Google Threat Intelligence Group は 2026 年 5 月 11 日、新しい AI Threat Tracker を公開した。重要なのは「攻撃者が AI を使い始めた」ことだけではない。使い方が、文章作成、翻訳、偵察支援から、脆弱性研究、PoC 検証、マルウェア難読化、自動化された攻撃編成へ移っている点だ。
まず、混同しやすい二つの点を分けておきたい。
第一に、Google は AI の支援で開発されたとみられるゼロデイ exploit を初めて確認したと述べている。この事例は、名前が明かされていないサイバー犯罪グループによるものだ。対象は人気のあるオープンソースの Web ベース管理ツールで、有効な認証情報を持っている場合に 2FA を回避できる。Google は影響を受けるベンダーと協力して責任ある開示を進め、大規模悪用を防いだ可能性があるとしている。
第二に、APT45 はこのゼロデイ事例の帰属先ではない。GTIG は別件として、北朝鮮関連の APT45 が AI モデルに大量の反復プロンプトを送り、複数の CVE を再帰的に分析し、PoC exploit を検証していたと述べている。つまり APT45 は、AI を単なるフィッシングメール作成ツールではなく、脆弱性研究と exploit 武器庫の整理ツールとして使っている。
AI ゼロデイ事例が示すもの
このゼロデイは、典型的なメモリ破壊、入力検証ミス、単純な設定ミスではない。GTIG はこれを高レベルの意味論的ロジック欠陥として説明している。開発者が認証フロー内に信頼の前提をハードコードし、その結果、2FA enforcement ロジックと例外条件の間に矛盾が生じた。
この種の脆弱性は従来型スキャナーが苦手とする。静的解析や fuzzing は、クラッシュ、危険な sink、入出力経路、既知パターンの発見に強い。しかし「開発者が何を保証したかったのか」「どの例外がその保証を破っているのか」を理解するのは簡単ではない。
大規模言語モデルのリスクはそこにある。専門のセキュリティ研究者より強いとは限らないが、文脈を読み、意図を説明し、似たコード経路を比較し、業務ロジックの不整合を指摘することは得意だ。この能力が攻撃者の自動化フローに組み込まれると、熟練研究者が長時間かけて読む必要があったロジック脆弱性を、より大規模にふるい分けられる可能性がある。
GTIG は exploit コード内に AI 生成の痕跡も確認している。教育的な docstring、幻覚された CVSS スコア、教材のような Python 構造などだ。Google は Gemini が使われたとは考えていない一方で、攻撃者が何らかの AI モデルを使って脆弱性の発見と武器化を支援した可能性には高い信頼を置いている。
APT45 の変化は長期的に注目すべき
APT45 は、北朝鮮関連の脅威グループとして長く追跡されてきた。活動目的はスパイ活動、金銭獲得、戦略的情報収集にまたがる。今回 GTIG が強調したのは、APT45 の AI 利用方法だ。大量かつ反復的に CVE を分析し、PoC exploit を検証し、より信頼できる攻撃能力として蓄積している。
これは「AI に短いスクリプトを書かせる」話とは違う。
組織が AI を脆弱性の選別、PoC 検証、payload 調整、テスト環境に接続できるなら、人手のボトルネックは変わる。以前は、チームが同時に調査できる脆弱性の数は、研究者の人数、経験、時間に依存していた。今は、AI が反復的な読解、要約、変種テスト、初期判断の一部を担い、人間は標的選定、悪用可能性の確認、実運用への投入に集中できる。
防御側にとって、これは既知脆弱性の猶予期間が短くなることを意味する。
CVE が公開された後、攻撃者はアドバイザリを一から読み、パッチ diff を調べ、環境を作り、PoC を修正する必要がなくなる。AI は影響範囲の理解、テスト案の生成、失敗原因の調査、対象バージョン差分の整理を助ける。人間による修正が必要でも、全体の処理量は上がる。
これは「AI が何でも自動で侵入する」という話ではない
この件を、AI がすでに完全な侵入を単独で実行できる証拠と読む必要はない。
GTIG の報告が示すのは、攻撃チェーンの複数段階が AI によって加速しているということだ。脆弱性研究、マルウェア難読化、偵察、ソーシャルエンジニアリング、情報操作、モバイル UI 自動化、サプライチェーン汚染に AI の関与が見え始めている。
ただし AI はまだ失敗する。脆弱性を幻覚したり、悪用可能性を誤判定したり、動かないコードを生成したり、複雑な企業認可ロジックで迷ったりする。危険なのは AI が完璧なことではない。攻撃者が低コストで試行錯誤できることだ。大量試行が十分に安くなれば、誤った出力は捨てられ、使える出力だけが攻撃フローに入る。
