AI攻撃の産業化──ゼロデイ脆弱性を生成AIが発見する時代に企業は何を備えるか
Google Threat Intelligence Group(GTIG)は2026年5月12日、生成AIの悪用動向を整理した脅威レポート「GTIG AI Threat Tracker」を公表しました。報告では、AIが攻撃の補助線から作戦の中核へと位置を移しつつある状況が示されています。攻撃者は脆弱性探索、回避コード生成、自律的なマルウェア制御、情報操作の高度化に生成AIを組み込み、産業規模での運用へ踏み出しているとしています。同時にAI基盤そのものが攻撃対象となる動きも顕在化し、企業のセキュリティ前提の見直しが求められています。
今回は、ゼロデイ脆弱性のAI生成、自律型マルウェアPROMPTSPYや国家系アクターの動き、AIサプライチェーン攻撃、そして、今後の展望について取り上げたいと思います。
ゼロデイ脆弱性をAIが発見する時代の到来
GTIGが今回の報告で取り上げたのは、サイバー犯罪グループがAIを用いて開発したと考えられるゼロデイ脆弱性の実例です。対象は、オープンソースのWebベースサーバー管理ツールにおける二要素認証バイパスで、Pythonスクリプトに含まれる教育的なdocstring、幻覚的なCVSSスコア、整然としすぎたPythonic構造などから、生成AIの関与が高い確度で示唆されています。GTIGはベンダーと連携し、大規模悪用が始まる前に責任ある開示を実施したといいます。
この事案で重要となるのは、検出技術の構造的な変化です。従来のファザーや静的解析が苦手としてきた、開発者の意図に踏み込んだセマンティックな論理欠陥を、フロンティアモデルが文脈推論によって検出し始めている状況が示されています。欠陥そのものは古典的でも、発見コストの劇的な低下が攻撃側の経済合理性を書き換えつつあると考えられます。パッチサイクル、脆弱性報奨金、ゼロデイ市場の価格構造は、いずれも再均衡を迫られる局面に入っているといえます。
自律型マルウェアPROMPTSPYが示す質的転換
報告でもうひとつ重要となるのが、Android向けバックドアPROMPTSPYの構造です。当初ESETが特定したこのマルウェアは、Gemini APIを呼び出して感染端末のUI階層をXML形式で送信し、戻り値の座標指示に基づきタップやスワイプを自律的に実行する設計といいます。GTIGの追加分析では、生体認証ジェスチャの再生や、アンインストール画面のボタン位置を不可視オーバーレイで遮蔽する保護機構も確認されています。
重要なのは、C2インフラやAPIキーがランタイムで動的に差し替え可能になっており、防御側がエンドポイントを遮断しても容易に再構成される設計が組み込まれている点です。固定的なコマンド体系を前提としてきたモバイル脅威対策のモデルに対し、AIが指示生成器として常駐するこの設計は、検知ロジックの根本的な再設計を求めるものとなります。Google Play Protectによる遮断措置は取られていますが、同種の設計思想が他のプラットフォームへ波及する可能性が想定されます。
国家系アクターと脆弱性研究の自動化
国家系の動きでは、中国系UNC2814や北朝鮮系APT45が、Geminiを脆弱性研究の助手として組織的に活用している実態が示されています。UNC2814は、TP-Linkファームウェアや産業向けプロトコル実装に対する事前認証RCEの探索のため、シニア監査官や組み込み機器セキュリティ専門家といったペルソナを与え、安全装置を回避する試行を重ねているといいます。
さらに、中国の脆弱性報告プラットフォーム「WooYun」が2010年から2016年にかけて蓄積した85,000件超の事例を蒸留したリポジトリ「wooyun-legacy」をClaude向けスキルとして組み込み、文脈学習による高度な脆弱性発見を試みている状況が示されています。APT45にいたっては数千件規模の反復プロンプトでCVEの再帰的解析とPoC検証を回しており、人手では成立しない研究スループットが攻撃側に与えられつつあると考えられます。組織化された国家系の脆弱性研究は、属人的なスキルの集積から、AIを介した工程化されたパイプラインの様相へと移行しつつあります。
匿名アクセスとプロキシ網──AI悪用の産業化
