われたとは考えていないと明記しています。一方で、スクリプトの構造や内容から、何らかのAIモデルが脆弱性の発見と武器化を支援した可能性について高い確信を示しました。これは「特定モデルの問題」ではなく、高性能なLLM一般が持つ二面性の問題です。

AI関与を示したコード上の痕跡

GoogleがAI関与の根拠として挙げたのは、攻撃コード内に残る不自然な特徴です。教育用の説明文のようなdocstring、実在しないCVSSスコア、詳細すぎるヘルプメニュー、教科書的に整ったPythonの書き方などが確認されたといいます。人間の攻撃者が急いで実戦投入するコードとしては、過剰に整いすぎていたわけです。

この観察は、AI生成コードを単純に「コメントが多いコード」と見分ける話ではありません。攻撃者は不要な記述を削除できますし、AIの出力も変化します。重要なのは、LLMが開発者の意図、例外処理、信頼境界、認証状態といった抽象的な関係を読み取り、従来型ツールでは目立ちにくい論理欠陥を候補として浮かび上がらせた可能性です。

静的解析やファジングは、危険な関数呼び出し、境界外アクセス、入力処理の不備、クラッシュなどを検出するのに強みがあります。これに対して、LLMはコードの意味を自然言語的に要約し、複数ファイルにまたがる前提の矛盾を探索する能力を伸ばしています。今回の2FA迂回は、この差が攻撃側にも働き始めたことを示す象徴的な事例です。

もっとも、AIが完全自律で攻撃を完遂したと断定する段階ではありません。GTIGの記述も、AIが発見と武器化を「支援した」とみるものです。攻撃者がモデルに調査を補助させ、人間が検証し、悪用コードとして整えた可能性もあります。むしろ実務上は、この混成型のほうが現実的で、広がりやすい脅威です。

攻撃者のAI利用が量産段階へ進む背景

ゼロデイ市場と企業向け製品への集中

Googleの2024年ゼロデイ分析では、同年に実際の攻撃で悪用されたゼロデイ脆弱性は75件とされました。2023年の98件からは減少したものの、2022年の63件を上回り、長期的には高止まりが続いています。特に企業向け技術が占める割合は2023年の37%から2024年には44%へ上昇しました。

企業向け製品のなかでも、セキュリティ機器やネットワーク製品は攻撃者にとって高価値です。VPN、ファイアウォール、管理アプライアンスのような製品は権限が強く、ネットワーク境界に位置し、通常のEDRが届きにくい場合があります。GTIGは、2024年に確認した企業向けゼロデイ33件のうち20件がセキュリティ・ネットワーク関連だったと報告しています。

MandiantのM-Trends 2025も同じ方向を示しています。2024年の調査対象は45万時間超のインシデント対応に基づき、初期侵入経路が特定できた事案では、脆弱性悪用が33%で最も多い経路でした。盗まれた認証情報は16%で、メールフィッシングの14%を上回っています。

この状況にAIが加わると、攻撃者の作業単価が下がります。脆弱性候補の棚卸し、PoCの検証、標的組織の技術環境調査、攻撃メールのローカライズ、コードの難読化を、人間だけで行うより速く回せるからです。AIはゼロデイを魔法のように生む装置ではありませんが、探索と検証の反復回数を増やします。

MythosとBig Sleepが示す能力の両義性

AIによる脆弱性探索能力の上昇は、防御側にも攻撃側にも同じ物理法則で働きます。Anthropicは2026年4月、未公開のClaude Mythos Previewを使うProject Glasswingを発表しました。発表によると、同モデルは主要OSや主要ブラウザーを含むソフトウェアから多数のゼロデイ脆弱性を特定し、一部では悪用方法の構築まで自律的に行ったとされています。

AnthropicはMythos Previewを一般公開せず、AWS、Apple、Google、Microsoft、Linux Foundationなどのパートナーに限定して防御目的で使う方針を示しました。発表では、最大1億ドル相当の利用クレジットと、オープンソースセキュリティ団体への400万ドルの支援も明記されています。強力なモデルを広く出すのではなく、まず防御側へ配る判断です。

