GTIG AI 脅威トラッカー: 攻撃者による脆弱性悪用、オペレーションの強化、初期アクセスのための AI 活用

※この投稿は米国時間 2026 年 5 月 12 日に、Google Cloud blog に投稿されたものの抄訳です。

エグゼクティブ サマリー

2026 年 2 月の AI 関連の脅威活動に関するレポート以降、 Google Threat Intelligence Group (GTIG) は、初期の AI を活用したオペレーションから、攻撃者のワークフローにおける生成モデルの産業規模での適用への成熟した移行を引き続き追跡しています 。 このレポートは、 Mandiant のインシデント対応エンゲージメント、 Gemini 、および GTIG のプロアクティブな調査から得られたインサイトに基づいており、 AI が攻撃者のオペレーションの高度なエンジンとして機能すると同時に、攻撃者にとっての価値の高いターゲットにもなるという、現在の脅威環境の二面性を強調しています 。 

• 脆弱性の発見とエクスプロイトの生成: GTIG は初めて、 AI を用いて開発されたと考えられるゼロデイ エクスプロイトを使用する脅威アクターを特定しました 。この犯罪者グループは、このエクスプロイトを大規模な攻撃キャンペーンで使用することを計画していましたが、私たちのプロアクティブかつ対抗的な発見により、その使用を防ぐことができた可能性があります 。また、中華人民共和国 (PRC) や朝鮮民主主義人民共和国 (DPRK) に関連する脅威アクターも、脆弱性の発見に AI を活用することに強い関心を示しています。

• 防御回避のための AI を活用した開発: AI を活用したコーディングにより、攻撃者によるインフラストラクチャ スイートやポリモーフィック型マルウェアの開発が加速しています 。これらの AI を活用した開発サイクルは、難読化ネットワークの作成や、ロシアとの関連が疑われる脅威アクターに紐づくマルウェアへの AI 生成によるおとりロジックの統合を可能にすることで、防御回避を容易にします 。

• 自律型マルウェア オペレーション: PROMPTSPY などの AI を活用したマルウェアは、モデルがシステムの状態を解釈して動的にコマンドを生成して被害者の環境を操作する、自律的な攻撃オーケストレーションへの移行を示しています 。このマルウェアの分析により、これまで報告されていなかった AI との統合の機能やユースケースが明らかになりました 。このアプローチにより、脅威アクターはオペレーション タスクを AI にオフロードし、スケーラブルで適応性の高い活動を実現できます 。

• AI を活用した調査と情報操作 (IO): 攻撃者は引き続き、攻撃のライフサイクルをサポートする高速な調査アシスタントとして AI を活用する一方で、自律型攻撃フレームワークを運用するための自律型エージェントによるワークフローへと移行しています 。情報操作 (IO) キャンペーンにおいて、これらのツールは、親ロシア派の IO キャンペーン「Operation Overload」に代表されるように、合成メディアやディープフェイク コンテンツを大規模に生成することで、ネット上での世論の捏造を容易にします 。

• 難読化された LLM へのアクセス: 脅威アクターは現在、使用制限を不正に回避するために、プロフェッショナル化されたミドルウェアや自動化された登録パイプラインを通じて、モデルへの匿名化されたプレミアム ティアのアクセスを追求しています 。このインフラストラクチャにより、大規模なサービスの悪用が可能になると同時に、トライアルの悪用やプログラムによるアカウントの循環を通じてオペレーションのコストを補填しています 。

• サプライチェーン攻撃: 「TeamPCP」 (別名 UNC6780) のような攻撃者は、初期アクセス ベクターとして AI 環境やソフトウェアの依存関係を標的とし始めています 。これらのサプライチェーン攻撃は、 Secure AI Framework (SAIF) のタクソノミーで概説されている複数種類の機械学習 (ML) に焦点を当てたリスク、すなわち「安全でない統合コンポーネント (IIC)」と「不正なアクション (RA)」をもたらします 。これらの攻撃に関連するフォレンジック データの分析により、侵害された AI ソフトウェアからより広範なネットワーク環境へピボットして初期アクセスを獲得し、ランサムウェアの展開や恐喝などの破壊的な活動に従事しようとする脅威アクターの試みが明らかになりました 。

攻撃者が実験やイノベーションをためらうことはめったにありませんが、私たちも同じです 。 GTIG の調査結果や緩和策をより広範なセキュリティおよび AI コミュニティと共有することに加え、 Google は、絶えず変化するこれらの脅威に先んじるためのプロアクティブな対策を講じています 。 Google は、ユーザーにスケーラブルな保護を提供するために、製品のセーフガードを強化しています 。 Gemini では、悪意のあるアカウントを無効にすることで、モデルの悪用を緩和しています 。 さらに、私たちは Big Sleep のような AI エージェントを活用してソフトウェアの脆弱性を特定し、 CodeMender のようなツールを通じて Gemini の推論機能を活用してそれらを自動的に修正することで、 AI が防御者にとっても強力なツールになり得ることを証明しています 。

