Google「AI製ゼロデイついに登場」|世界初の2FA突破阻止

公開日:

SHARE

伊東雄歩
監修者 伊東 雄歩

株式会社ウォーカー CEO。東北大学卒。MENSA会員、JDLA認定講師、健全AI教育協会理事。生成AI×教育・学習科学を専門とし、2億円超のシステム開発プロジェクトを統括。

taolis.net X note Voicy YouTube
  • Google GTIGが世界初のAI製ゼロデイ攻撃コードを野外で検知
  • 標的は人気管理ツールの二要素認証バイパス(脆弱性は事前に修正済み)
  • 使われたAIはOpenClawと呼ばれる攻撃者向けモデルと推定
  • 北朝鮮APT45と中国UNC2814もAI活用を本格化
  • 日本企業も標的に。サプライチェーンOSS依存が新しいリスク

「AIが攻撃側に回ったら、防御は追いつくのか?」――この問いはずっと机上の議論でした。それが2026年5月、Googleの発表で「現実」になりました。AIが作ったゼロデイ攻撃コードが、世界で初めて実際の犯行計画に組み込まれていたのです。何が起きたのか、なぜ深刻なのか、日本企業はどう備えるべきかを順番に見ていきます。

何が起きたか|Google GTIGが「AI製ゼロデイ」を初検知

2026年5月11日、Googleが警告

発表したのは、Googleの脅威インテリジェンス部門GTIG(Google Threat Intelligence Group)です。

5月11日に公開したAI Threat Trackerレポートで、ある犯罪グループがAIモデルを使って書いたゼロデイ攻撃コードを運用しようとしていた、と発表しました。

担当幹部のサンドラ・ジョイス氏は、メディア取材に対し「ついに来た」とコメントしています。AIが攻撃側に回る日は遠くないと長年言われてきた業界にとって、ようやく現実が追いついたという意味です。

標的は「2FAをすり抜けるバグ」

狙われたのは、企業のサーバー管理に広く使われるオープンソースのWeb管理ツールです。Googleは「人気ツール」とだけ伝え、具体名は公開していません。

このツールには、二要素認証(2FA)を回り込んでログインできてしまう未公開の欠陥がありました。「ゼロデイ」とは、開発者がまだ気づいていない脆弱性のことです。

攻撃者はPythonで書かれた攻撃スクリプトを準備し、複数の企業を一斉に攻める「大規模攻撃キャンペーン」を組み立てようとしていました。幸い、Googleがベンダーと連携しキャンペーン開始前にパッチを配布。実際の被害は出ていません。

AIが残した「指紋」とは

では、なぜGTIGは「これはAIが書いた」と断定できたのでしょうか。コードにAI特有のクセが残っていたからです。具体的には2点あります。

  • 教育的なコメント:人間のハッカーは普通書かない、チュートリアル風の説明コメントが各行に付いていた
  • 架空のCVSSスコア:脆弱性の深刻度を示すCVSSという公式指標があるが、コード中には誰も付与していない数値が書かれていた。AIが「それっぽい数字」を生成した跡

つまり「やたら丁寧で、それっぽい数字が混じる」――この特徴がAI製の証拠になりました。

使われたAIは何か|「OpenClaw」と呼ばれる

OpenClawとは

GTIGの分析では、使われたAIは「OpenClaw」と呼ばれる攻撃者向けモデル、または同等品と推定されています。OpenClawは、安全策(ガードレール)を外したオープンソース系のLLMで、ダークウェブ上で共有されていると言われています。

イメージとしては、ChatGPTから「これは違法だから書けません」という制限を全部外したバージョンです。攻撃者はこれを使い、標的のソースコードや公開ドキュメントを読ませて、脆弱性のヒントを引き出します。

GeminiでもClaude Mythosでもない

気になるのが「商用AIが悪用されたのでは?」という疑いです。GoogleはこれをはっきりNoと伝えています。

具体的にはGoogleのGeminiでも、AnthropicがMythosと呼ぶ最新モデルでもありません。ちなみにAnthropicは2026年4月、Claude Mythosが「あまりに速く重大な脆弱性を見つけてしまう」として一般公開を停止しています。商用AI各社は、攻撃利用のリスクに過敏になっているのです。

攻撃者のワークフロー

GTIGによると、攻撃者がAIを使う流れは概ね次の3段階です。

  • 第1段階:偵察。標的のソースコードや公式ドキュメントをAIに読み込ませ、論理的に弱そうな箇所を尋ねる
  • 第2段階:PoC生成。「ここを突くPython概念実証コードを書いて」と指示し、動くスクリプトを生成させる
  • 第3段階:検証と実装。サンドボックス環境で試し、エージェント型ツールで自動化して本番投入