Google側も、防御用AIの活用を進めています。Google DeepMindとProject Zeroが開発したBig Sleepは、SQLiteのCVE-2025-6965を含む現実の脆弱性発見に使われたと説明されています。Googleは、脅威インテリジェンスとBig Sleepを組み合わせることで、攻撃者が使おうとしていた脆弱性を事前に封じた事例も公表しています。

さらにGoogle DeepMindは、脆弱性の自動修正を狙うCodeMenderも発表しました。発見だけでなく修正までAIに担わせる構想は、攻撃者の速度に防御側が追いつくための自然な流れです。ただし、AIが生成したパッチも検証が必要です。セキュリティ修正は、機能の互換性、性能、別の脆弱性の混入を同時に見なければならないためです。

AIエージェント基盤そのものへの攻撃面

今回の焦点はAIを使った脆弱性発見ですが、GTIGは同時に「AIそのものが標的になる」リスクも強調しています。2026年初頭には、AIエージェントのスキルや拡張機能、APIコネクター、ソフトウェア依存関係を狙う攻撃が観測されています。モデル本体を破るのではなく、モデルに接続された部品を汚染する発想です。

VirusTotalは2026年2月、OpenClawのスキルがマルウェア配布経路として悪用されていると報告しました。同社は3,016件超のOpenClawスキルを分析し、そのうち数百件に悪性の特徴があったと説明しています。特定ユーザーが公開した314件のスキルが悪性と判定された例もあり、AIエージェントの「便利な拡張」がサプライチェーン攻撃面になっています。

GTIGの5月報告では、TeamPCP(UNC6780)がTrivy、Checkmarx、LiteLLM、BerriAIに関連するGitHubリポジトリやGitHub Actionsを含むサプライチェーン侵害を主張した事例も取り上げられています。LiteLLMのようなAIゲートウェイは複数のLLMプロバイダーを統合するため、APIキーやクラウド秘密情報が漏れると、通常の侵入だけでなくAI環境の悪用にもつながります。

これは、AIを導入した企業が新しい境界を持つという意味です。プロンプト、プラグイン、エージェントスキル、モデルAPIキー、ベクトルデータベース、CI/CD内のAIツール設定は、従来のアプリケーション設定と同じように保護対象になります。AI時代の防御は、モデルの安全性だけでなく、周辺の実行権限とデータ接続を管理する作業です。

企業が取るべき防御の組み替え

パッチ優先順位と認証設計の再点検

まず必要なのは、脆弱性管理の優先順位を「CVSSの高さ」だけに依存しない形へ更新することです。CISAのKnown Exploited Vulnerabilities(KEV)カタログは、実際に悪用が確認された脆弱性を優先的に修正するための基礎資料です。米国連邦文民機関にはBOD 22-01に基づく期限付き対応が求められ、民間組織にも同様の優先対応が推奨されています。

AIで探索速度が上がる局面では、インターネット公開製品、管理画面、ID基盤、VPN、開発基盤、AIゲートウェイを最優先で棚卸しする必要があります。特に管理ツールは、運用の都合で例外ルールや古い認証フローが残りやすい領域です。今回のような論理欠陥は、脆弱性スキャンだけでは見落とされる可能性があります。

2FAの実装も再点検が必要です。認証成功、2FA完了、セッション昇格、リカバリーコード、信頼済み端末、APIトークン発行を、それぞれ独立した状態として記録し、例外処理を監査できる形にするべきです。単に「MFAを入れている」ではなく、MFAが必要な全経路で本当に強制されているかを確認することが重要です。

また、特権アカウントにはFIDO2準拠の認証、最小権限、時間限定の昇格、異常ログイン検知を組み合わせる必要があります。M-Trends 2025が示すように、盗まれた認証情報はすでに主要な初期侵入経路です。2FA迂回の論理欠陥と認証情報流出が組み合わさると、防御側の想定は大きく崩れます。

