攻撃者がAIを活用した脆弱性悪用、運用の強化、初期アクセスへの利用

#Tech

攻撃者がAIを活用した脆弱性悪用、運用の強化、初期アクセスへの利用 AI駆動型攻撃の産業化

敵対者は、生成AIを悪意のあるワークフローの中核として活用し、攻撃の産業的な規模へと移行しています。

AIは、ゼロデイ脆弱性の発見やエクスプロイトの生成といった、より高度な攻撃段階を大きく加速させています。

AIを活用したコーディングは、多態性マルウェアや防御回避技術の開発を迅速化しており、自律的なマルウェア運用を可能にしています。

また、深層偽造による情報作戦(IO)や、AI環境をターゲットとしたサプライチェーン攻撃など、脅威の領域は拡大しています。

Googleの脅威インテリジェンスグループ(GTIG)が、生成AIがサイバー攻撃の「産業規模」で活用され始めている現状を報告しました。本レポートは、AIが攻撃者にとって強力なエンジンであると同時に、新たな攻撃対象ともなりつつある、脅威環境の二面性を浮き彫りにしています。AI技術の進化が、いかにサイバー攻撃のあり方を根本的に変えつつあるのか、その具体的な動向を解説します。

AIによる脆弱性発見と悪用

GTIGは、AIによって開発されたと見られるゼロデイエクスプロイト(未公開の脆弱性を突く攻撃コード)を使用する脅威アクターを初めて特定しました。これは、AIが攻撃の初期段階である脆弱性発見から、具体的な攻撃コード生成までを劇的に加速させていることを示しています。特に中国(PRC)や北朝鮮(DPRK)関連の脅威アクターが、AIを活用した脆弱性発見に強い関心を示している点も注目されています。AIは、攻撃者が高度な専門知識を必要とせずとも、洗練された攻撃を容易に実行できる環境を作り出しているのです。

自律型マルウェアと防御回避技術

AIの活用は、マルウェアの進化にも直結しています。例えば「PROMPTSPY」のようなAI搭載型マルウェアは、システムの状態をAIが解釈し、動的にコマンドを生成・実行する「自律型攻撃オーケストレーション」への移行を示唆しています。また、AIによるコーディング支援は、攻撃者が防御システムを回避するための難読化ネットワークや、AI生成のデコイ(偽装)ロジックをマルウェアに組み込む開発サイクルを加速させているとのことです。これにより、従来のセキュリティ対策をすり抜ける高度な攻撃が実現しています。

サプライチェーン攻撃へのAI利用

脅威アクターは、AI環境やソフトウェアの依存関係を初期侵入経路として狙うサプライチェーン攻撃を開始しています。例えば「TeamPCP」(UNC6780)といったグループが、AIソフトウェアの脆弱性を突く動きが見られます。この攻撃は、単にシステムに侵入するだけでなく、ランサムウェアの展開や恐喝といった破壊的な活動へとピボット(転換)することを目的としています。また、攻撃者は、利用制限を回避するためにプロフェッショナルなミドルウェアを経由した匿名性の高いAIモデルへのアクセスを試みている状況です。

まとめ

AIは、攻撃者の能力を飛躍的に高める「力増幅装置」として機能しています。一方で、Googleのような防御側もAIエージェントを活用して脆弱性を自動で発見・修正するなど、AIを防御に転用する動きも加速しています。この技術の攻防戦は、今後も激化していくと見られています。

原文の冒頭を表示(英語・3段落のみ)

Executive Summary

Since our February 2026 report on AI-related threat activity, Google Threat Intelligence Group (GTIG) has continued to track a maturing transition from nascent AI-enabled operations to the industrial-scale application of generative models within adversarial workflows. This report, based on insights derived from Mandiant incident response engagements, Gemini, and GTIG’s proactive research, highlights the dual nature of the current threat environment where AI serves as both a sophisticated engine for adversary operations and a high-value target for attacks. We explore the following developments:

Vulnerability Discovery and Exploit Generation: For the first time, GTIG has identified a threat actor using a zero-day exploit that we believe was developed with AI. The criminal threat actor planned to use it in a mass exploitation event but our proactive counter discovery may have prevented its use. Threat actors associated with the People’s Republic of China (PRC) and the Democratic People's Republic of Korea (DPRK) have also demonstrated significant interest in capitalizing on AI for vulnerability discovery.

※ 著作権に配慮し、引用は冒頭3段落までです。続きは元記事をご覧ください。

元記事を読む ↗