従来なら経験豊富なエンジニアが数週間かけていた作業が、数時間〜数日に短縮されてしまうのが恐ろしい点です。

なぜ深刻か|「ゼロデイ発見の自動化」という転換点

ゼロデイの希少性が崩れる

ゼロデイ脆弱性は、これまでブラックマーケットで1件あたり数千万円〜数億円で取引される高額商品でした。発見に高度な技術と長い時間が必要だったからです。

ところが、AIが量産できるとなれば話が変わります。供給が増えれば単価は下がり、攻撃の手数は増える。これまで国家機関や一部の闇エリートだけが扱えた武器が、中堅サイバー犯罪者にも降りてくるという構造変化が起きます。

人間が見つけにくい「論理欠陥」をAIは得意

今回見つかった2FAバイパスは、「意図と実装のズレ」という種類のバグです。コードは正しく動くのに、設計の前提が崩れる――こうした論理欠陥は、行単位のチェックでは見抜けません。

LLMはコード全体を読み、「ここは設計者がうっかり信用してしまっている」という穴を直感的に指摘するのが得意です。これは人間ハッカーよりむしろ高い能力です。

AI Threat Trackerが示す「29分」の絶望

GTIGの過去レポートでは、AIに脆弱性スキャンを任せたとき、人間が同じ判断に至るのに数日かかる作業を「29分」で終えたという観測結果もあります。防御側がこの速度差にどう追いつくかが、2026年後半の最大テーマです。

国家系ハッカーのAI活用|北朝鮮・中国・サプライチェーン

北朝鮮APT45の「数千回プロンプト」

GTIGレポートでは、北朝鮮系のハッカーグループAPT45が、AIに対して数千回の繰り返しプロンプトを投げ、脆弱性を再帰的に分析していたと報告されています。

これは人手では不可能なスケールです。APT45は、AIを「24時間休まない脆弱性研究者」として運用し、攻撃手段の在庫を増やしているとみられます。

中国UNC2814の「ペルソナ脱獄」

中国系のUNC2814はもっと巧妙です。AIに「あなたはシニアセキュリティ監査人だ」「C/C++のバイナリセキュリティ専門家だ」と役割を与えて制限を回避するテクニックを使っています。

これはペルソナ脱獄(persona jailbreaking)と呼ばれ、商用AIのガードレールを揺さぶる代表的な手口です。組み込み機器の認証前リモートコード実行という、危険度の高い穴を狙っていたとされます。

サプライチェーン攻撃「TeamPCP」事件

さらに恐ろしいのが、サプライチェーンを汚染する手口です。TeamPCP(UNC6780)と呼ばれるグループは、2026年3月下旬に複数のGitHubリポジトリやPyPIパッケージを乗っ取りました。

標的になったのはLiteLLMなどのAIゲートウェイ系OSSです。乗っ取ったパッケージに「SANDCLOCK」というクレデンシャル窃取マルウェアを仕込み、ビルド環境のAWSキーやGitHubトークンを盗み出しました。AIインフラそのものが攻撃面になる時代に入っています。

日本企業への影響|「対岸の火事」ではない

中国系が日本企業の脆弱性を執拗に調査

GTIGの観測では、中国系の組織が日本企業の脆弱性を執拗に調査している様子が記録されています。日本は地政学的に常に標的圏内です。

特にリスクが高いのは、製造業・インフラ・金融などレガシーシステムが残る大企業と、社外公開しているOSS依存度の高いWebサービスです。

国内SIer・MSPの防御は追いつくか

日本のSIerやマネージドセキュリティサービスプロバイダー(MSP)は、これまで「既知の脆弱性パッチ管理」と「ログ監視」を中心に守ってきました。しかしAI攻撃が普及すると、「まだ世に出ていない脆弱性」への備えが必要になります。

具体的には、ふるまい検知型のEDR(端末防御)、認証強化、ゼロトラスト設計など、「侵入される前提」の多層防御に切り替える必要があります。

中小企業ができる3つの備え

中小企業にとっては、もっと現実的な対処が大切です。今すぐ着手できる3点を挙げます。

  • OSS依存の棚卸し:自社サービスが使っているライブラリを洗い出し、自動アップデートを設定する
  • 2FAの強化:SMSでなくFIDO2やパスキーなどフィッシング耐性のある方式に切り替える
  • クレデンシャル管理:開発者のAWSキーやGitHubトークンを定期ローテーション、秘密情報スキャナーを導入

