Google Threat Intelligence Group(GTIG)は2026年5月12日、敵対者がAIを脆弱性悪用、作戦強化、初期アクセスに活用する動向を分析した報告書を公開した。
GTIGはAIで開発されたとみられるゼロデイ・エクスプロイトを使用する脅威アクターを初めて特定した。中国関連のUNC2814はTP-LinkファームウェアやOFTPの研究にGeminiを利用し、APT45はCVE分析に数千のプロンプトを送信した。AndroidバックドアPROMPTSPYはgemini-2.5-flash-liteを呼び出し自律的に動作する。
ロシア関連はCANFAILとLONGSTREAMでデコイコードを生成しウクライナを標的とした。2026年3月下旬にはTeamPCP(UNC6780)がLiteLLM、BerriAI、Trivy、Checkmarxを侵害し、SANDCLOCKでAWSキーやGitHubトークンを窃取した。
【編集部解説】
このレポートが示しているのは、AIが攻撃者の「補助ツール」から「自律的な共犯者」へと進化した、という決定的な分岐点です。とりわけ「AIで開発されたゼロデイ脆弱性の世界初確認」という記述は、サイバーセキュリティ史における転換点の宣言と読むべきものです。
注目していただきたいのは、今回のゼロデイが従来型の脆弱性とは性質が異なるという点です。原文が指摘するように、これはメモリ破壊や入力検証ミスといった「実装エラー」ではなく、開発者が信頼の前提をハードコードしてしまったという「意味論的論理欠陥」でした。ファザーや静的解析ツールが見逃しがちな、人間の意図と矛盾するロジックの綻び――ここを突くのが、最先端LLMが得意とする領域なのです。
GTIGのチーフ・アナリストであるジョン・ハルトクイスト氏は他社メディアの取材に対し、「AI脆弱性レースは始まろうとしているのではなく、すでに始まっている。我々がAIに起因すると特定できた1件のゼロデイの背後には、我々が特定できていないものがさらに多く存在する可能性が高い。」と語っています。この発言は、今回の発見が氷山の一角に過ぎないことを示唆しています。
PROMPTSPYの存在も看過できません。これは「LLMをマルウェアの脳として組み込む」初期事例です。従来のAndroidバックドアは攻撃者が遠隔から手動操作する必要がありましたが、PROMPTSPYは画面を見て、状況を判断し、タップやスワイプを自律的に決定します。アンインストールボタンの上に透明なオーバーレイを被せて操作を無効化する手口は、AIによる「UIへの介入」が新たな攻撃面を開いたことを意味します。
日本のテクノロジー業界が留意すべき記述も含まれています。中国関連と疑われる脅威アクターが、エージェント型ツールであるHexstrikeとStrixを使い、日本のテクノロジー企業を標的にしていた事実です。AIエージェントが偵察から脆弱性検証までを最小限の人間の監督で完結させるこの攻撃は、日本にも到達していることが示されました。
サプライチェーン攻撃の側面では、LiteLLM侵害の意味の重さを強調しておく必要があります。LiteLLMは複数のLLMプロバイダー(OpenAI、Anthropic、Googleなど)を統合するゲートウェイ・ライブラリで、AI開発者にとっての「共通基盤」となっています。ここが侵害されれば、攻撃者は組織内部のAPIキー、ひいてはAIシステムそのものへのアクセスを得る可能性が生じます。AIの民主化を支えてきたオープンソース・エコシステム自体が、新しい攻撃対象になったのです。
ポジティブな側面も見落としてはなりません。Google DeepMindとProject Zeroが共同開発したBig Sleepは、すでに初の実世界脆弱性を発見しており、さらに脅威アクターによって差し迫って悪用されようとしていた別の脆弱性の発見にも貢献し、GTIGがそれを事前に断ち切ったとされています。Geminiの推論能力を使って重大なコード脆弱性を自動修復するCodeMenderも導入されました。攻撃者がAIを武器にするなら、防御者もAIで応戦する――「AI対AI」の時代の本格化を示す事実です。
規制面への波及にも触れておきます。国際通貨基金(IMF)は2026年5月7日付のブログで、AI駆動のサイバーリスクが急加速する状況下において、サイバーセキュリティを「金融安定の中核的課題」として政策当局が扱うべきだと提言しました。今回のGTIGレポートは、その問題提起に技術的な裏付けを与えるものといえます。
長期的な視点で見れば、本レポートは「脆弱性の発見・武器化・悪用の時間軸が圧縮され続けている」という現実を裏書きしています。ゼロデイの寿命は短くなり、防御側の対応時間も同じく短くなっていく――この非対称な競争で生き残るには、防御側もAIを使った継続的検証(continuous validation)へ舵を切るほかありません。innovaTopiaの読者である技術者・経営者の皆さまには、自社のセキュリティ態勢を「AIに対応できるか」という観点で問い直す契機となれば幸いです。
【用語解説】
意味論的論理欠陥(セマンティック・ロジック・フロー)
プログラムが構文的・実装的には正しく動作するものの、開発者が前提とした「意図」と実際のロジックの間に矛盾が生じている脆弱性のこと。従来の自動スキャナーでは検出が困難である。
ファザー(Fuzzer)/静的解析ツール
ファザーはプログラムに大量のランダムな入力を与え、クラッシュや異常動作を検出するツール。静的解析ツールはコードを実行せずに解析し、メモリ破壊や入力検証ミスといった既知のパターンを検出するソフトウェアである。
CVE(共通脆弱性識別子)
公開されたソフトウェア脆弱性に世界共通で割り当てられる識別番号。MITRE社が管理している。