攻撃者のAIアクセス手段にも産業化の兆しが見られます。GTIGは、PRC系UNC6201がGitHub上の自動化スクリプトを使ってプレミアム枠のLLMアカウントを自動登録し、用が済めば即時解約するワークフローを観察したとしています。CAPTCHA回避とSMS認証の通過まで含めた一連の処理が自動化されている点が示されています。
UNC5673は「Claude-Relay-Service」や「CLI-Proxy-API」など、複数のAPIキーを束ねOpenAI互換のエンドポイントに集約するアグリゲータを運用し、アカウントプーリングや料金分散を行っているといいます。APT27に至っては、Gemini支援でORB(オペレーショナル中継ボックス)ネットワークの管理アプリを開発しており、3ホップ構成と4G/5GのSIM対応からモバイル回線経由の発信元秘匿が目的と分析されています。トライアル枠の濫用、アンチディテクトブラウザ、APIゲートウェイが層を成し、AI悪用そのもののサプライチェーンが形成されつつある状況です。
AIサプライチェーンが攻撃対象になる構造
AIは攻撃の道具にとどまらず、攻撃対象そのものへと位置を移しています。GTIGは2026年3月、サイバー犯罪グループ「TeamPCP」(UNC6780)がTrivy、Checkmarx、LiteLLM、BerriAIなど複数のGitHubリポジトリとGitHub Actionsを侵害したとしています。攻撃者はPyPI経由の汚染パッケージや悪意あるプルリクエストで入り込み、SANDCLOCKと呼ばれる認証情報窃取コードを埋め込み、AWSキーやGitHubトークンなどビルド環境のシークレットを抜き出したといいます。盗まれた資格情報はランサムウェアや恐喝グループに横流しされる構図となっています。
複数LLMの統合ゲートウェイであるLiteLLMの侵害は、AI APIシークレットの広範な流出を招き得るもので、内部AIへの不正アクセスから組織内の情報収集や横展開を可能にする経路ともなります。Secure AI Framework(SAIF)が示すIIC(不正な統合コンポーネント)とRA(不正な行動)の分類は、現実の事案として観測される段階に入ったと考えられます。AIをめぐる調達管理の射程は、モデルそのものから依存ライブラリ、スキルパッケージ、ビルドパイプラインまで広がりつつあります。
防御側のAI活用と対抗線
攻撃側だけが武装を進めているわけではなく、防御側でもAIの実装が広がっています。Googleは脆弱性探索エージェント「Big Sleep」を用い、現実世界での脆弱性発見と、攻撃者による悪用が差し迫っていた事案の事前遮断に成功したとしています。Gemini推論を組み込んだ「CodeMender」では、検出された欠陥に対する自動修正の試行も進められています。
さらに、AIシステムを守る枠組みとして提唱したSAIFは、CoSAI(Coalition for Secure AI)を介した業界横断の規範形成へと拡張されつつある状況です。重要なのは、攻撃と防御の双方が同一の生成AI基盤の上に立っている点です。検知ルールや署名ベースのコントロールが摩耗する一方で、文脈推論やコード理解を伴う防御技術が現実的な対抗手段として整いつつあります。企業に求められているのは、AI悪用を前提とした脅威モデルの再構築と、AI基盤のサプライチェーンを通常のソフトウェアと同等の管理水準へ引き上げる発想の転換となります。
今後の展望
複数の事案を横断して読み取れるのは、AIをめぐる攻防が制度・市場・技術の三層で同時に再編されつつある状況です。制度面では、SAIFやEU AI法、米国の大統領令、日本のAI事業者ガイドラインなどが、AIサプライチェーンの可視化と説明責任を企業に課す方向へ進むと予想されます。市場面では、AIアクセス権そのものが地下経済の商品となり、APIゲートウェイ事業者やID管理基盤、シークレット管理ベンダーへの投資が新たな防御層を形成すると考えられます。
技術面では、ゼロデイ発見コストの低下によりパッチサイクルそのものの設計が問われ、コード生成と検証を一体化したCodeMender型のアプローチが標準化に向かう可能性があります。日本企業に求められているのは、生成AIの社内利用ルールの強化に加え、依存している外部AI部品の出所と更新フローの可視化、そしてAI悪用を前提としたインシデント対応訓練の再設計でしょう。AIは脅威の規模を拡大すると同時に、防御の射程も拡張する技術であり、両側面を一体で経営課題に組み込む戦略が求められる時期に入りつつあります。