ツールとしての AI

脅威アクターは、 AI を活用して攻撃ライフサイクルのさまざまな段階を強化しています 。 これには、脆弱性エクスプロイトやマルウェアの開発のサポート、コマンドの自律的な実行の促進、よりターゲットを絞った綿密な偵察の実現、ソーシャル エンジニアリングや情報操作の効果向上が含まれます 。

AI を活用した脆弱性発見とエクスプロイト開発

AI モデルのコーディング能力が向上するにつれ、攻撃者がゼロデイ脆弱性を含む脆弱性調査やエクスプロイト開発のための専門家レベルのフォース マルチプライヤー (戦力倍増ツール) として、これらのツールをますます活用するようになっているのを引き続き観察しています 。 これらのツールは防御のための調査を強化する一方で、攻撃者がアプリケーションをリバースエンジニアリングし、 AI によって生成された高度なエクスプロイトを開発するための障壁を下げます 。

国家支援型脅威アクターが脆弱性調査における高度な AI 活用アプローチを実証

様々な脅威アクターが脆弱性調査に AI を活用していることが確認されていますが、私たちは中華人民共和国 (PRC) や朝鮮民主主義人民共和国 (DPRK) に関連するいくつかの脅威活動クラスターから、特に強い関心が示されていることに注目しています 。 これらのアクターは、ペルソナ主導のジェイルブレイクの試みから始まり、専門的で忠実度の高いセキュリティ データセットを統合して脆弱性の発見とエクスプロイトのワークフローを強化するなど、 AI を活用した高度なアプローチをとっています 。

• 以前のブログ記事でも強調したように、脅威アクターは、 Gemini にプロンプトを入力するための構造化されたアプローチとして、サイバーセキュリティ専門家のペルソナを頻繁に活用します 。 たとえば、最近 UNC2814 が、シニア セキュリティ オーディターや C/C++ バイナリ セキュリティ エキスパートとして振る舞うようにモデルに指示することで、この専門家ペルソナ プロンプトの形式を使用しているのを確認しました 。 捏造されたシナリオは、TP-Link のファームウェアや Odette File Transfer Protocol (OFTP) の実装など、さまざまな組み込みデバイスのターゲットに対する脆弱性調査をサポートするために使用されました 。

図 1 : ペルソナ主導のジェイルブレイク (単純な形式のプロンプト インジェクション) をサポートするために使用される虚偽のシナリオの例

• より高度なユースケースとして、脅威アクターが「wooyun-legacy」と呼ばれる GitHub 上でホストされている専用の脆弱性リポジトリを実験しているのを観察しました 。 このプロジェクトは、 2010 年から 2016 年の間に中国のバグ バウンティ プラットフォーム WooYun によって収集された 85,000 件以上の実際の脆弱性事例の蒸留されたナレッジ ベースを統合した Claude のコード スキル プラグインとして設計されています。モデルに脆弱性データを事前に入力することで、コンテキスト内学習を促進し、モデルが経験豊富な専門家のようにコード分析にアプローチし、ベース モデルでは優先順位を付けられない可能性のあるロジックの欠陥を特定するように誘導します 。

脆弱性調査を追求する中で、自動化と大規模な調査の明確な兆候が見られます 。 リアルタイムのトラブルシューティングのために個別のプロンプトを活用することに加えて、 APT45 がさまざまな CVE を再帰的に分析し、PoC エクスプロイトを検証する何千もの反復的なプロンプトを送信しているのを観察しました 。 これにより、 AI の支援なしでは管理が非現実的なほど堅牢なエクスプロイト機能の武器庫が完成します 。

これらの活動を促進するために、攻撃者は OpenClaw や OneClaw のようなエージェンティックなツールと、意図的に脆弱にされたテスト環境を併用する実験も行っています 。 これらのツールを脆弱性調査と併用することは、展開前にエクスプロイトの信頼性を高めるために、制御された設定内で AI が生成したペイロードを洗練させることに関心があることを示唆しています 。

サイバー犯罪脅威アクターが AI を使用してゼロデイを発見し、武器化する

サイバー犯罪脅威アクターも、脆弱性開発に AI を活用することに引き続き関心を寄せています 。 注目すべき例の 1 つとして、著名なサイバー犯罪脅威アクターが提携して、大規模な脆弱性悪用オペレーションを計画しているのを観察しました 。 このキャンペーンに関連するエクスプロイトの分析により、広く利用されているオープンソースのウェブベースのシステム管理ツールの 二要素認証 (2FA) をユーザーがバイパスできるようにする、Python スクリプトで実装されたゼロデイ脆弱性が特定されました 。

GTIG は影響を受けるベンダーと協力して、この脆弱性を責任を持って開示し、この脅威活動を阻止しました 。 Gemini が使用されたとは考えていませんが、これらのエクスプロイトの構造とコンテンツに基づき、アクターがこの脆弱性の発見と武器化をサポートするために AI モデルを活用した可能性が高いと強く確信しています 。 たとえば、スクリプトには、ハルシネーションによって捏造された CVSS スコアを含む豊富な教育的ドックストリングが含まれており、LLM のトレーニング データに非常に特徴的な、構造化された教科書的な Python 形式 (詳細なヘルプ メニューやクリーンな _C ANSI カラー クラスなど) が使用されています 。

