はじめに

Google Threat Intelligence Group（GTIG）は2026年5月12日、犯罪系の攻撃者がAIを使って未知の脆弱性を発見し、悪用コードに落とし込んだとみられる事例を公表しました。対象は広く使われるオープンソースのWebベース管理ツールで、2要素認証（2FA）を迂回する論理欠陥だったと説明されています。

この事例の重要性は、単に「AIを使った攻撃があった」という話にとどまりません。従来のスキャナーが得意とする入力検証やメモリ破壊ではなく、開発者の意図と実装の食い違いを読むような欠陥が焦点だったからです。AIが攻撃者の補助道具から、脆弱性探索の量産エンジンへ近づいている可能性を読み解きます。

Googleが示したAIゼロデイ悪用未遂の実像

2FA迂回を狙った論理欠陥

GTIGの報告によると、攻撃者は有効なユーザー認証情報を前提に、2FAを迂回できるゼロデイ脆弱性をPythonスクリプトとして実装していました。Googleは影響を受けたベンダーに責任ある開示を行い、攻撃活動の妨害につなげたとしています。ベンダー名や製品名は公表されていませんが、攻撃が「大量悪用イベント」として計画されていた点が深刻です。

ここでいうゼロデイとは、開発元が修正パッチを公開する前に攻撃者側が把握している脆弱性です。今回の欠陥は、既知のCVEを組み合わせたものではなく、開発者が2FAの判定ロジック内に固定的な信頼前提を置いたことに由来します。つまり、入力値の危険な文字列やクラッシュを探すだけでは見つけにくい、設計上の矛盾でした。

2FAは、パスワード流出後の最後の防波堤として広く導入されています。しかし、認証フローの一部に「この状態なら信頼してよい」という例外が埋め込まれていると、攻撃者は正規ログイン後の分岐を突いて追加認証を避けられる場合があります。今回の事例は、MFAや2FAの導入だけで安全を保証できないことを示しています。

GTIGは、Geminiが使われたとは考えていないと明記しています。一方で、スクリプトの構造や内容から、何らかのAIモデルが脆弱性の発見と武器化を支援した可能性について高い確信を示しました。これは「特定モデルの問題」ではなく、高性能なLLM一般が持つ二面性の問題です。

AI関与を示したコード上の痕跡

GoogleがAI関与の根拠として挙げたのは、攻撃コード内に残る不自然な特徴です。教育用の説明文のようなdocstring、実在しないCVSSスコア、詳細すぎるヘルプメニュー、教科書的に整ったPythonの書き方などが確認されたといいます。人間の攻撃者が急いで実戦投入するコードとしては、過剰に整いすぎていたわけです。

この観察は、AI生成コードを単純に「コメントが多いコード」と見分ける話ではありません。攻撃者は不要な記述を削除できますし、AIの出力も変化します。重要なのは、LLMが開発者の意図、例外処理、信頼境界、認証状態といった抽象的な関係を読み取り、従来型ツールでは目立ちにくい論理欠陥を候補として浮かび上がらせた可能性です。

静的解析やファジングは、危険な関数呼び出し、境界外アクセス、入力処理の不備、クラッシュなどを検出するのに強みがあります。これに対して、LLMはコードの意味を自然言語的に要約し、複数ファイルにまたがる前提の矛盾を探索する能力を伸ばしています。今回の2FA迂回は、この差が攻撃側にも働き始めたことを示す象徴的な事例です。

もっとも、AIが完全自律で攻撃を完遂したと断定する段階ではありません。GTIGの記述も、AIが発見と武器化を「支援した」とみるものです。攻撃者がモデルに調査を補助させ、人間が検証し、悪用コードとして整えた可能性もあります。むしろ実務上は、この混成型のほうが現実的で、広がりやすい脅威です。

攻撃者のAI利用が量産段階へ進む背景

ゼロデイ市場と企業向け製品への集中

Googleの2024年ゼロデイ分析では、同年に実際の攻撃で悪用されたゼロデイ脆弱性は75件とされました。2023年の98件からは減少したものの、2022年の63件を上回り、長期的には高止まりが続いています。特に企業向け技術が占める割合は2023年の37%から2024年には44%へ上昇しました。

企業向け製品のなかでも、セキュリティ機器やネットワーク製品は攻撃者にとって高価値です。VPN、ファイアウォール、管理アプライアンスのような製品は権限が強く、ネットワーク境界に位置し、通常のEDRが届きにくい場合があります。GTIGは、2024年に確認した企業向けゼロデイ33件のうち20件がセキュリティ・ネットワーク関連だったと報告しています。

