🧑‍✈️

Googleが警告したGemini AIモデルを悪用したサイバー攻撃

に公開
AI
Security
idea

この記事では、Googleが2026年2月12日に警告したGemini AIモデルを悪用したサイバー攻撃について解説し、AI駆動開発(Vibe Coding)を行うエンジニアにとってのリスクと対策を共有します。

背景・目的

2026年2月12日、Google Threat Intelligence Group(GTIG)がAI Threat Trackerレポートを公開し、Googleの大規模言語モデルGemini APIを不正に利用したサイバー攻撃の実例を警告しました。

前回の記事ではMicrosoftが報告した「AI Recommendation Poisoning」(AIのメモリ機能を悪用してサービスを推奨させる攻撃)を取り上げましたが、今回の報告はさらに一歩進んだ内容です。攻撃者がAIモデルを使ってマルウェアのコードそのものを生成し、サイバー攻撃の全段階を自動化する手法が実際に観測されています。

AIがコードを書く時代、攻撃者もまたAIにコードを書かせています。この記事を通じて、AI駆動開発を行うエンジニアが知っておくべきリスクと防御策をまとめます。

Gemini APIを悪用した攻撃手法

GTIGのレポートで指摘されている主な攻撃手法を解説します。

1. コード生成型マルウェア「HONESTCUE」

攻撃者はGemini APIに特定のプロンプトを送信し、C#のマルウェアコードを生成させます。生成されたコードはそのまま実行可能で、追加のペイロード(悪意ある追加プログラム)をダウンロード・実行します。

この手法の特徴は以下の3点です:

  • ファイルレス — マルウェアがディスクに保存されないため、従来のファイルスキャンでは検出できない
  • 静的解析の回避 — AI生成コードは毎回異なるパターンを持つため、シグネチャベースの検出が困難
  • 正規トラフィックへの偽装 — 正規のGemini APIクエリと見分けがつきにくい

2. AI生成コードによる多段階攻撃

AIによるコード生成は単一ステージの攻撃にとどまりません。以下の攻撃チェーンが段階的に実行されます:

  1. 初期感染 — AI生成コードによるターゲットシステムへの侵入
  2. マルウェア展開(ステージ2) — 追加の悪意あるコードのダウンロード
  3. C2(Command & Control) — 攻撃者の指揮統制サーバーとの通信確立
  4. 情報窃取 — 機密データの外部送信

攻撃者はDiscordなど信頼されやすいCDNからコードを取得することで、検出をさらに困難にしています。

3. 国家支援型脅威アクターの関与

GTIGは、複数の国家支援型脅威アクターによるGeminiの悪用を観測しています:

  • 北朝鮮 — 暗号通貨関連の攻撃ツール生成
  • イラン — スパイ活動のための情報収集ツール
  • ロシア — 標的型攻撃のペイロード生成
  • 中国 — ネットワーク偵察ツールの作成

高度なプログラミング能力を持たない攻撃者でも、AIの自動生成能力を利用して攻撃ツールを効率的に作成できるようになっています。

なぜこれが問題なのか

攻撃の民主化

生成AIがコード生成を代替することで、高度なプログラミングスキルがなくても攻撃を仕掛けられるようになっています。これまでは国家レベルのリソースが必要だった高度な攻撃が、AIの力で一般の攻撃者にも手の届くものになりつつあります。

従来の防御では検出困難

  • ファイルレス — ディスク上にマルウェアファイルが残らない
  • 正規トラフィックとの類似性 — 通常のAPI呼び出しと見分けがつかない
  • ポリモーフィック(多態性) — AI生成コードは毎回異なる形態を持つ

従来型のアンチウイルスやIDS/IPSでは捉えづらい攻撃形態です。

AI自己修正型マルウェアの登場

GTIGのレポートでは、AI自身が自分のコードを書き換える実験的マルウェアPROMPTFLUXも報告されています。これはマルウェアが検出されるたびにAIが自動的にコードを変異させる仕組みで、今後の攻撃の進化を示唆する重要なシグナルです。

Vibe Codingをする人にとってのリスク

1. プロンプトインジェクション・プロンプト汚染

AIに対する入力が外部から改ざんされ、生成されたコードにバックドアが含まれるリスクがあります。例えば、AIが参照するドキュメントやコードベースに不可視のプロンプトが埋め込まれていた場合、意図しないコードが生成される可能性があります。

2. 悪意あるコードの出力

プロンプトが外部から混入した場合、AIが脆弱な、または危険なコードを生成してしまう可能性があります。AIの出力を無条件に信頼してコミットすることは、攻撃者に自分のコードベースへの書き込み権限を与えているのと同じです。

3. 自動化ワークフローの悪用

AIをCI/CDパイプラインやGitHub Actionsなどの自動化環境に組み込んでいる場合、以下の被害が想定されます:

  • 秘密情報の漏洩 — API KeyやCredentialがAI経由で外部に送信される
  • 悪意ある処理の混入 — 自動生成コードにバックドアが含まれる
  • 依存関係の書き換え — パッケージの差し替えやワークフロー破壊

4. サプライチェーンの弱体化

AIサービスやLLMに依存したツールが増えるほど、1つの脆弱性が下流の多数のプロジェクトに連鎖的に影響する可能性が高まります。

詰まったポイント・Tips

エンジニアが今日からできる防御策

1. AI生成コードのレビューを徹底する

AIが生成したコードをそのままコミットしないことが最も重要です。特に、ネットワーク通信、ファイル操作、環境変数の参照を含むコードは注意深くレビューしてください。

2. プロンプトのサニタイズ(無害化)

AIに投げる入力は常に検査・検証します。ユーザー入力やドキュメントの内容をそのままAIに渡さず、不審な命令文が含まれていないか確認しましょう。

3. CI/CDのアクセス制御を強化する

  • IAM(Identity and Access Management)の最小権限原則を徹底
  • 静的解析(SAST)と動的解析(DAST)の併用
  • AIモデルAPIへの異常アクセスのモニタリング

4. 防御側にもAIを活用する

AIは攻撃だけでなく防御にも活用できます。振る舞い検知、異常トラフィック分析、モデルの悪用検出など、AIの力でAIの脅威に対抗するアプローチも検討しましょう。

まとめ

  • Gemini APIを悪用したコード生成型マルウェアが実際に観測されており、国家支援型の脅威アクターも関与している
  • 攻撃はファイルレス・多態性・多段階という特徴を持ち、従来の防御手法では検出が困難
  • AI駆動開発(Vibe Coding)を行うエンジニアは、プロンプトインジェクション、悪意あるコード出力、ワークフロー悪用、サプライチェーン攻撃のリスクを認識する必要がある
  • AI生成コードのレビュー徹底、プロンプトのサニタイズ、CI/CDのアクセス制御強化が防御の基本

AIそのものが攻撃ベクトルになり得る時代です。AIの利便性を享受しつつも、セキュリティの視点を忘れずにツールを選定・運用していくことが重要です。この記事が、AI駆動開発におけるセキュリティ意識の向上に貢献できれば幸いです。

参考文献

Discussion