2026年2月13日、Google Threat Intelligence Group(GTIG)は、2025年第4四半期における脅威アクターのAI悪用動向に関するレポートを公開した。
Google DeepMindとGTIGは、Geminiモデルに対する「蒸留攻撃」と呼ばれるモデル抽出攻撃が複数確認され、世界中の民間企業や研究者からの試みを検知・阻止した。推論トレースの強制を試みるキャンペーンでは10万件超のプロンプトが特定された。
DPRK、イラン、PRCの政府支援型アクター(APT42、APT31、APT41、UNC795、UNC2970、UNC6418、Temp.HEX)が、Geminiを偵察、フィッシング、マルウェア開発などに利用した事例が報告された。またGTIGは、ロシアを含む情報操作(IO)アクターが、調査や文面作成などの生産性向上目的で生成AIを利用する動きも報告している。
2025年9月に観測されたマルウェアHONESTCUEはGemini APIを呼び出してC#コードを生成する機能を持つことが確認されており、GTIGはこれが第2段階のダウンロード/実行機能の生成に用いられたと説明している。またGTIGは、COINBAITと呼ばれるフィッシングキットについて、攻撃者がフィッシングページ内の画像アセットをLovable AIからホットリンクするなど、Lovable AIの利用が確認されたと報告している。更にXanthoroxと称するアンダーグラウンドのAIサービスは独自モデルではなく、Geminiを含む複数の商用AIやオープンソースツールをMCPサーバー経由で組み合わせた構成だったと報告されている。
Googleは関連アカウントの無効化と分類器・モデルの強化で対処したとしている。
【編集部解説】
本レポートは、Googleが四半期ごとに公開しているAI脅威トラッカーの最新版です。2025年1月の初回レポート、同年11月の第2回に続く第3弾として、脅威アクターによるAI悪用の実態を時系列で追跡しています。
注目すべきは、レポートの性格が回を追うごとに変化している点です。2025年1月の初回は「生成AIが攻撃者の”生産性ツール”として利用されている」という認識の共有が中心でした。同年11月には、PROMPTFLUXやPROMPTSTEALなど、実行中にLLMへ動的に問い合わせる「ジャスト・イン・タイム型」マルウェアが初めて確認され、AIがマルウェアの構成要素そのものに組み込まれるフェーズへの移行が報告されました。
今回のレポートでは、この流れがさらに具体化しています。HONESTCUEは、Gemini APIにプロンプトを送信してC#コードを受け取り、.NETの正規フレームワークを使ってメモリ上でコンパイル・実行するという手法をとります。ディスクに痕跡を残さないため、従来のファイルベースの検知を回避できるという点で、防御側にとって新たな課題を突きつけるものです。
ただし、このマルウェアの現時点での脅威レベルは冷静に見る必要があります。GTIGの分析によれば、HONESTCUEの開発者は技術的な洗練度が限定的であり、Discordでのテストや単一のVirusTotalアカウントからの提出パターンから、概念実証段階の小規模なアクターと推定されています。実際のキャンペーンでの使用は確認されていません。
一方、COINBAITフィッシングキットは、いわゆる「バイブコーディング」プラットフォームであるLovable AIの利用を示す痕跡が確認されています。Reactベースのシングルページアプリケーションとして高度なUI設計がなされており、AI開発ツールが技術的障壁を大幅に下げている現実を示す事例といえます。
レポートのもう一つの軸は、国家支援型アクターによるGemini悪用の実態です。イランのAPT42がターゲットの経歴情報をGeminiに与えてフィッシング用ペルソナを生成していたこと、北朝鮮のUNC2970が防衛企業の組織構造や給与情報をAIで収集していたことなど、偵察段階でのAI活用が現実のキャンペーンに直結していることが具体例とともに示されました。
とくに重要なのは、「信頼関係構築型フィッシング」の登場です。従来、フィッシングメールは文法の不自然さや文化的文脈の欠如が発見の手がかりとなっていました。しかしLLMの活用により、非ネイティブスピーカーの攻撃者でも現地語での自然な複数ターンの会話が可能になり、防御側が長年頼ってきた検知指標の有効性が低下しつつあります。
脅威アクターがエージェンティックAI機能の活用可能性を模索している兆候が見られる点も注意が必要です。GTIGチーフアナリストのジョン・ハルトクイスト氏はThe Register誌に対して、敵対者のエージェンティックAI採用を「次に落ちるもう一方の靴」と表現しています。2025年11月にはAnthropicが、中国の国家支援型グループがClaude Codeを悪用して約30の組織への侵入を試み、少数のケースで成功したと報告しました。その作戦ではAIが戦術的オペレーションの80〜90%を自律的に遂行したとされています。今回のGTIGレポートでAPT31がHexstrike MCPツーリングとGeminiの組み合わせで脆弱性分析を自動化しようとした事例は、この文脈に位置づけられます。
蒸留攻撃の増加も、AIプロバイダーのビジネスモデルに関わる問題です。10万件を超えるプロンプトによる推論トレース強制の試みは、モデルの「知的財産」が新たな窃取対象になっていることを示しています。Googleは利用規約違反として対処していますが、正規APIアクセスを通じた攻撃であるため、従来の侵入検知とは異なるアプローチが求められます。AIモデルをサービスとして提供するすべての組織にとって、APIアクセスパターンの監視は今後不可欠な防御策となるでしょう。
