-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
AIで開発されたとみられるゼロデイエクスプロイト、Googleが初観測
The Register – Mon 11 May 2026
AIを使用して発見・武器化されたものとみられるゼロデイ脆弱性のエクスプロイトを、Google脅威インテリジェンスグループ(GTIG)およびMantiantが初めて発見。5月12日公開のレポートにおいて、AI関連のその他の調査・分析結果と併せて報告した。
GTIGのレポートは、サイバー脅威ランドスケープにおけるAI利用についての観測結果などをまとめたもの。中でも特に注目に値するトピックとして、複数の有名な脅威アクターらが結託し、「大規模な脆弱性悪用オペレーション」を計画していた事例が報告されている。これらのアクターらは、AIを使ってゼロデイ脆弱性を発見・武器化していたものとみられるという。
問題のゼロデイは、あるWebベースのシステム管理ツールにおける2要素認証(2FA)バイパスの脆弱性。この人気オープンソースツールの名称は明かされていないが、GTIGはすでに開発元ベンダーと連携してパッチを提供済みだとしている。
この脆弱性は開発者らが認証フローに信頼例外をハードコーディングしたことに起因する問題で、攻撃者による2FA認証のチェック回避を可能にするものだった。GTIGによれば、このような高レベルのロジックのミスの発見は、まさに最新AIモデルが非常に得意とするところだという。
同ゼロデイのエクスプロイトはPythonスクリプトに組み込まれており、その構造やコンテンツを踏まえて、GTIGは「アクターはこの脆弱性の発見および武器化をサポートするためにAIモデルを利用した可能性が高い」と高い確度で評価。AI使用を示唆する特徴の例として、スクリプトに「架空のCVSSスコアを含む教育的なdocstring(ドキュメンテーション文字列)」が多数含まれている点や、LLMのトレーニングデータによく見受けられる構造化された教科書的なPython形式が用いられている点を挙げている。
アクターが使用したAIモデルが何だったかは不明瞭だが、GTIGはGoogleのAIであるGeminiが使われたとは考えていないと述べた。
GTIGのチーフアナリストであるJohn Hultquist氏は、AIを使用した脆弱性探索が「差し迫った」脅威という認識は誤りで、「すでに始まっている」というのが現実だと指摘。脅威アクターらは自らの攻撃のスピード・スケール・精巧性アップのためにAIを利用するようになっており、これにより「攻撃オペレーションのテスト、ターゲットに対する永続性の維持、より優れたマルウェアの構築、またその他多数の改善が可能になっている」と説明した。さらにHultquist氏は、AI利用においては国家型アクターが秀でているのは事実だが、上記のようなサイバー犯罪的性質の脅威も見過ごされるべきではないと述べている。
一方で、GTIGのレポートでは国家型アクターによるAI使用例も紹介されている。例えば北朝鮮関連のAPT45は、さまざまなCVEの分析やPoCエクスプロイトの検証にAIを活用しているほか、中国国家と結びつくオペレーターらは、脆弱性ハンティングおよびターゲットの自動調査において実験的にAIシステムを利用していたとされる。
このほか、GTIGが観測した国家型アクターのAI関連の活動には以下のようなものがある。
- ある中国関連のアクターが、StrixやHexstrikeといったエージェント型ツールを日本のテック企業および東アジアの大手サイバーセキュリティ企業に対する攻撃で展開。
- 中国グループUNC2814が、AIに「シニアセキュリティ監査役」を演じるよう指示する「ペルソナドリブンのジェイルブレイク」手法を使い、組み込み機器の脆弱性リサーチを強化(TP-Linkのファームウェアにおける脆弱性など)。
- 中国のAPT45が、Geminiを利用してフリート管理アプリケーションの開発を加速。これは、ORB(Operational Relay Box)ネットワーク管理のサポートを目的とする活動の可能性が高いとされる。
- ロシア関連のアクターが、AI生成のデコイコードを利用してCANFAILやLONGSTREAMなどのマルウェアを難読化。
- 脅威アクターがロシアの情報工作活動「Overload Operation」においてAI音声クローニングを利用。実在するジャーナリストになりすました偽動画を作成し、アンチ・ウクライナのナラティブを推進。
GTIGのレポートはこのほかにも、2026年2月にESETが報告したAndroidマルウェア「PromptSpy」についても言及。このマルウェアには「GeminiAutomationAgent」と名付けられた自律型エージェントモジュールが含まれており、ハードコードされたプロンプトを使用することでマルウェアによる自律的なデバイス操作が可能になっていることなどを伝えている。
関連資料をダウンロード
Codebook 2025 ~サイバーセキュリティ分析レポート~
いつもCodebookをご覧いただきありがとうございます。 Codebookでは2023年より、平日ほぼ毎日、サイバーセキュリティ/インテリジェンス関連の英文ニュースを厳選し、日本語で簡潔に要約...
資料ダウンロード
デジタル時代における世界の紛争
地政学的紛争とサイバー作戦の境界は曖昧さを増し、国家や非国家主体によるサイバー攻撃が日常的に行われる中、戦争や外交の在り方が複雑化しています。 特にハクティビズムや偽情報キャンペーンは、ロシア・ウク...
資料ダウンロード
-300x200.png)
【最新版】要件主導型インテリジェンスプログラムの構築方法|Silobreaker Report
本レポートは、サイバー脅威や地政学的リスクが高度化・複雑化する現代において、組織が適切な意思決定を行うために不可欠な「脅威インテリジェンス」の実践方法を解説するハンドブックです。特に、インテリジェンス...
資料ダウンロード
OSINTから読み解く国家支援サイバー脅威の攻撃トレンド
国家の支援を受けたサイバー脅威が進化を続けています。昨年の国内暗号資産取引所からのビットコイン流出に、北朝鮮アクターの巧妙なソーシャルエンジニアリングが利用されていたことは、記憶に新しいかと思います。...
資料ダウンロード
ディープ&ダークウェブにおけるSNSアカウント売買とディープフェイク
ネット上の匿名性を悪用した不正や犯罪が、日本においても大きな脅威となっています。2024 年の能登半島地震の際には、実在しない住所への救助要請など、人命に影響を及ぼしかねない偽情報に海外からの「インプ...
資料ダウンロード