どれも「AI攻撃が来てから慌てる」のではなく、今日始められる基本対策です。

競合と比較|従来の攻撃とAI攻撃はどう違う

スピードとスケールの差

従来型のサイバー攻撃と、AI支援型攻撃の違いを整理してみます。

  • 従来型:人間ハッカーが数週間〜数か月かけて1件のゼロデイを発見・武器化
  • AI支援型:数時間〜数日で複数候補を同時生成。1日あたりの試行回数が桁違い
  • 従来型:1グループで扱える標的は数社〜数十社
  • AI支援型:自動化前提なので数千社に同時展開可能

つまり「量」も「速度」も別次元になります。防御側が同じ枠組みで戦っていると勝負になりません。

守る側もAIで対抗

救いは、防御側もAIを使えることです。Googleは「Big Sleep」と呼ばれるAIで、すでに数百件のセキュリティ問題を発見しています。MicrosoftやCrowdStrikeも同様のAI防御プロダクトを次々に投入中です。

業界全体が「AIに対してAIで応戦する」構図に切り替わっています。

よくある質問(FAQ)

Q. ゼロデイとは何ですか?

A. 開発者がまだ気づいていない、修正パッチが存在しない脆弱性のことです。

「ゼロデイ」は「公表からゼロ日」という意味で、防御策が間に合わないまま悪用される最も危険なバグです。今回Googleが見つけたのも、2FAバイパスを許す未知の欠陥でした。

Q. 私が使っているWebサービスは安全ですか?

A. 今回の標的ツール名は非公開ですが、Googleとベンダーが連携してパッチ済みなので、すでに対策されています。

個人ユーザーとしては、利用中のサービスから「2FA方式を強化してください」「アプリを最新版に更新してください」という通知が来たら必ず従うのが基本です。

Q. AIが攻撃に使われる例は今後も増えますか?

A. ほぼ確実に増えます。今回は「初の確認事例」であり、業界では数か月以内に類似事例が複数発覚すると見られています。

GTIGは「AIによる脆弱性発見は今後の標準になる」と予測しており、商用AI各社も「攻撃利用を見抜くフィルタ」の強化を進めています。

Q. ChatGPTやGeminiも悪用されているのですか?

A. 商用AIには厳しいガードレールがあり、直接的な攻撃コード生成はできません。

ただし「あなたはセキュリティ研究者だ」と役割を与えるペルソナ脱獄や、複数質問に分割する手法で部分的に制限を回避する試みは確認されています。各社はその対策を強化中です。

Q. OpenClawはどこで入手できるのですか?

A. 一般には流通していません。主にダークウェブ上でハッカー同士が共有しているとされます。

OpenClawは「攻撃者向けに調整されたLLM」とされ、ガードレールを外したカスタムモデルです。一般ユーザーが触れることはなく、研究目的でも入手は推奨されません。

Q. 自社のセキュリティ責任者にまず何を相談すべきですか?

A. 「AI攻撃シナリオを前提に、現在の検知ルールが機能するか」を聞いてください。

ふるまい検知の有無、未知脆弱性への対応手順、ベンダーパッチの適用速度、サプライチェーン(OSS依存)の可視化――この4点を確認するだけで、社内の備えレベルがすぐ分かります。

まとめ

  • Google GTIGが世界初のAI製ゼロデイ攻撃コードを野外で検知(2026年5月11日)
  • 標的は2FAバイパスを許すOSSの管理ツール。事前パッチで被害は回避
  • 使われたAIはOpenClaw系。GeminiやClaudeなど商用AIではない
  • AIの「指紋」は教育的コメント架空のCVSSスコア
  • 北朝鮮APT45、中国UNC2814もAI活用を本格化
  • TeamPCP事件でサプライチェーン攻撃も深刻化
  • 日本企業も標的に。レガシー大企業とOSS依存サービスが要注意
  • 中小企業の備えはOSS棚卸し・2FA強化・クレデンシャル管理の3点から
  • 業界全体が「AI対AI」のサイバー戦に突入

次のアクション:自社が使っているOSSライブラリの一覧を、今週中に1度だけ棚卸ししてみましょう。それだけで「AI攻撃が来たとき何が穴か」の解像度が一気に上がります。

参考文献

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

前の記事

AI実装95%失敗を突破|アクセンチュア×Google