この脆弱性は 2FA バイパスとして分類できますが、そもそも有効なユーザー認証情報が必要です 。 これは、メモリ破損や不適切な入力サニタイズのような一般的な実装エラーから生じたものではなく、開発者が信頼の仮定をハードコーディングしたという高度なセマンティック ロジックの欠陥によるものです 。 ファザーや静的解析ツールはシンクやクラッシュを検知するように最適化されていますが、フロンティア LLM は、この種の高度な欠陥やハードコーディングされた静的な異常を特定することに優れています 。 フロンティア LLM は複雑な企業の認可ロジックをナビゲートするのに苦労しますが、コンテキストに応じた推論を実行する能力が高まっており、開発者の意図を効果的に読み取って、 2FA の適用ロジックとそのハードコーディングされた例外の矛盾を関連付けることができます 。 この機能により、モデルは、従来のレガシーなスキャナーでは機能的に正しく見えるものの、セキュリティの観点からは戦略的に壊れている休眠状態のロジック エラーを表面化させることができます 。

AI を活用した難読化: 回避とポリモーフィズム

GTIG は、複数の脅威アクターが AI モデルを使用してマルウェアやオペレーション サポート ツールを開発し、難読化機能を強化する実験を行っていることを確認しています 。 これには、ソース コードのジャスト イン タイムな動的変更を組み込み、動的なペイロード生成を可能にし、ORB ネットワーク管理ツールの開発を支援し、おとりコードを生成するための AI の革新的な応用が含まれます (表 1 ) 。 実験的であることが多いものの、この移行は AI 主導の回避型ソフトウェア スイートへの移行を浮き彫りにしています 。

表 1 : 観察された LLM 対応の難読化機能を持つマルウェア ファミリー

以前のレポートでは、コードを生成するために Gemini API を使用する実験で注目される PROMPTFLUX や、静的なシグネチャ ベースの検出を回避するために VBScript の難読化と回避の特定のテクニックを要求してジャスト イン タイムの自己変更を容易にするために Gemini の API と対話する HONESTCUE などのマルウェア ファミリーに焦点を当てました 。 このレポートでは、難読化と防御回避をサポートするために AI の支援を受けて作成された追加のツールとマルウェア ファミリーに焦点を当てます 。

まず、私たちは PRC に関連する脅威アクター APT27 に関連する活動を観察しました。同グループは Gemini を活用して、オペレーショナル リレー ボックス (ORB) ネットワークの管理をサポートする可能性が高いフリート管理アプリケーションの開発を加速させています 。 ツールの観察から、「maxHops」パラメーターが 3 ホップにハードコーディングされていることが明らかになりました。これは、通常 1 ホップに設定される VPN ではなく、匿名化ネットワークの開発に関連するツールであることを示す指標です 。 さらに、このツールはサポートされるデバイス タイプとして MOBILE_WIFI と ROUTER をリストしており、 4G または 5G の SIM カードを使用して住宅の IP アドレスを提供し、侵入活動の真の送信元を難読化する可能性があることを示唆しています 。

さらに、GTIG は引き続き、ウクライナの組織を標的として、オペレーションの一環として AI 対応のマルウェアを配信する、ロシアに関連する侵入活動を観察しています 。 分析により、 LLM によって生成されたおとりコードを使用して悪意のある機能を難読化する CANFAIL と LONGSTREAM の使用が確認されました 。

• CANFAIL のソース コードの全体にわたり、使用されない特定のコード ブロックを具体的に呼び出す複数の開発者 (つまり、 LLM ) のコメントを特定しました。これは、悪意のある活動を難読化するために設計されたフィラー コンテンツとして組み込まれた可能性が高いものです 。 おとりロジックを囲むこれらのコメントの記述的な性質は、脅威アクターが LLM に対して、難読化の目的で大量の無効なコードを意図的に含む出力を生成するように要求した可能性を示しています (図 4 ) 。

• 同様に、LONGSTREAM コード ファミリーの調査では、コード ファミリーの悪意のある性質を偽装するために大量のおとりロジックが生成された可能性が高いことが示唆されています 。 LONGSTREAM には、ダウンローダーの主な目的とは無関係な、管理タスクに関連する一貫性のある非アクティブなコード ブロックが含まれています 。 たとえば、システムの夏時間の状態を照会するコードのインスタンスを 32 個特定しました 。 この種の反復的なクエリは、スクリプトに無害に見える可能性のあるアクティビティを埋め込むために存在します (図 5 ) 。

