Google Warns of Hackers Using AI to Create Working Zero-Day Exploit
2026/05/11 CyberSecurityNews — Google Threat Intelligence Group (GTIG) が公開したのは、敵対的ワークフローにおいて生成 AI が急速に産業化している実態を詳述する、憂慮すべき内容の報告書である。その中で最も重要な発見は、サイバー犯罪シンジケートが AI 支援のみを用いて、実用的なゼロデイ・エクスプロイトの開発に成功した点である。この Python ベースのエクスプロイトは、人気のオープンソース Web 管理ツールにおける二要素認証 (2FA) をバイパスする目的で設計されていた。
GTIG の 2026年 Q2 レポートによると、複数の脅威アクターたちが協力し、人気のオープンソース Web ベース管理ツールを標的とする、大規模なエクスプロイト・キャンペーンを計画していたという。発見されたエクスプロイトは、当該プラットフォーム上で 2FA をバイパスする Python スクリプトであり、解析の結果、AI により生成された可能性が高いことが示唆された。
AI によるゼロデイ攻撃
このエクスプロイトの特徴として挙げられるのは、過剰な教育的修正の記述/幻覚により生成された CVSS スコア/LLM 特有の整然とした教科書的 Python 構造などであった。影響を受けるベンダーに対して GTIG は責任ある開示を行い、大規模なキャンペーンが実行される前に攻撃活動を阻止した。
このエクスプロイトが悪用を試みた脆弱性は、メモリ破損や入力検証不備ではなく、高レベルなセマンティック・ロジックの欠陥であり、2FA 適用ロジックにハードコードされた信頼の前提に起因するものである。従来の SAST ツールやファジングでは検出が困難だが、最先端の LLM を用いれば、この種の高レベルなロジック欠陥を特定できることが示された。
このようなサイバー犯罪グループに加えて、中国 (PRC) /北朝鮮 (DPRK) 関連アクターも AI を体系的に活用し、脆弱性の発見から大規模な攻撃の展開までをカバーしていることを、GTIG は確認している。
たとえば UNC2814 は、高度なペルソナ・ドリブン・ジェイルブレーキング手法を用いて、Gemini に C/C++ バイナリ・セキュリティ専門家として振る舞わせ、TP-Link ファームウェアおよび OFTP 実装を解析させた。
その一方で APT45 は、数千回の反復プロンプトを送信して CVE 分析および PoC 検証を自動化し、AI 強化型の攻撃ツール群を構築している。さらに APT27 は、Gemini を悪用し、侵入元を隠蔽するために “maxHops=3” をハードコードし、モバイル・デバイスを種別する ORB ネットワーク管理アプリを開発している。
Gemini を搭載したマルウェア PROMPTSPY
この報告書で最も憂慮すべき発見の一つが、 ESET により発見された Android バックドア PROMPTSPY であり、Gemini API を実行フローへと直接統合するものだ。
PROMPTSPY の GeminiAutomationAgent モジュールは、端末の UI 階層を XML 化して gemini-2.5-flash-lite モデルへ送信し、CLICK/SWIPE などのジェスチャーを含む JSON コマンドを受信することで、人間の介入なしに被害端末を自律的に操作する。
さらに、このマルウェアは生体情報を取得し、不可視オーバーレイを表示してアンインストールを防止するほか、C2 インフラおよび Gemini API キーを実行する際の動的ローテーションにより防御側の対策を回避する。ただし、その後に Google が関連インフラを無効化したことで、Google Play 上で感染アプリは確認されていない。
ウクライナ組織を標的とするロシア関連アクターも AI を活用しており、CANFAIL や LONGSTREAM といったマルウェアは、LLM が生成したデコイ・ロジックを介して悪意の機能を隠蔽している。
この LONGSTREAM は、コード全体に 32 件の冗長な夏時間関連クエリを挿入し、静的解析ツールに対して無害に見せるよう設計されている。また、HONESTCUE は Gemini API とリアルタイムで通信し、VBScript 難読化コードを動的生成することで、シグネチャ・ベースの検知を回避している。
難読化およびインフラ悪用
国家支援型グループとサイバー犯罪グループは、AI ガードレールや課金制限を回避するための専門化されたミドルウェア・エコシステムを、単純な API 利用に依存しない形で構築している。
UNC6201 は GitHub 上の Python スクリプトを利用し、LLM アカウントの登録/CAPTCHA 回避/SMS 認証/即時解約を自動化し、無料クレジットを循環利用していた。UNC5673 は、 “Claude-Relay-Service” や “CLI-Proxy-API” を展開し、複数の Gemini/Claude/OpenAI アカウントを集約していた。
2026年3月下旬には、TeamPCP (UNC6780) が、Trivy/Checkmarx/LiteLLM/BerriAI 関連 GitHub リポジトリに対する組織的サプライチェーン攻撃を実施した。このグループは、SANDCLOCK 情報窃取ツールを埋め込み、CI/CD 環境から AWS キーや GitHub トークンを直接取得し、その後のランサムウェアや恐喝を通じて収益化を達成していた。
複数の LLM プロバイダーを統合する、AI ゲートウェイとして広く使用されている LiteLLM への侵害は特に深刻である。その結果として、AI API シークレット漏洩が生じ、脅威アクターによる企業ネットワークへの侵入や、AI を悪用した大規模な偵察活動が容易になってしまう。
防御側における AI 活用
Google も、防御を目的とする AI の積極的な活用を展開している。同社は、Big Sleep エージェントを介して脆弱性を発見し、CodeMender AI エージェントによる自動的な修正を実施している。その他にも、Gemini の悪意のアカウントに関しては検知した直後に無効化し、Google Play Protect により、Android 端末を既知の PROMPTSPY 亜種から自動保護している。
LLM 統合環境が高度な攻撃者の主要標的となる中、CI/CD パイプライン/GitHub トークン/AI 依存チェーンに対する監査の必要性が急務であると、GTIG は強調している。
訳者後書:今回の報告書では、 AI が攻撃者の強力な武器となっている現状が詳しく示されています。特に注目すべき原因は、メモリ破損のようなプログラムの記述ミスではなく、人間が設計した論理的な仕組みの隙を突くセマンティック・ロジック欠陥が悪用された点です。 2FA (二要素認証) の適用ロジックに潜んでいた “特定の条件下では信頼する” というハードコードされた前提が、AI による高度なコード解析で見抜かれてしまいました。また、PROMPTSPY のように、AI モデル自体をマルウェアの制御ロジックに組み込み、UI 操作を自律化させる手法も確認されています。攻撃者が AI ガードレールを回避する専用のミドルウェアを構築し、トークンや API キーといった認証情報を組織的に狙っていることが、被害を深刻化させる大きな要因となっています。
IoT OT Security News 
You must be logged in to post a comment.