PROMPTSPY
2026年初頭にESETが最初に特定したAndroidバックドア型マルウェア。Gemini APIを呼び出して画面UI構造を解析し、自律的にタップやスワイプを実行する点が新しい。
gemini-2.5-flash-lite
GoogleのGeminiモデル群のうち、軽量で高速応答に最適化されたバリエーション。PROMPTSPYはこのモデルを攻撃の意思決定エンジンとして利用した。
CANFAIL / LONGSTREAM
ロシア関連の脅威アクターがウクライナの組織を標的にしたAI対応マルウェア。LLMが生成したデコイ(おとり)コードを大量に含み、悪意ある機能を難読化することで検出を回避する。
SANDCLOCK
TeamPCP(UNC6780)がサプライチェーン攻撃で利用した認証情報窃取マルウェア。侵害したビルド環境からAWSキーやGitHubトークンを抽出する。
TeamPCP(UNC6780)
2026年3月下旬、LiteLLM、BerriAI、Trivy、CheckmarxなどのGitHubリポジトリへのサプライチェーン侵害を主張したサイバー犯罪型脅威アクター。
UNC2814 / APT45
それぞれ脅威アクター(攻撃者集団)の識別コード。UNC2814は中国関連、APT45は北朝鮮関連と分析されている。「UNC」はUncategorized(未分類)、「APT」はAdvanced Persistent Threat(高度な継続的脅威)の略である。
OFTP(Odette File Transfer Protocol)
欧州の自動車業界を中心に、企業間のEDI(電子データ交換)で使用される標準ファイル転送プロトコルのこと。
Hexstrike / Strix
攻撃者がAIエージェントとして活用した自律型ペネトレーション・テスティング・フレームワーク。偵察、脆弱性検証、ツール間のピボットを自動化する。
【参考リンク】
Google Threat Intelligence(外部)
Mandiantの専門知識とGoogleの可視性、VirusTotalを統合した脅威インテリジェンス公式ページ。
Google Cloud Threat Intelligence Blog(外部)
GTIGによる脅威分析・レポートが公開される公式ブログ。本稿の元記事もここに掲載されている。
Gemini(外部)
Googleが開発した生成AIモデル群の公式サイト。本レポートでは攻撃側・防御側の両面で言及されている。
Google DeepMind(外部)
GoogleのAI研究部門の公式サイト。Big SleepやCodeMenderといった防御側AIエージェントを開発。
Google Project Zero(外部)
Googleの脆弱性研究チーム公式ブログ。Google DeepMindと共同でBig Sleepを開発している。
BerriAI(外部)
LiteLLMを開発しているチームのGitHubオーガニゼーション・ページ。
GitHub(外部)
ソースコード・ホスティング・プラットフォーム。今回サプライチェーン攻撃の経路となった。
Secure AI Framework(SAIF)(外部)
GoogleがAIシステム保護のために提唱する概念的フレームワークの公式サイト。
International Monetary Fund(IMF)(外部)
国際通貨基金の公式サイト。2026年5月7日付ブログでAI駆動サイバーリスクに関し提言を発表。
【参考記事】
The Hacker News – Hackers Used AI to Develop First Known Zero-Day 2FA Bypass for Mass Exploitation(外部)
GTIGレポート解説に加え、CISPA研究でGemini-2.5-flashの精度が83.82%から約37.00%に低下した事実を補足。
Infosecurity Magazine – Hackers Observed Using AI to Develop Zero-Day for the First Time(外部)
GTIGチーフ・アナリスト、ジョン・ハルトクイスト氏の「AI脆弱性レースはすでに始まっている」を掲載。
SecurityWeek – Google Detects First AI-Generated Zero-Day Exploit(外部)
中国関連アクターが日本のテクノロジー企業にHexstrikeとStrixを展開した事実を詳述している。
BleepingComputer – Google: Hackers used AI to develop zero-day exploit for web admin tool(外部)
APT27、APT45、UNC2814、UNC5673、UNC6201ら脅威アクターの動向を継続的トレンドとして整理。
SiliconANGLE – Google says criminals used AI to build a working zero-day exploit for the first time(外部)
GoogleのGTIGレポート全体を要約し、AI支援ゼロデイ、サプライチェーン侵害、情報工作を含む脅威全体像を紹介。
【編集部後記】
このレポートを読んで、皆さまはどんな未来を思い描いたでしょうか。AIが攻撃者の手にも、防御者の手にも渡る時代――その境界線は、私たちが想像するよりずっと薄いのかもしれません。普段お使いのスマートフォンやクラウドサービス、そして仕事で触れているオープンソースのライブラリにも、今回紹介した脅威はじわじわと近づいています。「AIに何ができるか」だけでなく、「AIに何をさせないか」という問いを、皆さまと一緒に考え続けていきたいと思っています。
