HalluSquatting:巨大ボットネット構築を可能にし得る新たなプロンプトインジェクション攻撃手法 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > デイリーサイバーアラート > HalluSquatting:巨大ボットネット構築を可能にし得る新たなプロンプトインジェクション攻撃手法

デイリーサイバーアラート

AI

DDoS

Silobreaker-CyberAlert

HalluSquatting:巨大ボットネット構築を可能にし得る新たなプロンプトインジェクション攻撃手法

佐々山 Tacos

佐々山 Tacos

2026.07.09

HalluSquatting:巨大ボットネット構築を可能にし得る新たなプロンプトインジェクション攻撃手法

ArsTechnica – 2026年7月8日

AIコーディングエージェント/アシスタントによるハルシネーション(幻覚)傾向を悪用した新たな攻撃手法「HalluSquatting(ハル・スクワッティング)」について、テルアビブ大学の研究チームなどが報告。これは、AIが頻繁にでっち上げる虚偽のリポジトリ名などをあらかじめ特定・登録し、AIアシスタントがこの隠しプロンプト入りの偽リソースへアクセスするのを待つというもので、条件次第では、ボットネットを構築する手段にもなり得るほどの大規模な間接プロンプトインジェクション攻撃を仕掛けることが可能になるという。

 

LLMは、ユーザーに指定された特定のリソース(コードリポジトリやエージェント用スキルなど)の場所を正確に特定する能力を持たず、この点がHalluSquattingの起点となる。研究チームによれば、コーディングエージェントに対し、人気のある新しいリポジトリやトレンド入りしているスキルをクローンするよう指示すると、リポジトリの場合は85%、スキルの場合は100%の確率でハルシネーションが発生するのが確認されたという。

 

こうした新しい、またはトレンド入り中のリソースはLLMの学習内容に含まれていない上、短い期間に多数ダウンロードされることから、HalluSquattingにおいては特にこれらのリソースが標的となる。この攻撃は、ハルシネーションの問題をタイポスクワッティングを思わせる手法によって悪用するもので、大まかに以下の流れで実行可能とされる。

  • 標的の選定:多くのユーザーがAIに「これを取得せよ」と頼むようなトレンド入り中のリポジトリやプラグイン、スキルなどを探す。
  • ハルシネーションの理解:標的となるリソースをフェッチするよう繰り返しAIに指示し、AIがでっち上げる回数が特に多かった架空のリソース名を記録しておく。
  • 偽の名前の登録:この架空のリソース名をGitHubまたはプラグインストアなどで登録し、悪意ある指示(プロンプト)を仕込んでおく。
  • AIが罠にかかるのを待機:実際の人間のユーザーが自らのAIアシスタントに対して標的リソースの取得を依頼するのを待つ。このアシスタントが、攻撃者が特定したのと同一の架空の名前をハルシネーションし、攻撃者が用意した偽リソースから情報を取得すると、隠されたプロンプトがアシスタントにより読み込まれ、悪意ある指示が遂行される。

 

研究チームによれば、HalluSquattingは従来のような被害範囲が限定されるプロンプトインジェクション攻撃とは異なり、大規模ボットネットの構築や大規模なDDoS攻撃の実施などに使われる恐れがあるという。テストにおいては、Cursor、Cursor CLI、Gemini CLI、Windsurf、GitHub Copilot、Cline、OpenClaw、ZeroClaw、NanoClawなどのAIコーディングアシスタント/エージェントに対してこの攻撃が有効だったとされる。

 

この種の攻撃によるリスクを緩和するためには、エージェントがリポジトリやパッケージを取得する前に、その名前が想定通りの実際のソースに解決されることを確認する、AIから提示された名前は事実ではなく推測として扱うようにするなど、人間によるダブルチェックが重要になる。

データ窃取やマルウェア実行性能を持つ悪性AIスキルが数千件見つかる

Help Net Security – July 8, 2026

「H1 2026 ESET Threat Report」によると、AIエージェントにデータ窃取やマルウェア実行などを可能にさせる悪意あるスキルが数千件見つかっているという。

 

AIエージェントは、ユーザーに代わって自律的にWeb閲覧や外部ツールの使用、コマンド実行、タスク遂行などを行うことができるが、こうした挙動は「スキル」と呼ばれる指示スクリプトに支えられている。ESETはこうしたAIスキルおよそ90万件を分析。その結果、不審なスキルが25,000件超、悪意あるスキルが3,000件超見つかったとされる。

 

これらの数値は、2026年3月〜5月の間に急増したと伝えられており、当初はスキル全体の数が6万件だったものが90万件近くへと大幅に増加。また不審なスキルは約1万件から2.5万件へ、悪意あるスキルは600件から3,000件へと同様に大きく増えていたという。

 

特定された悪意あるスキルの機能は、コマンド実行やファイルへのアクセス、サードパーティツールのダウンロード、認証情報のロード、コードインジェクション、難読化など。これらは正規のタスクにも使われ得るものの、同時にデータ窃取やマルウェアの実行、AIエージェントの不正操作、システムへの不正アクセスといった目的にも悪用できる。

 

「AIスキルは、自動化された偵察やレッドチーム式の攻撃から、スパムの生成、マルウェアの改変、配布に至るまで、多岐にわたるAIエージェントの悪用を可能にする」とESETのアナリストは指摘。攻撃者はセキュリティコントロールを回避するため、こうした手法を「今後も試し続けるだろう」との見解を示している。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