アンダーグラウンドで「カスタムAI」として販売されていたXanthoroxの正体が、実はGeminiを含む商用AIとオープンソースツールのMCP経由での寄せ集めだったという調査結果は、もう一つの示唆を含んでいます。独自のAIモデルを構築する技術力を持たない脅威アクターでも、盗んだAPIキーとオープンソースの統合ツールがあれば、それらしいサービスを構築できてしまうという現実は、APIキー管理の重要性を改めて浮き彫りにしています。
本レポートはGoogle自身のプロダクト(Gemini)に関する脅威報告であるため、同社の防御措置や安全対策の強調が含まれている点は留意が必要です。しかし、具体的なAPTグループ名、攻撃手法、プロンプトの実例まで開示している透明性は高く評価できます。
全体として、GTIGが繰り返し述べている「脅威ランドスケープを根本的に変えるブレークスルーはまだ起きていない」という評価は現時点では妥当と考えられます。しかし、攻撃ライフサイクルの全段階にAIが組み込まれつつある速度と、エージェンティックAIへの関心の高まりを踏まえると、防御側がこの変化に対応する猶予はそれほど長くないかもしれません。
【用語解説】
蒸留攻撃(Distillation Attack)/モデル抽出攻撃(Model Extraction Attack)
正規のAPIアクセスを通じて成熟したAIモデルに大量のクエリを送り、その出力を利用して別の「生徒」モデルを訓練する手法。知識蒸留(Knowledge Distillation)という正当な機械学習技術を悪用したもので、モデル開発のコストと時間を大幅に削減できるため、知的財産の窃取にあたる。
APT(Advanced Persistent Threat:高度で持続的な脅威)
国家の支援を受けた高度な技術を持つサイバー攻撃グループの総称。特定の標的に対して長期間にわたり組織的な攻撃を行う。本レポートではAPT31(PRC)、APT41(PRC)、APT42(イラン)などが言及されている。
ClickFix
ユーザーを騙して悪意あるコマンドをシステムのターミナルにコピー&ペーストさせるソーシャルエンジニアリング手法。ユーザー自身の操作で実行されるため、セキュリティソフトウェアによる検知が困難になる。
MCP(Model Context Protocol)
AIモデルが外部のツールやデータソースと連携するための通信プロトコル。本レポートでは、アンダーグラウンドのツールキットがMCPサーバーを介して複数の商用AIモデルを統合し、攻撃用サービスを構築していた事例が報告されている。
信頼関係構築型フィッシング(Rapport-building Phishing)
LLMを使用して複数ターンにわたる信憑性の高い会話を維持し、標的との信頼関係を構築した上で悪意あるペイロードを配信するフィッシング手法。従来型の「一発送信型」と異なり、検知が困難である。
OSINT(Open Source Intelligence)
公開情報から収集・分析されるインテリジェンス。脅威アクターがLLMを用いてOSINTの統合を自動化し、標的のプロファイリングを効率化している。
【参考リンク】
Google Threat Intelligence Group(GTIG)公式ページ(外部)
Googleの脅威インテリジェンスサービス。Mandiant、VirusTotalの知見を統合し脅威の検知・分析を支援する。
Google DeepMind(外部)
Googleの先端AI研究部門。本レポートではGTIGと共同でモデル抽出攻撃の検知・阻止を担当した。
Secure AI Framework(SAIF)(外部)
Googleが提唱するAIセキュリティフレームワーク。データ・インフラ・モデル・アプリの4領域のリスク管理を提供する。
Lovable AI(外部)
プロンプトからWebアプリを生成するAI開発プラットフォーム。COINBAITフィッシングキットの構築に使用された。
VirusTotal(外部)
Google運営のマルウェア・URL分析プラットフォーム。HONESTCUEやCOINBAITのIOCコレクションが公開されている。
【参考記事】
Google: China’s APT31 used Gemini to plan US cyberattacks(外部)
The Register誌がGTIGハルトクイスト氏に独自取材。エージェンティックAI悪用の懸念を詳報した記事。
Disrupting the first reported AI-orchestrated cyber espionage campaign(外部)
Anthropic公式。Claude Code悪用による約30組織への侵入試行、AIが80〜90%の作戦を自律遂行した事案の報告。
Nation-state hackers ramping up use of Gemini(外部)
Recorded Future News。APT42のフィッシング手法やHONESTCUEの技術的詳細を整理した報道。
Google says hackers are abusing Gemini AI for all attacks stages(外部)
BleepingComputer。10万件超のプロンプトやHONESTCUEのファイルレス実行など主要数値を正確に報道。
GTIG AI Threat Tracker: Advances in Threat Actor Usage of AI Tools(外部)
2025年11月版の前号レポート。PROMPTFLUXなどAI統合型マルウェアが初報告され、今回との比較に必須。
【編集部後記】
AIが、攻撃者にとっても「当たり前のツール」になりつつある現実は、私たち一人ひとりのセキュリティ意識にも関わる話題です。文法の不自然さでフィッシングを見抜く時代が終わりを迎えつつあるとすれば、私たちは次に何を手がかりにすればよいのでしょうか。
皆さんは職場や日常で「AIとセキュリティの距離感」についてどのように感じていますか?ぜひ、一緒に考えていければうれしいです。
