AIエージェントはWebを閲覧し、外部ツールを使用し、コマンドを実行し、ユーザーに代わってタスクを遂行できます。多くのAIエージェントは、サービスやデータとの連携方法を定義する「スキル」に依存しています。ESET Threat Report H1 2026によると、悪意あるスキルはこうした機能を悪用し、データを窃取したり、マルウェアを実行したり、エージェントの動作を操作したりする可能性があります。
悪意あるAIスキルが攻撃対象領域を拡大
約90万件のAIスキルを分析した結果、25,000件以上の不審なスキルと、3,000件を超える悪意あるスキルが確認されました。2026年3月から5月にかけて、スキャンされたユニークなスキルの数は60,000件から約90万件へと増加しました。不審なスキルは約10,000件から25,000件超へ、悪意あるスキルは約600件から3,000件超へと増加しています。
研究者らは、コマンド実行、ファイルアクセス、サードパーティ製ツールのダウンロード、認証情報の読み込み、コードインジェクション、難読化といった機能を確認しました。これらの機能は正当なタスクにも利用できますが、同時にデータの窃取、マルウェアの実行、AIエージェントの操作、システムへの不正アクセスにも悪用され得ます。
今回の分析では、レッドチーム用スキル、自己改変型スキル、オンライン購入用スキルも確認されました。中にはセキュリティスキャナーを名乗りながら基本的なチェックしか行わないスキルもあり、利用者に誤った安心感を与えていました。
ESETのマルウェアアナリストであるAnton Mäčko氏は次のように述べています。「AIスキルは、自動化された偵察やレッドチーム型攻撃から、スパム生成、マルウェアの改変・拡散に至るまで、幅広いエージェント型AIの悪用を可能にします。攻撃者は今後も、意図の難読化や地域特化型・ニッチな言語、あるいは人工言語の利用も含め、対策を回避する手法を試み続けるでしょう」
ClickFixがAIサービスや企業のワークフローにも拡大
ClickFixは、偽のエラーメッセージや検証プロンプトを使ってユーザーを騙し、悪意あるコマンドを実行させる手口で、新たな環境へと拡大を続けています。ClickFix攻撃の検知件数は、2025年下半期から2026年上半期にかけて108%増加しました。この手口は偽のCAPTCHAにとどまらず、macOS、WordPressサイト、ブラウザ拡張機能、AIをテーマにしたヘルプページ、さらには企業の認証ワークフローにまで及んでいます。

Anthropic社のArtifactページ用ドメインを悪用し、AIによる修正手順を装ったWebページ(出典:ESET)
新たな亜種として、Anthropic、OpenAI、Microsoftに関連するサービス上でホストされた、AIが生成したかのように見える偽のトラブルシューティングページを利用する「AI-fix」があります。「CrashFix」は悪意あるブラウザ拡張機能を使い、偽のセキュリティ警告を表示します。「ConsentFix」は、侵害されたWebサイト上の偽の検証プロンプトを通じてMicrosoftのOAuth認証コードを盗み取り、攻撃者がOAuthトークンを取得できるようにします。
QRコードフィッシングが過去最多水準に
「クイッシング」とも呼ばれるQRコードフィッシングは、2026年上半期を通じて増加を続けました。攻撃者はQRコードにフィッシングリンクを埋め込み、被害者を認証情報窃取サイトへ誘導しており、多くの場合モバイル端末からのアクセスを狙っています。検知されたフィッシングメール全体のうち、約11%がQRコードを含んでおり、月平均で100,000件の検知が確認されました。検知件数が最も多かったのは4月です。国別の検知割合では、米国が19%で最多となり、次いでスペインが17%、メキシコが6%となっています。
生成AIがAndroidマルウェアにも波及
PromptSpyは、実行中に生成AIを利用する初のAndroidマルウェアとなりました。このマルウェアはGoogleのGeminiモデルを使ってデバイスのインターフェースを解析し、永続化を維持するためのジェスチャーを生成します。ロック画面のPINやパスワードを傍受するほか、スクリーンショットや動画のキャプチャ、インストール済みアプリの情報のアップロードを行い、攻撃者にリモートアクセスの手段を提供します。研究者らは、PromptSpyの発見後、1件の検知を記録しています。
ランサムウェア集団、EDRキラーの利用を拡大
ランサムウェア集団は、ランサムウェアを展開する前にセキュリティソフトウェアを無効化するため、EDR(Endpoint Detection and Response)キラーの利用を続けています。研究者らは、実際に使用されている100種類を超えるEDRキラーを確認しており、その中には40種類を超える正規の脆弱なドライバーを悪用する、60種類以上のBYOVD(Bring Your Own Vulnerable Driver)亜種が含まれます。新たな亜種は毎週のように出現しています。攻撃者は、アンチルートキット、スクリプト、ドライバーを使用しない手法を用いて、セキュリティソフトウェアの動作を妨害しています。
2025年を通じて、ランサムウェアの身代金支払い率は低下を続けました。Chainalysisの報告によると、被害者のうち身代金を支払った割合は28%でした。一方でランサムウェア攻撃件数は前年比で50%増加しています。身代金支払額の中央値は368%上昇し、およそ60,000ドルに達しました。2025年のランサムウェア支払総額は8億2,000万ドルに上りました。
翻訳元: https://www.helpnetsecurity.com/2026/07/08/eset-ai-threat-trends-report/