Googleは2026年5月11日(米国時間)、未知の脅威アクターがAI支援で開発したとみられるゼロデイエクスプロイトを使用していたと公表した。Google Threat Intelligence Group (GTIG) によると、これは脆弱性発見とエクスプロイト生成において、AIが実環境下で悪意ある形で使用されたことが初めて確認された事例である。
問題のエクスプロイトはPythonスクリプトとして実装され、オープンソースのウェブベース・システム管理ツールにおいて2要素認証(2FA)をバイパスするものだった。スクリプトには幻覚によるCVSSスコアなど、LLM生成コードの特徴が含まれていた。GoogleはAndroidマルウェアPromptSpyについても言及し、これはGeminiを悪用して画面を分析する機能を持つ。他にUNC2814、APT45、APT27、UNC6201、UNC5673(TEMP.Hex)、TeamPCP(UNC6780)によるGemini悪用や、Claudeを標的としたGitHubリポジトリ「wooyun-legacy」、Anthropicやその他のAIにアクセスするシャドウAPI問題も報告された。CISPAヘルムホルツ情報セキュリティセンターを含む研究では、2026年3月に17のシャドウAPIが特定された。
From: 
Hackers Used AI to Develop First Known Zero-Day 2FA Bypass for Mass Exploitation
【編集部解説】
今回Googleが公表したレポートは、サイバーセキュリティの世界における「閾値」を越えた瞬間を記録したものと言えます。AIが脆弱性発見やマルウェア開発の「補助」として使われている事例はこれまで何度も報告されてきましたが、Googleの報告によれば、実環境で大規模悪用を目的としたゼロデイエクスプロイトがAI支援で開発されたとみられる事例が確認されたのは、今回が初めてです(米国時間2026年5月11日報道、公式表記5月12日)。
注目すべきは、Googleが「Geminiが使用された証拠は見られない」と明言している点です。つまり、攻撃者は別のAIモデルを使ったと推測されており、特定の企業の問題ではなく、生成AIエコシステム全体の構造的課題であることを示唆しています。
技術的に興味深いのは、AIが見つけた脆弱性の性質です。従来のファザーや静的解析ツールは、メモリ破壊や入力検証ミスといった「機械的に検出しやすい」欠陥を見つけることが得意でした。しかし今回検出されたのは、開発者がコード内にハードコーディングした「信頼の前提」に起因する意味論的論理的欠陥(semantic logic flaw)です。これは「人間の意図を読み取る能力」が求められる領域であり、まさにLLMが得意とする部分なのです。
watchTowrのライアン・デューハースト氏が「タイムラインは何年も前から圧縮されている」と語った言葉が示すように、脆弱性の発見・武器化・悪用までのサイクルが劇的に短縮されつつあります。これは、防御側に与えられる「猶予期間」が消滅しつつあることを意味します。
一方で、ポジティブな側面も見逃せません。Googleは今回、攻撃が大規模化する前に「プロアクティブな対抗発見(proactive counter discovery)」によってベンダーへの責任ある開示と修正を実現しました。さらにGoogleは脆弱性発見エージェント「Big Sleep」やパッチ生成ツール「CodeMender」といったAI防御技術の展開を進めています。つまり、AIは攻撃と防御の双方を加速させる「両刃の剣」として機能しているのです。
GoogleのレポートによればPromptSpyというAndroidマルウェアも報告されています。これはGemini APIを悪用してAndroid画面をリアルタイムで分析し、生体認証情報を取得して認証ジェスチャーを再現したり、アンインストールボタンの座標を特定して不可視オーバーレイで操作を妨害したりする機能を持つとされます。「AIエージェント」という概念が、ユーザー体験を向上させるだけでなく、悪意ある自律的な攻撃にも転用可能であることを示す警鐘です。
地政学的な側面も興味深い点です。Googleの報告では、中国系のUNC2814、UNC5673、UNC6201、北朝鮮のAPT45、ウクライナを標的にしたロシア系侵入活動で展開されたAI対応マルウェアCANFAIL/LONGSTREAMなど、国家関連アクターによるAI悪用が広範囲に報告されています。特に、日本のテクノロジー企業がHexstrike AIやStrixといったエージェント型ツールによる自動探索の標的となった事例も同レポートで言及されており、日本の読者にとって他人事ではありません。
中国のシャドウAPI問題は、AIガバナンスの新しい論点を提示しています。CISPAヘルムホルツ情報セキュリティセンターを含む研究チームの論文では、17のシャドウAPIが特定され、Gemini-2.5-flashモデルのMedQAベンチマーク精度が公式APIの83.82%から、シャドウAPI経由では約37.00%まで急落することが報告されています。これは、不正アクセスされた中継経路では「モデルがすり替えられている」可能性を示しており、AIの信頼性そのものを揺るがす問題です。