AI を活用した攻撃オーケストレーション: PROMPTSPY

攻撃者は、 AI に対応したツールの実装を高度化させており、コンテンツ生成やツール開発の域を超え、マルウェア コマンドのより高度な自律的攻撃オーケストレーションへと移行しています 。 脅威アクターは、インタラクティブなシステム ナビゲーションとリアルタイムの意思決定のために LLM に依存し始めています 。 LLM をマルウェア オペレーションに統合することで、攻撃者はペイロードが自律的に動作し、被害者の環境やデバイスと独立して対話、システム状態を合成、人間の監督なしに正確なコマンドを実行できるようにすることができます 。

この進化の主な例が、ESET によって最初に特定された Android バックドアである PROMPTSPY です 。 初期の公開レポートでは、 Google Gemini アプリケーション プログラミング インターフェース (API) を使用して永続化を促進する PROMPTSPY の使用、特に Android UI をナビゲートして悪意のあるアプリケーションを「最近使用したアプリ」リストに固定することに焦点が当てられていました 。 しかし、GTIG によるこのバックドアの調査により、その AI 統合の追加機能とユースケースが明らかになりました 。 マルウェアの LLM コンポーネントは、 Android ユーザー インターフェースのナビゲートと、その後のアクションのためにリアルタイムのユーザー アクティビティを自律的に解釈することを中心とした、より幅広い目標をサポートするために拡張可能に設計されていると評価しています 。

PROMPTSPY には、「GeminiAutomationAgent」という名前の自律型エージェント モジュールが含まれており、ハードコーディングされたプロンプトを活用して、標的のデバイスとの自動対話を容易にします 。 

• プロンプトは、 LLM のセーフティ フィルターをバイパスするために無害なペルソナを割り当て、ターゲットとなるユーザー インターフェースの境界のジオメトリを計算するように LLM に指示することで、複雑な空間数学の分析を要求します 。 これは、ハルシネーション対策を実装する「Core Judgment Rules (コア判断ルール)」のセットと、別のルーチンの一部としてプロンプトに連結される「User Goal (ユーザーの目標)」と組み合わされます (図 6 ) 。

• その後、このモジュールは、Accessibility API を介してデバイスの表示可能なユーザー インターフェース階層を XML 風のフォーマットにシリアライズし、このペイロードを「JSON Mode」の HTTP POST リクエストを介して「gemini-2.5-flash-lite」モデルに送信します 。 

• モデルは、提供されたユーザーの目標に基づいて構造化された JSON 応答を返し、特定のアクション タイプと空間座標を指示します。マルウェアは、パックされた switch 命令を使用してこれを解析し、物理的なジェスチャー (例: CLICK、 SWIPE) をシミュレートします 。 ユーザーの目標は最初のプロンプトにハードコーディングされておらず、別のルーチンの一部として提供されるため、 PROMPTSPY は複数種類のデバイス インタラクションを促進するように設計された可能性が高いと考えています 。

さらに、 PROMPTSPY は被害者の生体認証データを取り込んで認証ジェスチャー (暗証番号やロック パターン) をリプレイし、侵害されたデバイスへのアクセスを回復してその後のエクスプロイトを行うことができます 。 これらの AI に対応した機能は、人間の操作に大きく依存する従来の Android バックドアからの顕著な進化です 。

永続性を維持するために、 PROMPTSPY は斬新な多層防御メカニズムを利用して、その活動を偽装し、アンインストールを防止します 。 

• 被害者が PROMPTSPY をアンインストールしようとすると、マルウェアは「AppProtectionDetector」モジュールを使用して、「アンインストール」ボタンの画面上の座標を特定します 。 マルウェアはボタンの真上に目に見えないオーバーレイをシールドとしてレンダリングし、被害者のタッチ イベントを静かに傍受して消費し、ユーザーにはボタンが反応しないように見せます 。

• 被害者のデバイスが非アクティブになった場合、 PROMPTSPY オペレーターは Firebase Cloud Messaging (FCM) を利用してバックドアを再起動し、脅威アクターが被害者に警告することなく侵入活動を継続できるようにします 。

PROMPTSPY はハードコーディングされたデフォルトのインフラストラクチャと認証情報を使用して初期化されますが、マルウェアは運用上の回復力が高く設計されており、攻撃者は PROMPTSPY ペイロードを再デプロイすることなく、実行時に重要なコンポーネントをローテーションできます 。 具体的には、 Gemini API キーや VNC リレー サーバーを含むマルウェアのコマンド＆コントロール (C2) インフラストラクチャは、 C2 チャネルを介して動的に更新できます 。 この設定モデルは、開発者が防御側の対策を予想し、特定のインフラストラクチャ エンドポイントが防御側によって特定されブロックされた場合でも、存在を維持するようにバックドアを設計したことを示しています 。

Google は、この活動に関連するアセットを無効にすることで、このアクターに対して行動を起こしました 。 現在の検出に基づくと、 Google Play には PROMPTSPY を含むアプリは見つかっていません 。 Android ユーザーは、 Google Play 開発者サービスが搭載された Android デバイスでデフォルトでオンになっている Google Play プロテクトによって、このマルウェアの既知のバージョンから自動的に保護されます 。