APT45 のような事例が重要なのはこのためだ。国家級または国家に近い組織には標的も忍耐もある。AI が反復作業を減らせば、より高価値な標的に多くの資源を投じられる。
防御の焦点は「ゼロデイの有無」から「猶予期間の短さ」へ
多くの企業はこれまで、既知脆弱性はパッチ管理で、ゼロデイは多層防御で対応する、とリスクを分けてきた。AI が脆弱性研究に入ると、この境界は曖昧になる。
より現実的な問いは次の通りだ。
- 新しい CVE が公開された後、外部攻撃者が実用的な exploit を作るまでにどれくらいかかるか。
- 資産台帳は同じ日に影響を受けるシステムを答えられるか。
- WAF、EDR、ログ、ID システムは異常な試行を検知できるか。
- 高リスクシステムで MFA、最小権限、ネットワーク分離が標準になっているか。
- オープンソース部品、AI agent プラグイン、第三者 connector がサプライチェーン審査に含まれているか。
AI ゼロデイは基礎的なセキュリティを無効化するわけではない。むしろ、基礎を長く放置した環境を罰する。
パッチサイクルが遅い、資産台帳が不明確、インターネット公開面の責任者がいない、ログを検索できない、アカウント権限が過大なままなら、攻撃者が AI を使うかどうかは効率の違いにすぎない。問題はいずれ表面化する。
AI サプライチェーンも攻撃面になっている
GTIG は、攻撃者が AI ソフトウェアエコシステム自体にも注目していると述べている。agent skill、第三者データ connector、オープンソース wrapper ライブラリ、自動化フレームワークなどだ。リスクはモデルそのものが破られることだけではない。モデル周辺のツールチェーンが汚染されることからも生じる。
これは AI coding、AI Agent、自動化プラグインを使う人にとって重要だ。
悪意ある skill、バックドア入り依存関係、過剰権限の connector は、AI システムを「作業を助けるもの」から「攻撃者のために動くもの」へ変えてしまう。agent がファイルシステム、ブラウザ、端末、クラウドアカウント、企業データへアクセスできるなら、サプライチェーン審査は従来アプリの範囲にとどめられない。
最低限、次の対応が必要だ。
- 出所不明の agent skill やプラグインを安易に入れない。
- コマンド実行、ファイル読み取り、秘密情報アクセスができるツールは権限分離する。
- 本番環境で未レビューの AI 生成スクリプトを直接実行しない。
- AI プロジェクトの依存関係、GitHub Actions、PyPI / npm パッケージをスキャンする。
- モデル API Key、クラウド秘密情報、GitHub Token に最小権限と漏えい監視を適用する。
セキュリティチームへの実務的な提案
第一に、脆弱性対応を前倒しする。高リスク CVE は月次パッチを待たせるべきではない。特に VPN、ゲートウェイ、管理パネル、ID システム、CI/CD、リモート管理ツールのような境界資産はそうだ。
第二に、検索可能な資産台帳を作る。AI が攻撃者の標的探索を速くするなら、防御側も「このシステムはあるか、どのバージョンか、どこに公開されているか」に素早く答えられなければならない。
第三に、署名検知を行動検知で補う。AI 生成の exploit やマルウェアは表面的特徴を変えるかもしれないが、認証回避、異常ログイン、大量探索、失敗リクエストのパターン、権限昇格の経路には行動痕跡が残る。
第四に、AI ツールをセキュリティガバナンスに入れる。社内の coding agent、browser agent、document agent、自動化スクリプト、プラグインマーケットには、承認、レビュー、ログ、ロールバックが必要だ。
第五に、AI 防御を「セキュリティ大模型を買うこと」だけにしない。実際に役立つのは、脆弱性優先順位付け、ログ分析、パッチ影響評価、コードレビュー、設定ベースライン確認に AI を組み込み、防御側の速度も上げることだ。
まとめ
GTIG の今回の報告は、AI が攻防の速度を上げていることをはっきり示している。
AI 支援のゼロデイは、ロジック欠陥や認証回避がモデルによって見つけやすくなる可能性を示した。APT45 の事例は、成熟した脅威組織がすでに AI を使って CVE を大量分析し、PoC を検証していることを示している。PROMPTSPY、AI 生成の難読化コード、agent サプライチェーン攻撃は、AI が攻撃者のチャットツールではなく攻撃ツールチェーンに入りつつあることを示す。
これは終末ではないが、普通のニュースでもない。
企業にとって実務的な対応は、恐れることではない。パッチ、資産、ログ、ID、サプライチェーン、AI ツール権限を、より速く、明確に、検証可能にすることだ。AI は攻撃者の試行速度を上げる。防御側も発見、判断、修復の速度を上げなければならない。