規制面では、今回の事例は各国政府のAI規制議論に新たな材料を提供することになるでしょう。EUのAI Actや米国の大統領令、日本のAI事業者ガイドラインなど、既存の枠組みは「悪用される側のAI」を主に想定してきましたが、「悪用するAI」「悪用されるAI環境」という新しい脅威モデルへの対応が急務となります。
長期的視点で見ると、私たちは「AIが防御側に立つか、攻撃側に立つか」という単純な二項対立ではなく、「AIの能力進化スピードに、人類社会の防御態勢がどこまで追従できるか」という根源的な問いに直面しているのです。Tech for Human Evolutionの観点からすれば、技術の民主化が悪用の民主化を伴うという現実を直視しつつ、いかに防御側のAI能力と組織的レジリエンスを高めていくかが、私たち全員の課題となります。
【用語解説】
ゼロデイエクスプロイト(Zero-Day Exploit)
ベンダーや開発者が脆弱性の存在を認識する前、または修正パッチが提供される前に悪用される攻撃手法。「ゼロデイ」とは、防御側の対応猶予日数が「0日」であることに由来する。
2要素認証(2FA)バイパス
2要素認証は、パスワードに加えてSMSコードや認証アプリなど別の要素で本人確認する仕組み。バイパスとは、この追加認証を不正な手段ですり抜けて、認証済みのアクセスを得ること。
LLM(大規模言語モデル)
Large Language Modelの略。大量のテキストデータから学習し、人間のような文章生成・コード生成・推論を行うAIモデル。GPTシリーズやGemini、Claudeなどが該当する。
意味論的論理的欠陥(Semantic Logic Flaw)
コードの構文ではなく「意図」のレベルで生じる脆弱性。例えば、特定の条件で認証を例外的に通すようにハードコーディングされた信頼前提などが該当する。従来のスキャナーでは検出が困難。
ハードコーディングされた信頼前提(Hard-coded Trust Assumption)
プログラム内に特定の条件や値を直接書き込み、それを無条件に「信頼できる」と扱う設計上の前提。柔軟性に欠け、想定外の悪用経路を生む原因となる。
CVSSスコア
Common Vulnerability Scoring Systemの略。脆弱性の深刻度を0.0〜10.0の数値で評価する業界標準指標。今回のエクスプロイトには「幻覚(ハルシネーション)」によって生成された実在しないCVSSスコアが含まれていた。
ポリモーフィック型マルウェア(Polymorphic Malware)
コードを動的に変化させて検出を回避するマルウェア。AIによって、より自律的かつ柔軟に変化させることが可能になりつつある。
自律エージェント(Autonomous Agent)
人間の介入なしに目標達成のための行動を自律的に決定・実行するAIシステム。攻撃側ではPromptSpyのように、画面を読み取って次の操作を判断するマルウェアとして応用されている。
C2(コマンド&コントロール)インフラ
Command-and-Controlの略。マルウェアに感染した端末に対し、攻撃者が命令を送信したり情報を受信したりするためのサーバー群。
ジェイルブレイク(Jailbreak)
AIモデルに設定された安全ガードレールを、特殊なプロンプトで回避する手法。UNC2814は「セキュリティ専門家を演じてください」とペルソナを与えることで制限を突破した。
シャドウAPI
公式に承認されていない経路で公式APIサービスへアクセスを提供する非公式中継サービス。中国国内の開発者が地域制限を回避する目的で利用されている。
知識蒸留(Knowledge Distillation)
大規模なAIモデルの応答パターンを記録・学習することで、より小型のモデルに同等の能力を移転する技術。不正なシャドウAPI経由で他社モデルを蒸留する行為は知的財産侵害となる。
フォースマルチプライヤー(Force Multiplier)
軍事用語で「戦力増強要素」を意味する。AIが攻撃者の能力を何倍にも増幅させる存在になっていることを示す表現。
ORB(オペレーショナル・リレー・ボックス)ネットワーク
侵害された複数のデバイスを中継ノードとして連結し、攻撃の発信元を匿名化するためのプロキシ網。APT27が管理ツール開発にGeminiを利用した目的とされる。
APT(Advanced Persistent Threat)
高度な技術と継続的な活動を特徴とする標的型攻撃集団。国家支援を受けることが多く、本記事ではAPT27(中国)、APT45(北朝鮮)などが言及されている。
UNCグループ
Mandiant/Googleが追跡する「未分類(Uncategorized)」の脅威クラスター名称。十分な裏付けが取れる前の段階で割り当てられる識別子で、UNC2814、UNC5673、UNC6201、UNC6780などがある。
閑魚(Xianyu)
中国のオンライン中古品取引プラットフォーム。アリババ傘下。記事内ではシャドウAPIサービスの取引場として言及されている。
【参考リンク】
Google Cloud Blog – Threat Intelligence(外部)
Google Threat Intelligence Group (GTIG) およびMandiantによる脅威分析レポートを公開する公式ブログ。
Google Threat Intelligence(外部)
Googleの脅威インテリジェンスサービスの公式ドキュメントサイト。VirusTotalチームとも連携している。