AI防御を運用へ組み込む条件

防御側もAIを使うべきですが、導入先は明確に選ぶ必要があります。効果が出やすいのは、ソースコードのセキュリティレビュー、既知脆弱性の影響範囲調査、ログ要約、インシデント初動の仮説整理、パッチ候補の検証補助です。人間の専門家が確認する前提で、反復作業を短縮する使い方が現実的です。

一方で、AIに本番環境の広範な実行権限を与える場合は注意が必要です。エージェントがシェル操作、クラウドAPI、チケット更新、コード修正、デプロイまで担う場合、誤動作やプロンプトインジェクションの影響は大きくなります。AIエージェントは便利なチャット画面ではなく、権限を持つ自動化主体として扱うべきです。

具体的には、AIツール用のAPIキーを人間用アカウントと分離し、最小権限に限定します。外部スキルやプラグインは署名、検査、承認フローを通し、CI/CDで使うAI関連パッケージは通常の依存関係と同じくSBOMやロックファイルで管理します。ログには、どのモデルが、どのデータを読み、どの操作提案を出したかを残す必要があります。

OpenAIの脅威報告も、攻撃者がAIだけで完結するのではなく、Webサイト、SNS、既存ツール、別モデルを組み合わせて運用していると指摘しています。防御側も同様に、AIを単独の銀の弾丸として扱うのではなく、脅威インテリジェンス、EDR、ID管理、脆弱性管理、インシデント対応訓練に接続して使うことが重要です。

AI悪用を巡る誤解と即応運用

今回の事例で避けるべき誤解は、AIがすぐに全自動でゼロデイ攻撃を量産するという単純化です。現実には、モデルの出力を検証し、標的環境に合わせ、検知を回避し、収益化する工程が必要です。人間の攻撃者、既存の犯罪市場、盗まれた認証情報、公開済み脆弱性が組み合わさることで、AIの効果が増幅されます。

もう一つの誤解は、モデル提供企業の安全対策だけで十分という見方です。GTIGの報告では、攻撃者がアカウント登録の自動化、API集約、プロキシ、試用枠の悪用を使い、高性能モデルへの匿名・大規模アクセスを試みているとされています。安全対策はモデル側だけでなく、ID、課金、ネットワーク、開発者エコシステム全体で必要です。

今後は、脆弱性の発見から悪用までの時間がさらに短くなる可能性があります。防御側は「公表後に優先順位を決める」運用から、「攻撃されやすい資産を常時把握し、公開前後で即時に切り替える」運用へ移る必要があります。AI時代のセキュリティは、速い攻撃に速い防御で対抗するだけでなく、攻撃される前に設計上の余地を減らす競争です。

2FA監査とKEV優先パッチの実務

Googleの報告は、AIがサイバー攻撃を突然別物に変えたというより、攻撃者の探索・検証・実装の反復を速めていることを示しています。特に今回の2FA迂回は、従来の検査が苦手な論理欠陥にLLMが届き始めた可能性を示す点で重要です。

企業が取るべき次の一手は明確です。管理ツールとID基盤を優先して棚卸しし、KEVなど実悪用情報でパッチ順を決め、2FAの例外経路を監査することです。同時に、防御側AIを安全な権限設計のもとで導入し、脆弱性発見から修正までの時間を縮める必要があります。

参考資料:

坂本 亮

テクノロジー・サイエンス

宇宙開発・AI・バイオテクノロジーなど最先端の科学技術を、社会的インパクトの視点から読み解く。技術と倫理の交差点を追い続ける。

関連記事

AIワーム実証で始まる自律型サイバー攻撃時代の企業防衛再設計

トロント大学などの研究チームが、既知脆弱性や設定不備、再利用パスワードをAIで組み合わせて自律増殖するワームを隔離環境で実証した。商用AIの安全柵では止めにくい攻撃構造と、CISA KEV、NVD、ゼロトラストを軸に企業が急ぐべき脆弱性管理・分離防御、開発体制の再設計を科学技術の視点で詳しく読み解く。

