Google が警告する Gemini の悪用:段階マルウェア用の C# コードを動的に生成する脅威アクターとは?

Google Warns of Hackers Leveraging Gemini AI for All Stages of Cyberattacks

2026/02/12 CyberSecurityNews — 従来の検出手法を回避する脅威アクターたちは、Google の Gemini API を悪用することで、多段階マルウェア用の C# コードを動的に生成し始めている。Google Threat Intelligence Group (GTIG) は、2025年9月に観測された HONESTCUE フレームワークに焦点を当てた調査を実施し、その結果を 2026年2月の AI Threat Tracker レポートに詳述している。

HONESTCUE はダウンローダー兼ランチャーとして動作し、ハードコードされたプロンプトで Gemini API を照会し、自己完結型 C# ソースコードを取得する。このコードは、第 2 段階の機能を実装し、Discord などの CDN 上の URL からペイロードを取得するが、ディスク上に痕跡を残さない。

HONESTCUE malware leveraging GeminiAI
HONESTCUE malware leveraging GeminiAI (Source: Google)

その後にマルウェアは、正規の .NET CSharpCodeProvider を使用して、受信したコードをメモリ上で直接コンパイル/実行する。それにより、静的分析および振る舞い検知は困難になる。

この開発者はサンプルを反復的に改良し、単一アカウントから VirusTotal へ提出していたことから、小規模チームによる PoC エクスプロイト・テストだと推測される。

コンテキストから外れたプロンプトは無害に見える。たとえば、単純な “AITask” クラスを要求して “Hello from AI-generated C#!” と出力させるものもあれば、WebClient を用いた URL ダウンロード/テンポラリ・ファイル書き込み/メモリ内 Assembly を実行する “Stage2” クラスを指定するものもある。

脅威アクターによる Gemini 悪用

プロセスは階層構造で展開される。

  • API Call:マルウェアが静的プロンプトを Gemini へ送信し、コンパイル可能な C# を受信する。
  • Dynamic Compilation:CSharpCodeProvider により、レスポンスを実行可能 Assembly へ変換する。
  • Payload Delivery:第 2 段階のペイロードが、攻撃者管理 URL (多くは Discord CDN) からバイト列を取得し、Process.Start またはリフレクションで実行する。
Clickfix Attack Chain
Clickfix Attack Chain (Source: Google)

この手法は、GTIG が以前に特定した PROMPTFLUX の “just-in-time” 技術と類似するが、コード生成を外部へ委譲している点が異なる。GTIG によると、プロンプトには明示的な悪意が含まれないため、Gemini のセーフガードを回避し、正規開発クエリに紛れ込む。

この脅威アクターは、偵察からツール作成までの各段階で Gemini を統合している。GTIG が追跡したのは、北朝鮮/イラン (APT42)/中国 (APT31/UNC795/APT41)/ロシア系グループによる、フィッシング/脆弱性調査/C2 スクリプト作成での悪用である。

たとえば APT31 は、セキュリティ研究者を装いながら、RCE および WAF バイパスを探った。APT がパラダイムシフトを引き起こし、画期的な手法を生み出した事例はないが、生産性向上により作戦速度は加速している。

HONESTCUE の設計は、実行ごとに生成コードを変化させることで、シグネチャベースのアンチウイルスやネットワークフィルタを回避する。GTIG によると、Discord ボットを用いたテストや VirusTotal への反復アップロードから、背後で操るアクターの技量は限定的であるとされ、典型的な APT と比較してリソースも限られているという。

さらに広範な傾向として判明したのは、Xanthorox と呼ばれるアンダーグラウンド “custom AI” が存在し、MCP サーバ経由で jailbreak 済みの Gemini をプロキシしている。

PhaseKey Evasion TacticDetection Hurdle
Stage 1Gemini API queryLegit traffic to googleapis.com
Stage 2In-memory compileNo disk IO
Stage 3CDN payloadTrusted domains like Discord

Google が実施した対抗策は、アカウント無効化/モデル強化/リアルタイム分類器の適用である。これら事例を踏まえ、ポリシー違反リクエストを拒否するよう Gemini が強化された。

防御側にとって必要なことは、API 異常 (大量コード生成クエリ) の監視と、異常な Gemini トラフィックの遮断、メモリ内 .NET ロードの検査である。

CSharpCodeProvider の使用や Discord CDN 取得に関する振る舞いルールを、マルウェア IOC と組み合わせることが有効である。GTIG はハンター向けに、GTI Collections で IOC を共有している。AI ツールが拡散する中、ネットワーク・テレメトリとランタイム検査を組み合わせた、ハイブリッド防御が不可欠となっている。

ImmuniWeb の CEO である Dr. Ilia Kolochenko は、以下のように述べている。

Dr. Ilia Kolochenko — これは GenAI に対する投資家の関心低下および失望拡大の中で実施された、Google による AI 技術に対する拙劣な PR のように見える。

第一に、APT が GenAI をサイバー攻撃に利用しているとしても、それは GenAI が高度なマルウェアを生成したり、攻撃の完全なキルチェーンを実行できると意味するものではない。GenAI は、一部の単純プロセスを加速/自動化できるが、ハッキングにおける全能性を示すものではない。

第二に、Google は法的リスクを抱える可能性がある。国家支援グループやサイバーテロリストが、Google の AI 技術を悪用していると認識している場合には、対象となる脅威アクターによる損害について責任を問われ得る。ガードレール構築や強化された顧客デューデリジェンスは大きなコストを伴わないため、それらの悪用は防止可能であった可能性がある。最終的に、誰が責任を負うのかという問題が残り、Google が説得力ある回答を示せる可能性は低い — Dr. Ilia Kolochenko

Google の Gemini API を悪用し、マルウェアの実行に必要なコードをその場で生成させるという、新たな攻撃手法 HONESTCUE フレームワークについて解説する記事です。この問題の原因は、マルウェアが自身のプログラム内にすべての攻撃機能を持つのではなく、Gemini APIに問い合わせて実行可能な C# コードを取得し、メモリ上で組み立てる設計にあります。これにより、ファイルとして保存されるコード (静的データ) には決定的な悪意が含まれず、さらに Gemini への問い合わせ内容 (プロンプト) もプログラミングの相談事に見えるため、従来のウイルス対策ソフトや AI の安全フィルターをすり抜けてしまうという不備が生じています。Dr. Ilia Kolochenko は、Google の姿勢や法的責任について厳しい見解を示しています。ご利用のチームは、ご注意ください。よろしければ、Gemini での検索結果も、ご参照ください。