Anthropic(外部)
Claudeを開発するAI安全性企業。シャドウAPI経由でClaudeへの不正アクセスが行われた事例として言及されている。
The Hacker News(外部)
世界最大級のサイバーセキュリティ専門メディア。570万人以上のフォロワーを持つ業界の重要情報源。
watchTowr(外部)
脅威インテリジェンスとアタックサーフェス管理を提供するサイバーセキュリティ企業。本記事でコメントを寄せている。
CISPA Helmholtz Center for Information Security(外部)
ドイツの情報セキュリティ研究機関。シャドウAPIに関する研究の共著機関の一つ。
TP-Link(外部)
中国に本社を置くネットワーク機器メーカー。UNC2814による脆弱性研究の標的となったファームウェアの提供元。
淘宝(Taobao)(外部)
アリババグループが運営する中国最大級のオンラインマーケットプレイス。シャドウAPIサービスが宣伝される場の一つ。
【参考記事】
Adversaries Leverage AI for Vulnerability Exploitation, Augmented Operations, and Initial Access (Google Cloud Blog)(外部)
GTIGによる一次情報レポート。AI脅威活動が「黎明期から産業規模へ」移行している点を分析している。
Shadow APIs research paper (arXiv)(外部)
シャドウAPIの実態とAIモデル置換リスクを調査した学術論文。MedQA精度低下の検証結果を掲載。
Google Detects First AI-Generated Zero-Day Exploit (SecurityWeek)(外部)
AI支援ゼロデイ初確認として簡潔にまとめた記事。日本企業がHexstrike AIやStrixの標的となった件にも言及。
Google: Hackers used AI to develop zero-day exploit for web admin tool (BleepingComputer)(外部)
APT27、APT45、UNC2814、UNC5673、UNC6201などの具体的なグループ名と活動内容を整理した記事。
Google says criminals used AI to build a working zero-day exploit for the first time (SiliconANGLE)(外部)
攻撃阻止の経緯と、Googleの防御AI「Big Sleep」「CodeMender」への投資を詳しく言及している。
Hackers Pushing Innovation in AI-Enabled Hacking Operations, Google Says (Reuters)(外部)
ロイター通信による報道。Googleの公式発表内容をニュース機関の視点から客観的に整理している。
Google says AI is now being used to build zero-days (IT Pro)(外部)
GTIGチーフアナリストのコメントを掲載。AIの「文脈推論能力」が論理エラーを表出させる仕組みを解説。
【関連記事】
国家支援型ハッカーがGemini AIを複数工程で利用、モデル抽出(蒸留)攻撃の試みも複数確認
本記事が言及する「2026年2月のGTIGレポート」の詳細解説。今回のレポートとの時系列的連続性を理解する上で最重要な関連記事。
ESET、生成AI悪用の初のAndroidマルウェア「PromptSpy」を発見─Google Geminiでデバイスを遠隔操作
本記事に登場するPromptSpyマルウェアをESETが最初に発見した際の詳細解説。Geminiを使った画面解析の仕組みが理解できる。
Gemini連携マルウェア「PromptFlux」の脅威 – 毎時間自己進化する攻撃の実態
GTIG AI Threat Trackerによる別の自己進化型AIマルウェアの解説。AI悪用マルウェアの系譜を辿る上で必読。
Amazon脅威レポート:生成AIで武装した攻撃者がFortiGate 600台を5週間で侵害
AIが攻撃者のフォースマルチプライヤーとして機能した実例。本記事のテーマ「AI攻撃の加速」を実証する事例。
OpenAIが発表したAardvark:GPT-5が脆弱性を自動発見・パッチングする時代へ
AIによる脆弱性自動発見の「防御側」事例。本記事で言及したBig SleepやCodeMenderと対比して読むと、AI防御技術の現在地が見える。
Anthropic「Claude Mythos Preview」が金融規制を動かす│英米カナダ3カ国が同時対応
AIが数千件のゼロデイ脆弱性を発見した事案。AIの「盾と矛」が同じ道具から生まれる構造を考える上で必読。
【編集部後記】
AIが脆弱性を見つけ出し、エクスプロイトまで書き上げる時代に、私たちはどう向き合っていけばよいのでしょうか。今回の事案は遠い国の話のようでいて、実は私たちが日々使うオープンソースツールや2要素認証の安全性に直結する出来事です。
みなさんのまわりで使われているサービスの認証設計、信頼できると思っていた仕組みについて、改めて考えるきっかけになれば幸いです。AIが「防御」と「攻撃」のどちらにより速く活かされていくのか、ぜひ一緒に見守っていきましょう。