MandiantのM-Trends 2025も同じ方向を示しています。2024年の調査対象は45万時間超のインシデント対応に基づき、初期侵入経路が特定できた事案では、脆弱性悪用が33%で最も多い経路でした。盗まれた認証情報は16%で、メールフィッシングの14%を上回っています。

この状況にAIが加わると、攻撃者の作業単価が下がります。脆弱性候補の棚卸し、PoCの検証、標的組織の技術環境調査、攻撃メールのローカライズ、コードの難読化を、人間だけで行うより速く回せるからです。AIはゼロデイを魔法のように生む装置ではありませんが、探索と検証の反復回数を増やします。

MythosとBig Sleepが示す能力の両義性

AIによる脆弱性探索能力の上昇は、防御側にも攻撃側にも同じ物理法則で働きます。Anthropicは2026年4月、未公開のClaude Mythos Previewを使うProject Glasswingを発表しました。発表によると、同モデルは主要OSや主要ブラウザーを含むソフトウェアから多数のゼロデイ脆弱性を特定し、一部では悪用方法の構築まで自律的に行ったとされています。

AnthropicはMythos Previewを一般公開せず、AWS、Apple、Google、Microsoft、Linux Foundationなどのパートナーに限定して防御目的で使う方針を示しました。発表では、最大1億ドル相当の利用クレジットと、オープンソースセキュリティ団体への400万ドルの支援も明記されています。強力なモデルを広く出すのではなく、まず防御側へ配る判断です。

Google側も、防御用AIの活用を進めています。Google DeepMindとProject Zeroが開発したBig Sleepは、SQLiteのCVE-2025-6965を含む現実の脆弱性発見に使われたと説明されています。Googleは、脅威インテリジェンスとBig Sleepを組み合わせることで、攻撃者が使おうとしていた脆弱性を事前に封じた事例も公表しています。

さらにGoogle DeepMindは、脆弱性の自動修正を狙うCodeMenderも発表しました。発見だけでなく修正までAIに担わせる構想は、攻撃者の速度に防御側が追いつくための自然な流れです。ただし、AIが生成したパッチも検証が必要です。セキュリティ修正は、機能の互換性、性能、別の脆弱性の混入を同時に見なければならないためです。

AIエージェント基盤そのものへの攻撃面

今回の焦点はAIを使った脆弱性発見ですが、GTIGは同時に「AIそのものが標的になる」リスクも強調しています。2026年初頭には、AIエージェントのスキルや拡張機能、APIコネクター、ソフトウェア依存関係を狙う攻撃が観測されています。モデル本体を破るのではなく、モデルに接続された部品を汚染する発想です。

VirusTotalは2026年2月、OpenClawのスキルがマルウェア配布経路として悪用されていると報告しました。同社は3,016件超のOpenClawスキルを分析し、そのうち数百件に悪性の特徴があったと説明しています。特定ユーザーが公開した314件のスキルが悪性と判定された例もあり、AIエージェントの「便利な拡張」がサプライチェーン攻撃面になっています。

GTIGの5月報告では、TeamPCP（UNC6780）がTrivy、Checkmarx、LiteLLM、BerriAIに関連するGitHubリポジトリやGitHub Actionsを含むサプライチェーン侵害を主張した事例も取り上げられています。LiteLLMのようなAIゲートウェイは複数のLLMプロバイダーを統合するため、APIキーやクラウド秘密情報が漏れると、通常の侵入だけでなくAI環境の悪用にもつながります。

これは、AIを導入した企業が新しい境界を持つという意味です。プロンプト、プラグイン、エージェントスキル、モデルAPIキー、ベクトルデータベース、CI/CD内のAIツール設定は、従来のアプリケーション設定と同じように保護対象になります。AI時代の防御は、モデルの安全性だけでなく、周辺の実行権限とデータ接続を管理する作業です。

企業が取るべき防御の組み替え

パッチ優先順位と認証設計の再点検

まず必要なのは、脆弱性管理の優先順位を「CVSSの高さ」だけに依存しない形へ更新することです。CISAのKnown Exploited Vulnerabilities（KEV）カタログは、実際に悪用が確認された脆弱性を優先的に修正するための基礎資料です。米国連邦文民機関にはBOD 22-01に基づく期限付き対応が求められ、民間組織にも同様の優先対応が推奨されています。

AIで探索速度が上がる局面では、インターネット公開製品、管理画面、ID基盤、VPN、開発基盤、AIゲートウェイを最優先で棚卸しする必要があります。特に管理ツールは、運用の都合で例外ルールや古い認証フローが残りやすい領域です。今回のような論理欠陥は、脆弱性スキャンだけでは見落とされる可能性があります。