AI を活用した調査、偵察、および攻撃ライフサイクルのサポート

悪意のある攻撃者による LLM の最も一般的なユースケースは、標準ユーザーのユースケースと同様に、調査を実施し、タスクをトラブルシューティングすることです 。 GTIG は、さまざまな脅威アクターが、攻撃ライフサイクルのさまざまな段階を通じて、調査、偵察、およびトラブルシューティングをサポートするために、この種のプロンプティングに関与しているのを観察しています 。 インテリジェンスの収集とタスクのサポートを自動化することで、これらのインタラクションは複雑な多段階オペレーションへの参入障壁を下げ、脅威アクターがキャンペーンの高次元の戦略的要素に人的資本を集中できるようにします 。

攻撃者は LLM を頻繁に使用して、以前であれば手作業に多大な労力を要したであろう偵察を実行します 。 たとえば、特に財務、内部セキュリティ、人事などの価値の高い機能を含む大企業において、特定の部門やサードパーティとの関係性の詳細な組織階層を生成するようにアクターがモデルにプロンプトを入力しているのを観察しました 。 このデータにより、管理者権限を持つ個人や機密データにアクセスできる個人向けにカスタマイズされた、忠実度の高いフィッシング ルアーの作成が可能になり、従来のばらまき型のフィッシングというコモディティ化された戦術を超えたものとなります 。

よりターゲットを絞ったシナリオでは、アクターは LLM を使用して、被害者が使用している特定のハードウェアやソフトウェアの環境を特定しています 。 ある例では、脅威アクターが価値の高いターゲットが使用しているコンピューターの正確なメーカーとモデルを特定しようと試み、標的の人物がデバイスを使用している写真のコレクションを特定するように LLM に要求したことさえありました 。 このレベルの環境フィンガープリンティングは、テーラーメイドのエクスプロイトの開発や、サイドチャネル攻撃の機会の特定に先行することがよくあります 。

基本的なチャット インターフェースの枠を超えて、攻撃者が自律的なフレームワークを運用し、複数段階のセキュリティ タスクを実行するエージェンティックなワークフローへと、高度な移行が進んでいることがわかります 。 これは、 AI に関連する脅威の成熟度における重要な進化を示しています。 LLM はもはや単なる受動的なアドバイザーではなく、攻撃チェーンの能動的な参加者であり、複雑なツールセットを調整し、機械のスピードで戦術的な意思決定を行うことができます 。

たとえば最近、日本のテクノロジー企業と東アジアの著名なサイバーセキュリティ プラットフォームに対して、Hexstrike や Strix などのエージェンティック ツールを展開している、中華人民共和国 (PRC) に関連すると疑われる脅威アクターを分析しました 。 Hexstrike は、一時的なナレッジ グラフである Graphiti メモリ システムと一緒に使用され、アタック サーフェスの永続的な状態を維持し、エージェントが内部推論に基づいて subfinder や httpx などのツール間で自律的にピボットできるようにしました 。 同時に、アクターはマルチエージェント ペネトレーション テスト フレームワークである Strix を活用して、脆弱性の特定と検証を自動化しました 。 自律的な偵察と自動化された検証のこの組み合わせは、人間の監視を最小限に抑えながら発見活動をスケールアップできる AI 主導のフレームワークへの移行を示唆しています 。

AI を活用した情報操作

GTIG は引き続き、情報操作 (IO) アクターが調査、コンテンツ作成、ローカリゼーションなどの一般的な生産性タスクに AI を使用していることを観察しています 。 また、脅威アクターが記事の作成、アセットの生成、コーディングの支援をツールに求めていることを示すアクティビティも特定しています 。 しかし、生成されたこのコンテンツが実際に使用されているのは確認されておらず、これらの試みが IO キャンペーンにおける画期的な機能を生み出したわけではありません 。

ロシア、イラン、中国、サウジアラビアのアクターは、デジタル プラットフォームと印刷されたポスターなどの物理メディアの両方で、特定のストーリーを推進するための政治風刺や資料を作成しています 。 この分野で見られる主な進展としては、アクターがワークフローをサポートするツールの開発でより成功しているように見えることや、議論を呼ぶ政治的トピックに対処するために、 AI によって生成された物語風の音声の採用が増えていることが挙げられます 。

IO 戦術をサポートする AI 

GTIG によるオープン インターネット全体での IO 脅威の追跡により、脅威アクターが AI ツールを使用して確立された戦術をどのように強化しているかを示す活動が引き続き明らかになっています 。 たとえば、GTIG は、親ロシア派の IO キャンペーン「Operation Overload」に関連する活動を明らかにしました。これには、本物のジャーナリストになりすますために、 AI 音声クローニングの疑いがある技術を利用した動画コンテンツが含まれていました 。 これはおそらく、キャンペーンの確立された戦術の AI 対応の高度化を表しています。その戦術には、キャンペーンのメッセージングをサポートするために、メディアやその他の著名な組織のブランディングと正当性を盗用するように設計された、不本意な動画コンテンツが以前から含まれていました 。

