Google、AIが作成した初のゼロデイを確認。これから何が変わるのか

2026年5月11日、GoogleのThreat Intelligence Group（GTIG）は、サイバー犯罪グループがAIモデルを用いてゼロデイ脆弱性を特定し、そのためのPythonエクスプロイトコードを作成した証拠を公開しました。これは、認証強制ロジックに埋め込まれたハードコーディングされた信頼の仮定を突いた2要素認証（2FA）バイパスです。Googleは影響を受けたベンダーと連携し、GTIGが「大規模な悪用キャンペーン」と表現する攻撃が実行される前に、脆弱性の公開とパッチ適用を行いました。GTIGは、コード内の特徴からAIによる生成を特定しました。具体的には、幻覚的なCVSSスコア、教育的なドックストリング、教科書的なPythonコードなど、LLMの学習データに一致する形式が見受けられました。

AIが得意としたのは、ディフェンダーの考え方を変えるべき部分です。従来のファザーや静的解析ツールは、シンクやクラッシュ、不適切な入力サニタイズの検出に最適化されていますが、高度なロジックの欠陥、すなわちアプリケーション自身の認証強制と矛盾する信頼の仮定のような問題には構造的に弱いのです。推論能力を持つLLMは、こうした欠陥の発見に長けています。今回の2FAバイパスは、その能力が本番環境レベルで証明された事例です。

5つの重要なポイント

1. AIが初めて実用的なゼロデイを構築した。

GoogleのThreat Intelligence Groupは、サイバー犯罪グループがAIモデルを使って人気のオープンソース管理ツールの2FAバイパスを発見・武器化し、大規模な悪用キャンペーンを計画していたことを確認しました。これは、野生下でAIが作成したゼロデイが公に確認された初の事例です。今後も同様の事例は現れるでしょうが、今回は初めて発見されたというだけです。次のエクスプロイトは、同じフォレンジック的な痕跡を残さないでしょう。パッチ適用速度だけに依拠したAIガバナンスプログラムは、すでに誤った前提で運用されています。

2. AIはスキャナーが苦手とする欠陥を発見した。

今回の脆弱性は、高度なセマンティックロジックの欠陥、つまりハードコーディングされた信頼の仮定でした。これは、ファザーや静的解析ツールが見逃しがちな文脈的なエラーですが、推論能力を持つLLMは確実に表面化できます。GTIGの研究者は、最先端のLLMが「文脈的推論能力を高めており、開発者の意図を読み取り、2FA強制ロジックとハードコーディング例外の矛盾を効果的に関連付けることができる」と確認しています。これは新たな攻撃者の能力であり、実際に動作するエクスプロイトを生み出しました。

3. エクスプロイトの「特徴」は教科書的なLLM出力だった。

幻覚的なCVSSスコア、教育的なドックストリング、整然としたANSIカラークラス、詳細なヘルプメニューなどがAI生成の証拠となりました。次のエクスプロイトは、これほど簡単には見抜けないでしょう。攻撃者は学習し、こうした特徴を消すのはGTIGのレポートを読んだオペレーターなら1週間もあれば十分です。今、インシデント対応計画を見直す組織は、今後の全体議論をリードする立場に立てます。

4. フロンティアラボのガードレールだけでは防御は不十分。

GTIGは、GeminiやAnthropicのMythosモデルが使われたわけではないと報告しています。攻撃者は、フロンティアラボの安全対策をグレーマーケットのプロキシサービスや自動アカウントプーリングパイプライン経由で回避しています。オープンウェイトモデルやグレーマーケットプロキシだけで、2FAバイパスを生み出した文脈的推論タスクは十分に実行可能です。1つのラボで安全でも、エコシステム全体の安全にはなりません。エコシステムこそがシャドーAIリスクやサプライチェーン攻撃経路が交差する場所です。

5. 重要な防御コントロールはデータ層にある。

パッチ適用は必要ですが、あくまで受動的な対策です。データアクセスをID検証、ABACポリシー強制、改ざん検知可能な監査ログで管理する組織は、次のAI生成エクスプロイトが発生した際（発生するのは時間の問題）、被害範囲を限定できます。攻撃者は欠陥の発見と武器化を迅速化できますが、実際に被害を与えるにはデータに到達する必要があります。データ層こそが持続的なコントロールが存在する場所です。

