Google Threat Intelligence Group (GTIG)が発表した最新のレポートにおいて、犯罪グループが人工知能(AI)システムを利用して、これまで未知であったゼロデイ脆弱性を発見し、エクスプロイト(攻撃コード)の開発に成功した事例が報告された。標的となったのは、広く利用されているオープンソースのWebベースのシステム管理ツールである。このツールにおける二要素認証(2FA)のバイパスを可能にするPythonスクリプトが開発されており、大規模なエクスプロイト活動の準備が進められていた。Googleの事前検知とベンダーへの通知により、パッチが提供され事態は収束したが、これはAIが実際のゼロデイ攻撃の武器として利用された最初の確認事例である。
この脆弱性の本質は、メモリ破損や入力サニタイズの失敗といった従来型のバグではなく、開発者がハードコードした信頼性の前提という高度な意味論理的欠陥に起因している。静的解析ツール(SAST)やファジングツールは、データフローの追跡やクラッシュの検出に最適化されているため、このようなコードの論理的な矛盾や意図の不整合を検出することが極めて困難である。一方で、最先端の大規模言語モデル(LLM)は、文脈的推論を行い、2FAの適用ロジックと例外処理の間に潜む矛盾を特定することに長けている。LLMの出力には、幻覚(ハルシネーション)によるCVSSスコアや、LLMのトレーニングデータに特有の教育的なドキュメント文字列が含まれており、AIによる生成であることが裏付けられている。この事象は、防御側の想定を上回る速度で、AIが脆弱性の発見から武器化までのタイムラインを根本的に短縮している実態を示している。
自律型マルウェアによる攻撃の高度化とオーケストレーション
AIの活用は脆弱性の静的な探索にとどまらず、マルウェアの動作そのものを動的かつ自律化する段階へと移行している。その顕著な進化の証となるのが、Android向けバックドア「PROMPTSPY」の構造である。このマルウェアはGoogle Gemini APIを直接呼び出し、人間の介入なしに被害者のデバイスを自律的に操作する能力を備えている。従来のリモートアクセスツール(RAT)が攻撃者の手動操作を前提としていたのに対し、PROMPTSPYは自らをエージェント化し、環境の変化に応じたリアルタイムの意思決定を実行する。
PROMPTSPY内部の「GeminiAutomationAgent」モジュールは、デバイスの可視化されたユーザーインターフェース(UI)階層をXML形式にシリアライズし、gemini-2.5-flash-liteモデルに送信する。この際、ハードコードされたプロンプトを通じてLLMのセーフティフィルターを回避するペルソナを設定し、複雑な空間数学の計算という名目でUIの境界座標を解析させる。モデルは構造化されたJSONレスポンスを返し、マルウェアはそれを解釈して画面上のクリックやスワイプなどの物理的ジェスチャーをシミュレートする。
さらに、生体認証データをキャプチャして認証ジェスチャーをリプレイする機能に加え、システムのアンインストールを巧妙に防ぐ機構も備わっている。「AppProtectionDetector」と呼ばれるモジュールが画面上の「アンインストール」ボタンの座標を特定し、その直上に不可視のオーバーレイを配置する。これにより、ユーザーのタッチイベントが吸収され、ボタンが反応しないように見せかける。デバイスが非アクティブになっても、Firebase Cloud Messaging (FCM)を通じてバックドアを再起動させることが可能である。通信インフラやAPIキーを動的にローテーションする能力も有しており、C2チャネルを通じてインフラストラクチャを動的に更新することで、防御側の対策を想定した高い回復力を持つ。
国家支援型ハッカーによる自動化と防御回避メカニズム
国家の支援を受ける高度な持続的脅威(APT)グループも、AIを積極的に自らの攻撃ライフサイクルに組み込んでいる。中国(PRC)や北朝鮮(DPRK)に関連する攻撃者は、脆弱性研究におけるフォースマルチプライヤー(戦力増強の手段)としてLLMを投入している。例えば、UNC2814はGeminiに対して「C/C++バイナリのセキュリティ専門家」として振る舞うよう指示し、TP-Link製ルーターのファームウェアにおける認証前のリモートコード実行(RCE)の脆弱性や、Odette File Transfer Protocol (OFTP)の実装を探らせた。APT45は自動化されたプロンプトを数千回にわたって反復送信し、CVEの分析や概念実証(PoC)エクスプロイトの検証をスクリプト化している。これらは人間の手作業では到底不可能なスケールでの攻撃準備を意味する。