特定された事例では、アクターは虚偽のメッセージを伝えるために本物の動画を操作したようです 。 このコンテンツは、元の縦長動画にモンタージュと捏造された音声を繋ぎ合わせて、虚偽の誤解を招くメッセージを作成しているようです 。 元の音声に酷似していることから、 AI ツールの使用が示唆されます (図 7 ) 。

難読化されたスケーラブルな LLM へのアクセス

生成 AI の状況が成熟するにつれ、脅威アクターがこれらのモデルを調達し運用する方法は、単純な実験から産業規模の消費へと移行しています 。 以前のブログ記事で、アンダーグラウンドで提供される AI ツールやサービスに焦点を当ててきましたが、国家支援型およびサイバー犯罪の脅威アクターが、悪意のある活動を追求するために、商用利用可能な基盤モデルと AI ネイティブのアプリケーション構築プラットフォームを活用しているのを引き続き観察しています 。

これらのツールへの脅威アクターの関与において、GTIG は、安全性のガードレールや課金の制約を回避するために設計された、カスタム ミドルウェア、プロキシ リレー、自動化された登録パイプラインの新たなエコシステムへの高度な進化を観察しました 。 アンチディテクト ブラウザやアカウント プーリング サービスを活用することで、アクターはプレミアム LLM ティアへの大容量の匿名化されたアクセスを維持しようと試み、トライアルの悪用やプログラムによるアカウントの循環を通じてオペレーションのコストを補填しながら、事実上、攻撃者のワークフローを工業化しています 。

UNC6201 に PRC の脅威活動の分析において、GitHub 上でホストされている一般公開の Python スクリプトを使用する試みを観察しました。このスクリプトは、プレミアム LLM アカウントを登録し、すぐにキャンセルするワークフローを自動化します 。 このツールは、自動アカウント登録、CAPTCHA バイパス、SMS 検証から、アカウントのステータス確認やキャンセルまで、プロセス全体をサポートしているとされています 。 このプロセスは、攻撃者がアカウントのBANから悪意のある活動を隔離しながら、高品質の AI 機能を大規模に調達するために利用する手法を浮き彫りにしています 。

TEMP.Hex との顕著な重複があり、主に南アジアと東南アジアの政府部門をターゲットにしてきた PRC 関連の脅威クラスター UNC5673 からも同様の活動が観察されています 。 LLM アカウントの登録だけでなく、アクターは、難読化されたスケーラブルな LLM の悪用が開発されていることを示す、一般公開されているさまざまな商用ツールや GitHub プロジェクトを活用しています 。 たとえば、彼らは「Claude-Relay-Service」を採用して複数の Gemini 、 Claude 、 OpenAI のアカウントを集約し、アカウントのプーリングとコストの共有を可能にしています 。 同様に、同様のアカウント プーリング戦略をサポートするために、さまざまなモデル用の互換性のある API インターフェースを提供するプロキシ サーバー「CLI-Proxy-API」を使用しています 。

表 2 : LLM への難読化されたスケーラブルなアクセスに活用されたツールの概要

この難読化の性質を緩和するために、 LLM プロバイダーは、 AI 関連の API アグリゲーターに関連するネットワーク インフラストラクチャ データを分析するシグナル ロジックを構築できます 。 このデータは、本レポートで強調している活動の妨害への取り組みを可能にするのに役立ちます 。

標的としての AI

組織が大規模言語モデル (LLM) を本番環境に統合し続けるにつれ、 AI ソフトウェア エコシステムがエクスプロイトの主要なターゲットとして浮上しています 。 フロンティア モデル自体は依然として直接的な侵害に対して高い耐性を持っていますが、オープンソースのラッパー ライブラリ、 API コネクタ、スキルの設定ファイルなどのオーケストレーション レイヤーは脆弱になる可能性があります 。 GTIG は、攻撃者が自律型スキルやサードパーティのデータ コネクタなど、 AI システムにユーティリティを与える統合コンポーネントを標的とすることが増えていることを観察しています 。

AI コンポーネントに対するサプライチェーン攻撃

2026 年初頭を通して、脅威アクターがフロンティア モデルのコア セキュリティ ロジックをバイパスする画期的な機能をまだ獲得していないことを観察しました 。 その代わり、これらのアクターは、本番の AI 環境への初期アクセスを獲得するために、一般的な統合ライブラリに悪意のあるロジックを埋め込んだり、トロイの木馬化された設定ファイルを配布したりするような、従来のサプライチェーン戦術を活用しています 。 これらのインシデントは、 Secure AI Framework (SAIF) タクソノミーで説明されているリスク、具体的には以下と一致することがよくあります 。

