Google Threat Intelligence Group（GTIG）は2026年5月11日、生成AIを悪用するサイバー攻撃の最新動向をまとめた「GTIG AI Threat Tracker（Google脅威インテリジェンスグループAI脅威追跡レポート）」を公開しました。2026年2月の前回報告以降に観測された攻撃者の動きを整理したもので、生成AIが攻撃の準備や実行に組み込まれ始めていること、さらにAIシステムそのものが価値の高い標的になっていることを示しています。

レポートでは、大きく3つの動きが取り上げられています。AIによって発見、武器化された可能性が高い初のゼロデイ脆弱性、AIを内部に組み込んだ自律型マルウェア、そしてAIサプライチェーンを経由する新しい侵入経路です。攻撃者がAIを単なる文章作成ツールではなく、調査、開発、偵察、回避、侵入のための作業基盤として使い始めている実態が見えてきます。

GTIGが公開した「AI Threat Tracker」は、生成AIがサイバー攻撃の各工程に組み込まれていく実態を整理した報告書です。

AIが関与したと見られる初のゼロデイ脆弱性が見つかった

今回のレポートで特に注目されるのが、AIによって発見され、攻撃に使える形に加工された可能性が高いゼロデイ脆弱性の事例です。GTIGは、サイバー犯罪グループが大量攻撃に向けて準備していた脆弱性について、AIが関与した疑いが強い初のケースだと評価しています。

世界中で広く使われているオープンソースのWeb管理ツールが標的になりました。見つかったのは、2要素認証を回避できる論理的なバグです。GTIGは影響を受けたベンダーと連携し、責任ある開示の手順に沿って対応を進めた結果、攻撃が実行される前に被害を防げたと説明しています。

GTIGがAIの関与を疑った手がかりは、攻撃に使われたPythonスクリプトでした。コードには、教育用の教材のように丁寧な解説コメントが付いていたのです。実在しないCVSSスコアも書き込まれており、これは生成AIがもっともらしく誤った情報を出すハルシネーションと見られます。全体の構造も教科書的に整っており、大規模言語モデルが生成したコードに近い特徴が複数見られました。

脆弱性の中身も、従来の検査ツールが見つけやすい典型的なバグではありませんでした。問題は、開発者がコードの中に置いた「ここは信頼してよい」という前提と、2要素認証の処理が食い違っていた点にありました。単に危険な関数や不正な入力を探すだけではなく、処理の意味を読み取らなければ見つけにくい欠陥だったのです。

生成AIは、コード中のコメントや条件分岐をまとめて読み、開発者の意図を推測する作業に強みがあります。従来の静的解析ツールはクラッシュや危険な入力処理の検出を得意としますが、生成AIは処理の流れや前提の矛盾を追う使い方にも向いています。今回の事例は、その能力が防御だけでなく攻撃にも転用され得ることを示しました。

従来の静的解析ツールとLLMは得意分野が異なり、本来は互いの弱点を補う関係にあります。

国家系の攻撃者はAIを脆弱性研究の作業机として使い始めた

中国や北朝鮮と関連する複数の脅威グループも、AIを脆弱性研究やエクスプロイト開発に取り込んでいます。中国系のUNC2814は、「上級セキュリティ監査人」や「バイナリ解析の専門家」といった役割をAIに与え、市販ルーターのファームウェアや業務用ファイル転送プロトコルの実装を分析させていました。AIの安全対策を回避するため、正当な研究に見えるシナリオを作って応答を引き出す手法です。

さらに、過去に中国のバグバウンティサイトWooYunが集めた8万5000件超の実脆弱性データをもとにした独自スキルを、AIに読み込ませる試みも確認されています。過去の脆弱性パターンを与えることで、AIは単なるコード補完ツールではなく、熟練アナリストのように怪しいロジックを優先して調べるようになります。

北朝鮮系のAPT45では、異なるCVEと概念実証コードをAIに繰り返し検証させる動きも見られました。数千件規模のプロンプトを送り続け、人手だけでは難しい規模で脆弱性研究を自動化していたのです。

ただし、AIによってまったく新しい攻撃手法が突然生まれているわけではありません。狙われているのは、既知の脆弱性、古いファームウェア、放置された管理画面、認証まわりの例外処理など、以前から危険視されてきた場所です。変わったのは、それらを探す速度と細かさです。攻撃側の探索が速くなるなら、防御側も資産管理、パッチ適用、ログ監視をこれまで以上に細かく回すことが求められます。

国家系アクターは大量のプロンプトと過去の脆弱性データを組み合わせ、AIを熟練アナリストのように使い始めています。

マルウェアはAIで作られるだけでなくAIを内部に取り込み始めた

マルウェア開発でも、AIの使われ方は変わり始めています。GTIGはPROMPTFLUX、HONESTCUE、CANFAIL、LONGSTREAMといった検体を継続的に追跡してきました。これらの検体には、AIの支援を受けながらコードを書き換えたり、難読化したりする特徴があります。

中でもロシア系の活動と推定されるCANFAILとLONGSTREAMは、ウクライナの組織を狙った攻撃で確認されました。これらの検体には、本来の悪意ある処理を隠すための「おとりコード」が大量に含まれていました。LONGSTREAMでは、夏時間の状態を問い合わせる処理が32回も繰り返されており、無害に見える処理で監視を混乱させる狙いがあると指摘されています。