また、中国に関連する別の攻撃者は、「wooyun-legacy」と名付けられたGitHubリポジトリを活用している。これはClaudeのコードスキルプラグインとして設計されており、中国の脆弱性情報プラットフォームWooYunで過去に収集された85,000件以上の脆弱性データを包含している。このデータをLLMに文脈として読み込ませることで、一般的なAIモデルでは見落とされがちな論理的欠陥を、熟練のセキュリティ専門家と同等の精度で発見させようとする試みである。さらに、ある攻撃者は「Hexstrike」や「Strix」といったマルチエージェント型侵入テストフレームワークを導入し、ターゲットとなる日本のテクノロジー企業の攻撃面を自律的に探索させていた。
ロシアに関連する攻撃者は、「CANFAIL」や「LONGSTREAM」といったAI生成マルウェアを展開している。これらのコードには、本来の悪意ある機能を隠蔽するために、LLMによって生成された無害を装うダミーコード(Decoy Logic)が大量に挿入されている。LONGSTREAMでは、システムのサマータイム状態を照会する無意味なクエリが32回にわたってコード内に散りばめられ、静的解析ツールによるシグネチャベースの検出を回避する工夫が見られる。また、中国関連のAPT27は、運用リレーボックス(ORB)ネットワークの管理を支援するためのフリート管理アプリケーションの開発をGeminiで加速させている。このツールは、侵入活動の真の送信元を難読化するために、住宅用IPアドレスを提供する4G/5G SIMカードの利用を想定した設計となっている。
AIへのアクセス基盤を構築するサイバー犯罪のエコシステム
攻撃者は本格的なプロキシインフラや自動化パイプラインの構築を進め、AIへのアクセスを大規模に産業化している。安全対策や利用制限を回避するため、高度なミドルウェアやアカウントプーリングサービスがアンダーグラウンドの市場で流通している。中国に関連するUNC6201は、GitHub上で公開されているPythonスクリプトを用いて、プレミアムLLMアカウントの登録からCAPTCHA回避、SMS認証、即時キャンセルまでを完全に自動化し、フリートライアルの悪用をシステム化している。
また、UNC5673などのグループは、「Claude-Relay-Service」や「CLI-Proxy-API」といったプロキシサーバーを導入し、GeminiやClaudeをはじめとする複数のLLMアカウントを単一のエンドポイントで一元管理している。これらのリレーネットワークは、APIへの不正アクセスを可能にするだけでなく、AIプロバイダーが設けている利用制限や安全監視のトラフィック分析を迂回する目的で運用されている。複数のアカウントをローテーションさせることで、攻撃者はAIの計算能力を低コストかつ継続的に調達するサプライチェーンを確立している。
AIインフラストラクチャに対するサプライチェーン攻撃の脅威
AIシステムへの依存が高まる中、AIの開発環境や周辺エコシステムそのものが標的となっている。「TeamPCP(UNC6780)」と呼ばれるサイバー犯罪グループは、Trivy、Checkmarx、LiteLLM、BerriAIといった主要なGitHubリポジトリや関連するGitHub Actionsに対してサプライチェーン攻撃を実行した。この攻撃は、AIシステムのユーティリティを支えるサードパーティの統合ライブラリやデータコネクタの脆弱性を突くものである。
特に、複数のLLMプロバイダーを統合するAIゲートウェイ機能であるLiteLLMの侵害は、ソフトウェアサプライチェーン全体に広範な影響を及ぼす。攻撃者は不正なPyPIパッケージやプルリクエストを通じてビルド環境にアクセスし、クレデンシャルスティーラー「SANDCLOCK」を埋め込んだ。これにより、AWSの認証キーやGitHubトークンといった機密情報が流出し、ランサムウェアグループによる恐喝に悪用される事態が発生している。AIシステムを稼働させるためのオーケストレーション層や統合コンポーネントが、組織の内部ネットワークに侵入するための新たな初期アクセス経路(Initial Access Vector)として利用されており、AIモデル自体が強固であっても、周辺インフラの脆弱性がシステム全体の致命傷となるリスクが顕在化している。Googleはこれらに対抗するため、AIエージェント「Big Sleep」を用いた未知の脆弱性探索や「CodeMender」による自動パッチ適用など、防御側でのAI活用を推進し、新たなパラダイムシフトに対応している。