本当の問題は「スピード圧縮」

GTIG主席アナリストのJohn Hultquist氏はInfosecurity Magazineに次のように語っています。「AIによる脆弱性レースがこれから始まるという誤解がありますが、実際にはすでに始まっています。AIに起因するゼロデイが1件見つかれば、その背後にはさらに多くが潜んでいる可能性が高いのです。」CrowdStrike 2026 Global Threat Reportでは、AIを活用した攻撃者活動が前年比89%増加、ゼロデイエクスプロイトが42%増加、eCrimeの平均ブレイクアウトタイムが29分と報告されています。

脆弱性の発見、武器化、悪用が同一タイムライン上で圧縮されると、防御側の対応ウィンドウは消滅します。従来のインシデント対応サイクル（検知、トリアージ、封じ込め、根絶）は、エクスプロイトの出現と大規模悪用の間に猶予があることを前提としています。しかし、AI支援の攻撃者はその猶予を消しつつあります。そして、次のAI生成エクスプロイトには今回のような幻覚的CVSSスコアといったヒントは含まれないでしょう。

国家主体はすでに大規模展開中

GTIGレポートのより広範な調査結果は、サイバー犯罪の事例が控えめに見えるほどです。北朝鮮のAPT45は、AIモデルに数千回の反復プロンプトを送り、脆弱性の再帰的分析とPoCエクスプロイトの検証を行っている様子が観測されています。中国系のUNC2814は、エキスパート人格によるジェイルブレイクでGeminiを活用し、ルーターファームウェアの事前認証RCE脆弱性の調査を行いました。別の中国系アクターは、HexstrikeやStrixのエージェンティックフレームワークとGraphitiメモリシステムを使い、日本のテクノロジー企業や東アジアのサイバーセキュリティプラットフォームを自律的に調査し、継続的なオペレーター関与なしに偵察ツールを切り替えていました。

エージェンティックAIは、もはやカンファレンスの話題ではありません。実際の被害者カテゴリに対して実運用で使われている脅威ツールです。攻撃者の能力スタックは、単一のブレイクスルーエクスプロイトではなく、キルチェーンのあらゆる段階を圧縮する多数の漸進的な能力向上の集合体です。

サプライチェーンは第二の戦線

GTIG AI Threat Trackerは、ロシア系アクターがAI生成のダミーコードを用いて悪意ある機能を隠蔽するマルウェアファミリー（CANFAIL、LONGSTREAM）を展開し、LLM生成のコメントで未使用コードを明示的に記述している事例も記録しています。2026年3月のサプライチェーンインシデントでは、犯罪グループTeamPCPがLiteLLM AIゲートウェイライブラリやTrivy脆弱性スキャナーなどのGitHubリポジトリを侵害し、SANDCLOCKという認証情報窃取型マルウェアをビルド環境に埋め込み、AWSキーやGitHubトークンを抽出し、後にランサムウェア攻撃に利用したことが明らかになりました。

LiteLLMの侵害は警鐘です。LiteLLMは、複数のAIプロバイダーとアプリケーションを接続するために広く利用されています。このパッケージからAPIシークレットが漏洩すると、攻撃者は組織のAI環境にアクセスでき、エンタープライズネットワーク内部から大規模な偵察やデータ収集が可能となります。サプライチェーンリスクはもはや抽象的なものではなく、実際の被害者とデータ流出メカニズムが記録されています。

データ層が最後の防衛線

運用上の意味は明確です。脆弱性発見と悪用の高速化により、境界型防御の価値は大きく低下します。パッチ適用は依然として不可欠ですが、公開から武器化までの時間はゼロに近づいています。重要なのは、エクスプロイトが到達した際に被害を限定できるコントロールであり、初期侵害を防ぐコントロールではありません。