• 安全でない統合コンポーネント (IIC): システムを弱体化させる、侵害された外部依存関係を含めること 。

• 不正なアクション (RA): 昇格された権限で AI システムをエクスプロイトし、不正なコマンドを実行したり認証情報を引き出したりすること 。

武器化された OpenClaw スキル

これらのリスクは 2026 年 2 月初旬に明らかになりました。VirusTotal の研究者が、 AI ソフトウェアのサプライチェーン リスクや、悪意のある安全でないスキル パッケージを介して導入される脆弱性など、OpenClaw AI エージェント エコシステムに関連するセキュリティ リスクについて報告しました 。 最も注目すべき点は、OpenClaw スキルを装い、ホスト システム上で不正なコードやコマンドを実行するように設計された隠しルーチンを含む悪意のあるパッケージが配布されているのを観察したことです 。 OpenClaw に与えられるシステム アクセス レベルが高いため、スキルを使用して、コードの実行、追加ペイロードのダウンロード、ローカル データの検出と流出など、さまざまな特権アクションを実行できる可能性があります 。

さらに、本質的に悪意がなくても、安全でないパッケージはユーザーをさらなるリスクにさらす可能性があります 。 資格情報や認証情報などの機密情報を扱う際に安全な手法を活用できない正規のスキルは、不用意にこの情報を攻撃者にさらす可能性があります 。 これにより、この情報が、プロンプト インジェクション、他の悪意のあるスキル、情報スティーラーのような従来のマルウェアの脅威などの技術による窃取の影響を受けやすくなる可能性があります 。

悪意のある、または安全でないスキルやエージェント コンポーネントのリスクは、OpenClaw プラットフォームに固有のものではありませんが、これらのパッケージの発見は、 AI 開発プラットフォームやエージェンティック エコシステム全般におけるアタック サーフェスの拡大を浮き彫りにしています 。 さらに、悪意のあるパッケージを正規のスキルから特定して区別することの難しさは、防御側に大きな課題を提示します 。 この感染ベクターは本質的に日和見的ですが、これらのスキルを簡単に作成して配布できることは、ユーザーのシステムへのアクセスを求める無数の脅威アクターにとって魅力的な選択肢となる可能性があります 。

これらのサプライチェーン リスクの緩和を支援するため、OpenClaw は VirusTotal と提携し、公開スキル マーケットプレイスである ClawHub に自動セキュリティ スキャンを直接統合しました 。 リポジトリに公開されるすべてのスキルは、VirusTotal の Code Insight 機能を使用して自動的に分析されるようになりました。この機能は、パッケージの実際のコード動作を評価し、不正なネットワーク操作、悪意のあるペイロード、または安全でない埋め込み命令を検出します 。 このセキュリティ重視の分析に基づいて、スキルは無害として承認されるか、ユーザーへの警告フラグが立てられるか、完全にブロックされるかのいずれかになり、エコシステムの悪用に対する重要な防御レイヤーが提供されます 。

侵害されたコード パッケージ

2026 年 3 月下旬、サイバー犯罪の脅威アクター「TeamPCP」 (別名 UNC6780) は、 Trivy 脆弱性スキャナー、 Checkmarx 、 LiteLLM 、 BerriAI に関連するものなど、一般的な GitHub リポジトリと関連する GitHub Actions の複数のサプライチェーンの侵害について犯行声明を出しました 。 Mandiant は、この活動に関連する多数のインシデント対応エンゲージメントに対応し、サプライチェーン オペレーションの広範な影響を浮き彫りにしました 。

TeamPCP は、侵害された PyPI パッケージと、これらの GitHub リポジトリへの悪意のあるプル リクエストを通じて初期アクセスを獲得しました 。 脅威アクターはその後、これらの GitHub リポジトリへのアクセスを活用して、 SANDCLOCK クレデンシャル スティーラーを埋め込み、影響を受けるビルド環境から AWS キーや GitHub トークンなどの価値の高いクラウド シークレットを直接抽出しました 。 盗まれたこれらの認証情報は、ランサムウェアやデータ窃取による恐喝グループとの提携を通じて現金化されました 。

複数の LLM プロバイダーを統合するための AI ゲートウェイ ユーティリティである LiteLLM の侵害は注目に値します 。 これは、 AI プラットフォームの拡大するアタック サーフェスと、ソフトウェア サプライチェーン全体に及ぼす影響の可能性を浮き彫りにしています 。 パッケージが広く使用されていることを考えると、このインシデントは、影響を受ける被害者からの AI API シークレットの相当な流出につながる可能性があり、従来の侵入活動のためのシステムへのさらなるアクセスを得るために使用される可能性があります 。

さらに、 AI 関連の依存関係に対する同様の攻撃は、攻撃者に独自の AI システムへのアクセスを与え、斬新な AI 中心のアタックを実行し、従来の侵入オペレーションをサポートするためにそれらを活用できるようにする可能性があります 。 攻撃者はこのベクターを利用して、従来の金銭的動機に基づくオペレーション (データの盗難やランサムウェアなど) のために企業のインフラストラクチャにピボットするだけでなく、 AI システムを使用して直接オペレーションを容易にする可能性もあります 。 たとえば、組織の AI システムにアクセスできる脅威アクターは、内部のモデルやツールを利用して機密情報を大規模に特定、収集、流出させたり、ネットワークの奥深くに移動するための偵察タスクを実行したりできます 。 アクセス レベルや特定の用途は組織や侵害された特定の依存関係に大きく依存しますが、このケース スタディは、 AI システムに対するソフトウェア サプライチェーン脅威の広範な状況を示しています 。

