＠IT

未知の脆弱性をAIが暴き出す　Googleが警告する「完全自律型サイバー攻撃時代」の幕開け

Googleが、AIを使ったサイバー攻撃の過去3カ月における急速な進化を報告した。最先端AIモデルが従来のセキュリティスキャンでは判別できない脆弱性を発見。犯罪グループは一般提供されているAIモデルを使い、自律的に攻撃を行わせるエージェント化を進めている。

» 2026年05月12日 08時55分公開

[三木泉，＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　AIを悪用したサイバー攻撃が新たな次元に突入している。Google脅威インテリジェンスグループ（GTIG）が2026年5月11日（米国時間）に発表した2026年第2四半期の最新サイバーセキュリティレポートは、2026年2月の前回レポート以降、AIによるサイバー攻撃が深刻な進化を遂げたことを具体的に明らかにした。

最先端AIが従来のスキャンツールで検出できないゼロデイを発見

　GTIGは今回初めて、AIモデルを用いて開発されたと考えられるゼロデイエクスプロイト（未知／未修正の脆弱＜ぜいじゃく＞性を突く攻撃プログラム）を使用する攻撃グループを特定した。しかも攻撃者は、従来のセキュリティスキャンツールでは検知できない脆弱性を発見していた。

　サイバー犯罪グループは、あるオープンソースシステム管理ツールの2要素認証を回避できるゼロデイ脆弱性を発見した。開発者が組み込んだ2要素認証適用ロジックの矛盾を突いたのだという。GTIGによると、最先端のAIモデルには開発者の意図を読み取り、従来のセキュリティスキャナーには正常にしか見えないようなエラーを見い出す能力がある。このグループは他のグループと連携し、発見した脆弱性を突くプログラムによる大規模な攻撃キャンペーンを計画していたという。

人間の指示なしで被害端末を操作する自律型マルウェアの登場

　人間が裏で操作するのではなく、被害端末の環境を自ら認識して操作を行う自律型マルウェアが登場している。代表例としてGTIGは、2026年2月に存在が明らかになった「PROMPTSPY」を挙げる。Android向けマルウェアで、AIモデルを利用してスマホ画面を解析し、不正操作を行う。

　このマルウェアは、被害者のスマートフォンの画面情報をAIに送り、次にどう操作すればよいかをその場で判断させ、ジェスチャーコマンドを生成して実行する。被害者の認証操作（暗証番号入力やロックパターン）を取り込んで再生できるため、端末がロックされたとしても、アクセスを自力で回復する。また、アンインストールボタンの上に、目に見えないオーバーレイをレンダリングすることにより、被害者がアンインストールしようとしても反応しないように見せかけることができる。

自律型AIエージェントワークフローで活動をスケーリング

　サイバー攻撃では、一般企業に先行するかのように、AI独自の意思決定でハッキングツール群を駆使し、複数フェーズにわたる不正行為を行う「エージェント型ワークフロー」への移行が進んでいる。

　中国との関連が疑われる脅威アクターは、「Hexstrike」や「Strix」といった自律型のエージェントツールを日本のテクノロジー企業などに展開した。こうしたエージェントは、人間の監視をほとんど受けることなく、自らの推論に基づいて自律的にツールを切り替え、ネットワークの偵察から脆弱性の特定、検証までを自動実行する。

　Hexstrikeは、攻撃対象の状態を保持するために時系列ナレッジグラフ「Graphiti」を使い、内部推論に基づいて「subfinder」や「httpx」などのツールを自律的に切り替えて実行した。同時に、アクターはマルチエージェント侵入テストフレームワークである「Strix」を使い、脆弱性の特定と検証を自動化した。

　GTIGはこうした動きについて、「人間の監視を最小限に抑えて活動の規模と速度をスケーリングする、AI駆動型フレームワークへの移行を示唆している」と説明する。

AIを動かす「周辺環境」も新たな攻撃の標的に

　さらに報告書は、AIシステム自体が攻撃の標的になっていると警告する。AIモデルそのものではなく、AI環境に不可欠な連携ライブラリやAIの拡張機能（スキル）に悪意のあるコードを混入させる「サプライチェーン攻撃」が確認されている。実際に「TeamPCP」と呼ばれる犯罪グループなどによって、人気のあるAI連携用パッケージが侵害され、クラウドの認証情報が盗まれたり、ランサムウェア展開の足がかりにされたりする事件が発生しているという。