Kiteworks 2026予測レポートでは、AIガバナンス（モニタリング、人間の関与）とAIコンテインメント（目的制限、キルスイッチ、ネットワーク分離）の間に15～20ポイントのギャップがあることが記録されています。取締役会の54%がAIガバナンスをトップ5の議題に挙げておらず、そうした組織はAIインパクト評価の実施率も半分程度にとどまります。これは認識の問題ではなく、コントロールプレーンの欠如です。今やこのギャップは、攻撃者がAIを運用的に活用してキルチェーンを圧縮する現実と比較されつつあります。

Kiteworksの新たなアプローチ

AIによる脆弱性タイムライン圧縮へのアーキテクチャ的な解答は、データ層ガバナンスです。攻撃者は欠陥の発見と武器化を迅速化できますが、実際に被害を与えるにはデータに到達する必要があります。すべてのデータ操作が認証され、ABACポリシーに基づき認可され、FIPS 140-3認証済み暗号で暗号化され、改ざん検知可能な監査証跡に記録されていれば、境界が侵害されてもそれは「侵害」ではありません。データは依然として管理下にあります。

Kiteworks Secure MCP ServerとAI Data Gatewayは、ゼロトラストなデータアクセスをLLMアプリケーションやRAGパイプラインにまで拡張します。AIエージェントがエンタープライズデータにアクセスしようとする際、すべての操作がモデル層ではなくデータ層でガバナンスされます。Kiteworks Private Data Networkは、このアーキテクチャをメール、ファイル共有、MFT、SFTP、Webフォーム、APIにまで広げ、単一のポリシーエンジンと統合監査ログで管理します。認可されていないデータにエージェントや攻撃者がアクセスしようとすると、ポリシーエンジンが拒否し、その試行はログに記録されます。

セキュリティリーダーが今四半期に取るべき行動

第一に、AI支援のエクスプロイトを前提とした運用を行うこと。GTIGの事例は、取締役会にとって仮説ではなく実際のインシデントです。取締役会の54%がAIガバナンスをトップ5の議題に挙げていません。今四半期は、抽象的なリスクではなくGTIGの公開事例を軸に議論を進めるべきです。

第二に、初期アクセスコントロールよりも被害範囲（ブラストラディウス）コントロールを優先すること。目的制限、キルスイッチ、ネットワーク分離こそが、AI支援の侵害がどれほど深刻化するかを決定します。これらのコントロールは多くの組織で未整備ですが、今投資する方が次の公開事例後に投資するよりもコストが低く済みます。

第三に、すべてのデータ操作に対して改ざん検知可能な監査証跡を要求すること。GTIGが今回の事例を発見できたのは、計画されたオペレーションの可視性があったからです。ほとんどの組織はGTIGレベルの脅威インテリジェンスを持ちません。33%の組織は、規制や訴訟対応に十分な証拠品質の監査証跡を持っておらず、これがパッチ済み侵害を防御不可能にするギャップです。

第四に、サードパーティAIツールを規制対象データプロセッサとして扱うこと。LiteLLMの侵害は、AIゲートウェイライブラリを単なる配管として扱った場合のリスクを示しています。すべてのAI統合を棚卸しし、APIトークンは最小権限に限定し、新たな脅威ペースに合わせて定期的に認証情報をローテーションしましょう。

第五に、次の公開事例はさらに深刻になると想定して備えること。AIで磨かれたエクスプロイトを脅威モデリングに今すぐ組み込み、GTIGの事例が新しいうちに備えを進めましょう。

AI攻撃から機密データを守る方法についてさらに詳しく知りたい方は、カスタムデモを今すぐご予約ください。

追加リソース

• ブログ記事 国際共同研究における臨床試験データの保護方法
• ブログ記事 CLOUD法と英国データ保護：なぜ管轄が重要なのか
• ブログ記事 ゼロトラスト・データ保護：高度なセキュリティ実現のための導入戦略
• ブログ記事 プライバシー・バイ・デザイン：GDPRコントロールをMFTプログラムに組み込む方法
• ブログ記事 国境を越えたセキュアなファイル共有でデータ侵害を防ぐ方法