多くの政府支援サイバー脅威アクターが現在、攻撃ライフサイクル全体でAIを使用しており、特に偵察とソーシャルエンジニアリングに活用していることが、Googleの新たな調査で明らかになりました。
ミュンヘン安全保障会議に先立って2月12日に公開されたレポートで、Google脅威インテリジェンスグループ(GTIG)とGoogle DeepMindは、2025年第4四半期にサイバー犯罪者や国家支援グループが悪意のある目的でAIをどのように使用したかに関する新たな知見を共有しました。
研究者たちは、高度持続的脅威(APT)グループによるAIの悪用を幅広く観察しました。彼らは、コーディングとスクリプト作成、潜在的ターゲットに関する情報収集、公開された脆弱性の調査、侵害後の活動を可能にするタスクなどにAIを使用しました。
イラン、中国、北朝鮮がサイバー攻撃強化のためにAIを使用
ある事例では、イラン政府支援アクターAPT42が、生成AIモデルを活用して特定の組織の公式メールアドレスを検索し、信頼できる口実を確立するために潜在的なビジネスパートナーの偵察を実施しました。
Google研究者はまた、北朝鮮政府支援グループ(UNC2970)がGoogleの大規模言語モデル(LLM)の1つであるGeminiを使用して、オープンソースインテリジェンス(OSINT)を統合し、キャンペーン計画と偵察を支援するために高価値ターゲットのプロファイリングを行っていることを観察しました。このグループは通常、防衛企業をターゲットにしたキャンペーンで企業のリクルーターになりすまします。
別のAPTキャンペーンでは、TEMP.Hexという中国関連グループ(別名Mustang Panda、Twill Typhoon、Earth Preta)が、Geminiおよびその他のAIツールを使用して、パキスタンのターゲットを含む特定の個人に関する詳細情報を編集し、さまざまな国の分離主義組織に関する作戦データと組織データを収集しました。
「この調査の結果として直接的なターゲティングは確認されませんでしたが、脅威アクターはその直後にパキスタンの類似のターゲットをキャンペーンに含めました。Googleはこのアクターに対し、この活動に関連する資産を無効化する措置を講じました」とレポートは示しています。
一部のAPTグループはAIエージェントの試用も始めています。APT31(別名Violet Typhoon、Judgment Panda、Zirconium)という別の中国支援グループは、Google研究者により、「専門的なサイバーセキュリティペルソナ」を使用して脆弱性の分析を自動化し、米国を拠点とするターゲットに対するテスト計画を生成していることが観察されています。
「政府支援の脅威アクターにとって、LLMは技術調査、ターゲティング、微妙なフィッシング誘引の迅速な生成のための必須ツールとなっています」とレポートは指摘しています。
しかし、Google研究者は、APTアクターからの最先端AIモデルや生成AI製品への直接攻撃はまだ確認していません。
モデル抽出攻撃の増加
対照的に、金銭的動機のあるサイバー犯罪グループは、悪意のあるキャンペーンを強化するためにAIモデルの乗っ取りを積極的に試みています。
Googleは、モデル抽出の試み、特に世界中の研究者と民間企業からのモデル盗用と能力抽出の試みが顕著に増加していることを確認しました。
「蒸留攻撃」としても知られるモデル抽出攻撃(MEA)は、成熟した機械学習(ML)モデルに対する正規のアクセスを使用して体系的に調査し、新しいモデルの訓練に使用される情報を抽出します。
通常、MEAは知識蒸留(KD)と呼ばれる技術を使用して、1つのモデルから情報を取得し、その知識を別のモデルに転送します。これにより、攻撃者はAIモデル開発を迅速かつ大幅に低コストで加速できます。
MEAと蒸留攻撃は通常、AIサービスの機密性、可用性、整合性を脅かすものではないため、一般ユーザーにリスクをもたらすことはありませんが、Googleは、これらがモデル開発者やサービスプロバイダーにとって知的財産(IP)盗用のリスクをもたらすため、Googleの利用規約に違反すると述べています。
ジェイルブレイクされたモデルとAI対応マルウェア
Googleが特定したもう1つの主要なAI脅威は、不正な活動を可能にするために特別に構築された新しいAIツールとサービスを含む地下の「ジェイルブレイク」エコシステムの台頭です。
Googleは、地下マーケットプレイスに悪意のあるサービスが出現していることを指摘しました。これらのサービスは独立したモデルであると主張していますが、実際にはジェイルブレイクされた商用アプリケーションプログラミングインターフェース(API)とオープンソースのモデルコンテキストプロトコル(MCP)サーバーに依存しています。
たとえば、「Xanthorox」は、マルウェア、ランサムウェア、フィッシングコンテンツを自律的に生成するように設計された「オーダーメイドのプライバシー保護セルフホスト型AI」として宣伝されている地下ツールキットです。
「しかし、私たちの調査により、XanthoroxはカスタムAIではなく、実際にはGeminiを含むいくつかのサードパーティおよび商用AI製品によって動作していることが明らかになりました」とGoogleレポートは述べています。
Googleはまた、脅威アクターがGeminiやOpenAIのChatGPTのようなAIプラットフォームの公開共有機能を悪用して欺瞞的なソーシャルエンジニアリングコンテンツをホストし、「ClickFix」のような一般的な技術を使用してユーザーを騙し、セキュリティフィルターをバイパスするために信頼されたAIドメインに指示をホストすることで悪意のあるコマンドを手動で実行させていることを観察しました。
最後に、GTIGは2025年後半に、脅威アクターがマルウェアファミリーに新しい機能を実装するためにAIを実験していることを引き続き観察しました。
2025年9月、GTIGはHonestcueマルウェアがGoogle GeminiのAPIを活用して悪意のあるC#コードをメモリ内で動的に生成および実行していることを特定し、脅威アクターがファイルレス攻撃技術を洗練させながら検出を回避するためにAIをどのように悪用しているかを示しました。
このレポートは、脅威アクターによるAIツール使用の進展に関するGoogleの2025年11月の調査結果の更新版です。
翻訳元: https://www.infosecurity-magazine.com/news/nation-state-hackers-gemini-ai/
