TokyoBlackHatNews

theregister.com 5分で読了

GoogleがGemini AIエージェントをダークウェブで公開

GoogleのGemini AIエージェントはダークウェブを巡回し、1日1000万以上の投稿を精査して、特定の組織に関連する脅威を見つけています。

Google Threat Intelligenceに組み込まれたダークウェブインテリジェンスサービスが公開プレビューで利用可能になり、Geminiのモデルを使用してユーザーの組織のプロファイルを構築します。その後、ダークウェブを検索して、組織が直面するセキュリティリスクを判定します。

Googleの脅威ハンターがThe Registerに、内部テストで1日に数百万の外部イベントを98パーセントの精度で分析できることを示していると述べています。

「私たちは現在、Geminiを使用してダークウェブからのすべての投稿を処理し、実際に重要な脅威を抽出しています。」Google Threat Intelligenceプロダクトマネージャーのブランドン・ウッドは、これには初期アクセスブローカーの活動、データ漏洩、内部脅威、その他のインテリジェンスが含まれることを付け加えました。

「1日に800万から1000万のイベントを見かけ、非常に短いスループットでそれを抽出することができます。」彼は言いました。

比較するために、従来のダークウェブ監視ツールは主にキーワードをスクレイピングし、正規表現を使用してそれらを一致させ、ウッドによると80パーセントから90パーセントの偽陽性を生成しています。「それは主に脅威インテリジェンスチームのノイズを作成するだけです。」彼は言いました。

新しいサービスの仕組みは次のとおりです。顧客(例えばAcme Bank)が初めてダークウェブ監視モジュールを開きます。彼らはAcme Bankであることを確認し、Geminiは顧客プロファイルを構築します。

「数分以内に、顧客の深い理解、その環境、事業運営、VIP、ブランド、技術を含むプロファイルを返します。」ウッドは言いました。「これらはオープンソースで公開されているもので、すべてのコンテンツの引用を提供し、AIとLLMのブラックボックスを縮小しようとしています。」

Googleのツールは次に自動的にアラートを生成し、7日遡って潜在的な脅威を分類します。AIエージェントはダークウェブデータにタグを付け、その後ベクトル比較を実行して、組織に影響を与える可能性のある盗まれたデータまたは悪意のある活動を検出します。

「数分以内に、過去1週間のアラートが流れ込み、私たちは各アラートを本当にシンプルな条件で優先順位をつけます。」ウッドは言いました。「各アラートの関連性を見ます。脅威アクターは私の組織プロファイルの要素について具体的に話していますか?そして、私のプロファイルの要素について話している可能性がありますか?それはもう少し曖昧です。」

たとえば、ダークウェブの犯罪者が50,000人以上の従業員と運用資産が500億ドルの大規模な北米銀行へのアクセスを販売していると主張している場合、GeminiはAcme Bankのプロファイルと攻撃者の主張の間のつながりを描き、これを高度な脅威として識別します。

Geminiは、627の脅威グループを追跡するGoogle Threat Intelligence Groupの人間分析者からの知識も取り込みます。

「この初期アクセスビルダーはどのくらい厳しいですか?このデータ漏洩はどのくらい厳しいですか?そしてGeminiを使用してバックグラウンドに入れたコンテキストを読んで、そのアラートを生成します。」ウッドは言っています。「私たちの目標は、数百から数千のほぼ偽陽性から遠ざかることです。」

Googleは、顧客が重要な脅威を説明するAI生成のレコメンデーションを信頼するようになることを期待しています。

Geminiのダークウェブインテルエージェントに与えられたアクセスレベルによっては、AIツールがサイバー犯罪者が悪用するための別の攻撃ベクトルを作成する可能性があるようです。

「私たちは主に公開されている情報とユーザーがプラットフォームに入れることを選択したコンテキストに焦点を当てています。」ウッドは言いました。「Googleはユーザー情報の保護を深く気にかけています。より多くのインサイトと機能をそれに統合する方法を注意深く見ていますが、ユーザーと顧客と協力して、情報をどのように交換したいかに関する多くの透明性があることを確認しています。」

でも待ってください、もっとあります(AIエージェント)

ダークウェブインテリジェンスツールに加えて、Googleは脅威対応を自動化するためにAIエージェント(プレビュー)をGoogle Security Operationsに追加しました。顧客はGoogleのトリアージおよび調査エージェントを含むエージェントを直接ワークフローに埋め込むことができ、アラートを自律的に調査し、分析用のエビデンスを収集し、判定を提供することができます。推理の説明も含みます。

さらに、Google Security Operationsの顧客は、リモートモデルコンテキストプロトコル(MCP)サーバーサポートで独自のエンタープライズセキュリティエージェントを構築できるようになりました。この機能は現在一般的に利用可能で、顧客は独自のセキュリティ運用MCPサーバークライアントをホストする必要がないことを意味します。これにより、Google Security Operations内で構築するセキュリティエージェント用の統一ガバナンスと制御が可能になります。®

翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/03/23/google_dark_web_ai/

ソース: go.theregister.com
#AI エージェント #Google Gemini #Googleセキュリティ #Security Operations #サイバーセキュリティ #セキュリティ自動化 #ダークウェブ監視 #データ漏洩検出 #初期アクセスブローカー #脅威インテリジェンス

関連記事

「アホ」な犯罪者が「ランサムウェアクラブの第一のルール」を破る

CiscoがMythosを絶賛——しかしモデルが発見したバグ数は非公開

ロシア情報機関、外国スパイが高官のスマートフォンを監視装置に変えたと主張