さらに踏み込んだ事例が、Androidを標的にしたバックドア「PROMPTSPY」です。GTIGは、GeminiのAPIを利用する自律エージェントが未報告の用途で使われていることを突き止めました。PROMPTSPYは感染した端末の画面構造をAIに送り、返ってきた指示に従ってタップやスワイプなどの操作を再現します。あらかじめ決められた命令を実行するだけでなく、画面の状態を読み取って次の動きを選ぶマルウェアなのです。

PROMPTSPYには、生体認証用のPINやロックパターンを盗み出して再生する機能もありました。さらに、アンインストール画面のボタン位置をリアルタイムに割り出し、透明な画面を重ねて操作を妨害するロジックも備えていました。被害者がアンインストールしようとしても、ボタンが反応しないように見える厄介な仕掛けです。

Googleは関連アセットをすでに無効化し、Google Play上に該当するアプリは確認されていないと報告しています。

PROMPTSPYは、画面の状態を読み取って次の操作を判断するエージェント的な構造を、マルウェア内部に持ち込んでいます。

偵察と情報操作とLLMへの匿名アクセスも加速している

日常的な攻撃支援では、偵察や情報収集の自動化が目立ちます。攻撃者はAIを使い、財務、内部セキュリティ、人事といった重要部門の組織図や取引関係を調べ、管理権限を持つ人物に向けたフィッシングメールを作っています。標的の写真からPCの機種を推定しようとする試みも観測されており、攻撃前の下調べはさらに細かくなりました。

情報操作の領域では、親ロシア派キャンペーン「Operation Overload」が、実在するジャーナリストの音声を合成し、報道番組のような偽動画を量産しています。本物の映像に偽の音声を組み合わせ、メディアの信頼性を悪用する手口です。

GTIGは、生成AIが情報工作にまったく新しい能力を持ち込んだというより、記事作成や翻訳、音声合成、画像生成、動画素材の作成といった既存の作業を高速化している段階だと見ています。情報操作の構造そのものが急に変わったのではなく、作業量と展開速度が増しているのです。

LLMへのアクセスを匿名化する動きも広がっています。中国系のUNC6201は、GitHub上の自動アカウント生成スクリプトを使い、CAPTCHAやSMS認証を回避してプレミアム枠のAIアカウントを大量に取得していました。別のグループでは、複数社のAIアカウントをまとめて使うリレーサービスや、複数モデルへ透過的にアクセスできる中継基盤も確認されています。

検知回避ブラウザまで併用されており、AIサービスの利用そのものを隠しながら攻撃に組み込む動きが進んでいます。攻撃オペレーションは、個人の手作業ではなく、より工業化された仕組みに近づいています。

攻撃者は自動登録やプロキシを組み合わせ、AIサービスを大量かつ匿名に使う仕組みを整え始めています。

AIを導入した企業はモデル本体だけでなく周辺部品まで守る必要がある

ここまでは、攻撃者がAIを武器として使う話でした。一方で、AIシステムそのものも攻撃対象になっています。フロンティアモデルの安全機構を正面から破るのは依然として難しいため、攻撃者はAIを取り巻く周辺部品を狙っています。具体的には、オープンソースの連携ライブラリ、APIコネクタ、スキル設定ファイルなどです。

2026年2月にはVirusTotalが、AIエージェント基盤OpenClawで配布されるスキルパッケージについて、脆弱性と悪意あるパッケージ流通の問題を報告しました。OpenClawは高い権限を持つため、不正なスキルが取り込まれると、コード実行や認証情報の窃取につながる恐れがあります。OpenClawは対策として、公式スキル配布サイトに自動セキュリティスキャンを組み込み、危険な命令を検出した時点で警告や公開停止を行う運用へ移行しました。

さらに、2026年3月下旬にはサイバー犯罪グループ「TeamPCP」（別名UNC6780）が、TrivyやLiteLLMといった著名なGitHubリポジトリ（ソースコードを共有・管理するオンライン上の保管場所）の侵害を主張する事案も発覚しました。攻撃者は、PyPIパッケージの汚染や悪意あるプルリクエスト（コード変更の提案）を通じて初期アクセスを得たと見られています。そのうえで、SANDCLOCKと呼ばれる認証情報窃取ツールをビルド環境に仕込み、AWSキーやGitHubトークンを抜き取っていました。

中でもLiteLLMは、複数社のAIモデルをまとめて扱うゲートウェイとして広く使われています。ここからAPIシークレットが流出すれば、攻撃者は内部のAIモデルを足がかりにして、機密情報の収集や横展開へ進む可能性があります。AIの周辺ツールは便利な一方で、侵入経路にもなり得るのです。

防御側でもAIの活用は進んでいます。Googleは、未知の脆弱性を自律的に探すAIエージェント「Big Sleep」や、コードの欠陥を自動修正する「CodeMender」を実戦投入しています。攻撃側だけでなく、防御側でもAIが中心的な役割を担い始めました。

日本の企業や開発者にとって、AIゲートウェイやプラグイン、依存パッケージは業務を便利にする部品である一方、攻撃者に狙われる入口にもなります。AIを導入するなら、モデル本体だけでなく、周辺部品の棚卸し、ログの取得、権限の制限、継続的な更新まで含めて運用する必要があります。便利な仕組みほど攻撃面も広がる。この前提に立った管理が求められています。

AIの周辺ツールを狙うサプライチェーン攻撃の経路と、企業が取るべき対策のポイント。