AI検索の即答化で細る思考力と問い続ける習慣を再設計する時代

GoogleのAI OverviewsやAI Modeは検索を複数リンクの比較から即答へ変えています。Pew調査や認知科学研究を基に、便利さが記憶・批判的思考・情報源の多様性へ与える影響と、AIを思考の代替ではなく学びの足場にする使い方を読み解き、教育・仕事・ニュース消費で何を確認すべきかまで整理する。

Anthropic最強AI制限解除、米規制転換の深層分析と課題

米政府は6月12日に停止されたAnthropicのFable 5とMythos 5の輸出規制を6月30日に解除した。サイバー悪用懸念、99%防御策、CAISI評価、AWSやGoogle Cloudでの再開、企業利用への影響を軸に、日本企業の今後の導入判断にも及ぶフロンティアAI統治の新局面を読み解く。

Anthropic Mythos規制緩和で揺れる米AI統制の行方

米商務省がAnthropicのMythos 5を重要インフラ防衛組織に限定復旧した一方、Fable 5の制限は継続。6月2日の大統領令、6月12日の輸出管理指令、OpenAIへの限定公開要請、欧州の主権論争を照合し、サイバー能力が国家管理の対象になる米AI規制と企業戦略の新たな転換点の深層を読み解く。

AnthropicのAI停止が映す輸出管理新時代と安全保障論

米政府はAnthropicのFable 5とMythos 5を外国人に使わせない輸出管理を命じ、同社は全顧客のアクセスを停止した。サイバー防衛に有益な高性能AIを国家安全保障資産として扱う判断が、研究利用、企業導入、国際競争に及ぼす影響を、米輸出規制とモデル安全性の交点から日本企業が読むべき論点まで解説。

最新ニュース

AI投資が呼ぶ世界M&A熱、巨額資本競争の持続力と落とし穴とは

AIインフラ需要を背景に、世界M&Aは2026年上半期に2.8兆ドル規模へ膨らみ、技術セクターと投資銀行を押し上げました。Cerebrasの大型IPO、SoftBankのOpenAI投資、データセンターの電力制約を手掛かりに、巨額資本がAI経済へ流れ込む構造と持続性の条件を規制緩和の影響も含めて読み解く。

米国スーパー値下げ競争で家計の食費高止まりは本当に変わるのか

WalmartやKrogerが食品値下げを競う一方、BLSの5月食品CPIは食料品が前年比2.7%上昇。USDAは2026年も食料品価格の上昇を2.8%と予測する。ALDIやCostcoの低価格モデル、私有ブランド、外食代替需要も絡むなか、値下げ競争が家計の総支出をどこまで押し下げるのか、粗利と消費者行動から読み解く。

中国再使用ロケット成功、長征10Bが変える衛星網と月面競争構図

中国が長征10Bの第1段を海上ネットで回収し、再使用ロケット競争に新段階を刻んだ。SpaceXの600回超着陸、Starlinkの1万基規模、中国の国網・千帆計画を比較し、衛星網と月面開発に広がる技術・地政学上の意味を検証。成功一度では測れない再飛行と整備、量産化の課題、商業打ち上げ市場への波及を読み解く。

米住宅危機で超党派法成立へ供給不足と家賃高騰に挑む議会の限界

トランプ氏が署名を拒む一方、住宅供給拡大法は上院85対5、下院358対32の大差で成立へ向かいました。全米で1000万戸規模の住宅不足と高金利、家賃負担が重なるなか、スコット氏とウォーレン氏の超党派連携が何を変え、地方規制や低所得者支援の限界、さらに住宅費に苦しむ有権者の不満が議会を動かした構造までを読み解く。

VW中国販売急減で減産へ、EV競争に揺れる欧州車戦略再編の岐路

Volkswagenの中国納車は2026年4〜6月に42万4,300台へ落ち込み、前年同期比36.6%減。生産能力9百万台体制、車種最大半減、中国EV勢との競争、欧州の雇用不安が重なる構造変化を分析。米国関税や中国輸出攻勢がサプライチェーンを揺さぶるなか、投資家が見る独自動車モデルの転換点を丁寧に解説。