2FAの実装も再点検が必要です。認証成功、2FA完了、セッション昇格、リカバリーコード、信頼済み端末、APIトークン発行を、それぞれ独立した状態として記録し、例外処理を監査できる形にするべきです。単に「MFAを入れている」ではなく、MFAが必要な全経路で本当に強制されているかを確認することが重要です。

また、特権アカウントにはFIDO2準拠の認証、最小権限、時間限定の昇格、異常ログイン検知を組み合わせる必要があります。M-Trends 2025が示すように、盗まれた認証情報はすでに主要な初期侵入経路です。2FA迂回の論理欠陥と認証情報流出が組み合わさると、防御側の想定は大きく崩れます。

AI防御を運用へ組み込む条件

防御側もAIを使うべきですが、導入先は明確に選ぶ必要があります。効果が出やすいのは、ソースコードのセキュリティレビュー、既知脆弱性の影響範囲調査、ログ要約、インシデント初動の仮説整理、パッチ候補の検証補助です。人間の専門家が確認する前提で、反復作業を短縮する使い方が現実的です。

一方で、AIに本番環境の広範な実行権限を与える場合は注意が必要です。エージェントがシェル操作、クラウドAPI、チケット更新、コード修正、デプロイまで担う場合、誤動作やプロンプトインジェクションの影響は大きくなります。AIエージェントは便利なチャット画面ではなく、権限を持つ自動化主体として扱うべきです。

具体的には、AIツール用のAPIキーを人間用アカウントと分離し、最小権限に限定します。外部スキルやプラグインは署名、検査、承認フローを通し、CI/CDで使うAI関連パッケージは通常の依存関係と同じくSBOMやロックファイルで管理します。ログには、どのモデルが、どのデータを読み、どの操作提案を出したかを残す必要があります。

OpenAIの脅威報告も、攻撃者がAIだけで完結するのではなく、Webサイト、SNS、既存ツール、別モデルを組み合わせて運用していると指摘しています。防御側も同様に、AIを単独の銀の弾丸として扱うのではなく、脅威インテリジェンス、EDR、ID管理、脆弱性管理、インシデント対応訓練に接続して使うことが重要です。

注意点・展望

今回の事例で避けるべき誤解は、AIがすぐに全自動でゼロデイ攻撃を量産するという単純化です。現実には、モデルの出力を検証し、標的環境に合わせ、検知を回避し、収益化する工程が必要です。人間の攻撃者、既存の犯罪市場、盗まれた認証情報、公開済み脆弱性が組み合わさることで、AIの効果が増幅されます。

もう一つの誤解は、モデル提供企業の安全対策だけで十分という見方です。GTIGの報告では、攻撃者がアカウント登録の自動化、API集約、プロキシ、試用枠の悪用を使い、高性能モデルへの匿名・大規模アクセスを試みているとされています。安全対策はモデル側だけでなく、ID、課金、ネットワーク、開発者エコシステム全体で必要です。

今後は、脆弱性の発見から悪用までの時間がさらに短くなる可能性があります。防御側は「公表後に優先順位を決める」運用から、「攻撃されやすい資産を常時把握し、公開前後で即時に切り替える」運用へ移る必要があります。AI時代のセキュリティは、速い攻撃に速い防御で対抗するだけでなく、攻撃される前に設計上の余地を減らす競争です。

まとめ

Googleの報告は、AIがサイバー攻撃を突然別物に変えたというより、攻撃者の探索・検証・実装の反復を速めていることを示しています。特に今回の2FA迂回は、従来の検査が苦手な論理欠陥にLLMが届き始めた可能性を示す点で重要です。

企業が取るべき次の一手は明確です。管理ツールとID基盤を優先して棚卸しし、KEVなど実悪用情報でパッチ順を決め、2FAの例外経路を監査することです。同時に、防御側AIを安全な権限設計のもとで導入し、脆弱性発見から修正までの時間を縮める必要があります。

参考資料:

• GTIG AI Threat Tracker: Adversaries Leverage AI for Vulnerability Exploitation, Augmented Operations, and Initial Access
• GTIG AI Threat Tracker: Advances in Threat Actor Usage of AI Tools
• Hello 0-Days, My Old Friend: A 2024 Zero-Day Exploitation Analysis
• M-Trends 2025: Data, Insights, and Recommendations From the Frontlines
• A summer of security: empowering cyber defenders with AI
• Introducing CodeMender: an AI agent for code security
• Project Glasswing: Securing critical software for the AI era
• Assessing Claude Mythos Preview’s cybersecurity capabilities
• Disrupting malicious uses of AI
• Known Exploited Vulnerabilities Catalog
• Reducing the Significant Risk of Known Exploited Vulnerabilities
• From Automation to Infection: How OpenClaw AI Agent Skills Are Being Weaponized