安全で責任ある AI の構築

Google は、 AI へのアプローチは大胆かつ責任あるものでなければならないと考えています 。 つまり、課題に対処しながら、社会へのプラスのメリットを最大化する方法で AI を開発するということです 。 Google の AI 原則に基づき、 Google は堅牢なセキュリティ対策と強力な安全ガードレールを備えた AI システムを設計し、モデルを改善するためにそのセキュリティと安全性を継続的にテストしています 。 

当社のポリシー ガイドラインおよび禁止されている使用に関するポリシーは、 Google の生成 AI ツールの安全性と責任ある使用を優先しています 。 Google のポリシー開発プロセスには、新たなトレンドの特定、エンドツーエンドの検討、安全性を考慮した設計が含まれます 。 当社は、世界中のユーザーにスケーラブルな保護を提供するために、製品のセーフガードを継続的に強化しています 。

Google では、脅威インテリジェンスを活用して攻撃者のオペレーションを妨害しています 。 政府支援の脅威アクターによる悪意のあるサイバー活動を含め、製品、サービス、ユーザー、プラットフォームの悪用を調査し、必要に応じて法執行機関と協力しています 。 さらに、悪意のある活動への対抗策から得た教訓は製品開発にフィードバックされ、 AI モデルの安全性とセキュリティの向上に役立てられます 。 これらの変更は、分類器とモデル レベルの両方で行うことができ、防御の機敏性を維持し、さらなる悪用を防ぐために不可欠です 。

Google DeepMind も、生成 AI の脅威モデルを開発して潜在的な脆弱性を特定し、悪用に対処するための新しい評価およびトレーニング手法を開発しています 。 この調査と並行して、 Google DeepMind は、間接的なプロンプト インジェクション攻撃に対する AI の脆弱性を自動的にレッドチーム演習を実施できる堅牢な評価フレームワークを含め、測定および監視ツールとともに、 AI システムに防御を積極的に展開している方法を共有しました 。 当社の AI 開発チームとトラスト＆セーフティ チームも、脅威インテリジェンス、セキュリティ、モデリング チームと緊密に連携して、悪用を食い止めています 。

AI 、特に生成 AI の可能性は計り知れません。イノベーションが進むにつれ、業界には責任を持って AI を構築およびデプロイするためのセキュリティ基準が必要です 。 そのため、当社は AI システムを保護するための概念的フレームワークである Secure AI Framework (SAIF) を導入しました 。 私たちは、 AI モデルを責任を持って設計、構築、評価するためのリソースとガイダンスを備えた開発者向けの包括的なツールキットを共有しました 。 また、セーフガードの実装、モデルの安全性の評価、 AI システムをテストして保護するためのレッドチーミング、包括的なプロンプト インジェクション アプローチに関するベスト プラクティスも共有しました 。

業界のパートナーと緊密に連携することは、すべてのユーザーに対するより強力な保護を構築するために重要です 。 そのために、 Coalition for Secure AI (CoSAI) や多数の研究者を通じて、セキュリティ専門家と強力な協力関係を築けることを幸運に思っています 。 Google は、防御のレッドチーム化と改善に協力してくださるコミュニティのこれらの研究者やその他の人々の取り組みに感謝しています 。

Google はまた、 AI 調査に継続的に投資し、 AI が責任を持って構築されるように支援し、その可能性を活用してリスクを自動的に見つけるようにしています 。 昨年、 Google DeepMind と Google Project Zero によって開発された、ソフトウェアの未知のセキュリティ脆弱性を積極的に探索して発見する AI エージェントである Big Sleep を導入しました 。 その後、 Big Sleep は初めて実世界のセキュリティ脆弱性を発見し、脅威アクターによる悪用が差し迫った危機であった脆弱性の発見を支援しました。これにより、 GTIG は事前にこれを遮断することができました 。 また、脆弱性を発見するだけでなく、パッチを当てるための AI の実験も行っています 。 最近、 Gemini モデルの高度な推論機能を活用して重要なコードの脆弱性を自動的に修正する、実験的な AI 搭載エージェントである CodeMender を導入しました 。

著者について

Google Threat Intelligence Group (GTIG) は、 Alphabet 、ユーザー、顧客に対するサイバー脅威全体を特定、分析、緩和、排除することに重点を置いています 。 私たちの仕事には、政府支援のアクターからの脅威、標的型ゼロデイ エクスプロイト、組織的な情報操作 (IO)、深刻なサイバー犯罪ネットワークへの対策が含まれます 。 インテリジェンスを適用して Google の防御を改善し、ユーザーと顧客を保護します 。