国家主導の諜報活動がAI時代に突入:GoogleがGeminiの広範な悪用を公開
人工知能(AI)の諸刃の剣としての性質を浮き彫りにする画期的な情報開示として、Googleの脅威インテリジェンスグループ(Google’s Threat Intelligence Group:GTIG)は、中国、イラン、北朝鮮、ロシアの国家主導の攻撃者がGemini AIをどのように組織的に悪用しているかを詳述した包括的なレポートを発表しました。今週発表されたこのレポートは、生成AI(Generative AI)がもはやサイバーセキュリティにおける理論上のリスクではなく、攻撃ライフサイクルのあらゆる段階における能動的な運用ツールであることを示す、これまでで最も詳細な証拠を提供しています。
フィッシングの誘い文句の洗練からポリモーフィックなマルウェアコードの生成に至るまで、敵対者は大規模言語モデル(Large Language Models:LLMs)の能力を活用してキャンペーンを加速させています。おそらく最も衝撃的なのは、Googleが「蒸留攻撃(distillation attacks)」という新たな洗練された脅威クラスを強調したことです。これは、サイバー犯罪者がAIモデル自体の知的財産を盗み出し、検閲のないプライベート版のテクノロジーを構築しようとする試みです。
AIの展望がオープンなイノベーションと安全保障上の管理の間で分断される中、今回の事実は極めて重要な時期に明らかになりました。Googleがならず者国家による不正使用と戦う一方で、米国国防総省は安全制約をめぐってAIリーダーであるAnthropicと公に衝突しており、兵器化されたAIの将来という複雑な構図を描き出しています。
「蒸留」攻撃の台頭:AIの「頭脳」を盗む
Googleのレポートにおける技術的に最も重要な発見の一つは、モデル抽出、すなわち「蒸留攻撃(distillation attacks)」の蔓延です。ユーザー情報や資格情報を標的とする従来のデータ窃盗とは異なり、蒸留攻撃はAIモデルの認知的アーキテクチャを標的とします。
Googleは、Geminiの論理、推論、言語能力を調査するために設計された10万件以上の生成プロンプトを含む大規模なキャンペーンを阻止したと報告しました。攻撃者の目的はサービスの妨害ではなく、その複製でした。モデルに組織的にクエリを投げ、その出力を記録することで、敵対者はGeminiのパフォーマンスを模倣する小規模な「生徒」モデル(student models)をトレーニングするためのデータセットを作成できるのです。
なぜ蒸留が重要なのか:
- 知的財産の窃盗: 競合他社や悪意のある攻撃者が、フロンティアモデルの莫大なトレーニングコストを負担することなく、独自のテクノロジーを複製することを可能にします。
- 安全フィルターの回避: 攻撃者がモデルの機能を独自のプライベートシステムに「蒸留」すると、GoogleやOpenAIなどの企業が苦心して実装した安全ガードレール(RLHF:人間からのフィードバックを通じた強化学習)を削除できてしまいます。その結果、制限なくマルウェアを書いたりヘイトスピーチを生成したりできる、検閲のないモデルが誕生します。
- 拡張性: Googleは、これらの攻撃は高度にスケーラブルであり、しばしば自動化されているため、正当なAPIアクセスを高価値なインテリジェンスの吸収源に変えてしまうと指摘しています。
グローバルな脅威主体とその戦術
レポートでは、よく知られた持続的標的型脅威(Advanced Persistent Threat:APT)グループによる、AIで強化された具体的な戦術を「絶え間ない弾幕」として詳述しています。これらの攻撃の多様性は、AIがエリートハッキングユニットだけでなく、サイバー諜報活動の全範囲で採用されていることを示しています。
以下の表は、Googleによって特定された主要な主体と、それらによるGeminiの具体的な悪用方法をまとめたものです。
| グループ名 | 出身 | 主な目的 | 使用されたAI戦術 |
|---|---|---|---|
| UNC2970 | 北朝鮮 | 防衛セクターの諜報 | OSINTの統合、「オペレーション・ドリーム・ジョブ」のターゲット・プロファイリング |
| APT42 | イラン | フィッシングと資格情報の窃盗 | 翻訳、ペルソナ開発、説得力のあるメールのドラフト作成 |
| UNC4841/UNC3886 | 中国 | 技術的搾取 | 脆弱性調査、コード生成、スクリプトの最適化 |
| APT44 (Sandworm) | ロシア | 重要インフラの破壊工作 | 戦時作戦における技術的制限の克服 |
| 金銭的動機を持つグループ | グローバル | 利益/ランサムウェア | 「Honestcue」マルウェア、AI駆動のフィッシングキットの開発 |
北朝鮮:採用活動を装った茶番
悪名高いLazarus Groupに関連する北朝鮮のグループUNC2970は、長年続いている「オペレーション・ドリーム・ジョブ(Operation Dream Job)」にGeminiを統合しました。このキャンペーンは、防衛および航空宇宙セクターの従業員を偽の求人で標的にし、安全なネットワークに侵入するものです。Googleの分析によると、UNC2970はGeminiを使用して、LinkedInやその他のプラットフォームからオープンソースインテリジェンス(Open Source Intelligence:OSINT)を収集・統合しています。プロフィールをAIに読み込ませることで、このグループはセキュリティ意識の高いターゲットの疑念を回避する、高度にパーソナライズされた信頼性の高い採用資料を生成します。AIにより、彼らは前例のないスピードで技術的な役割や給与体系をマッピングできるようになりました。
イラン:ソーシャルエンジニアリングのエンジン
APT42のようなイランの攻撃者にとって、効果的なソーシャルエンジニアリングの参入障壁は、歴史的に言語と文化的なニュアンスでした。Geminiはこの障壁を効果的に下げました。このグループはモデルを活用して、文法的に完璧で、イスラエルや米国のターゲットに文化的に同調したフィッシングメールを作成しています。さらに、APT42はAIを侵害後の活動にも使用しており、盗み出したデータを解析して価値の高いメールアドレスや資格情報を迅速に特定し、初期侵入後の「ブレイクアウト(展開)」時間を加速させています。
中国:キルチェーンの自動化
中国の国家主導グループは、技術的な統合を好む傾向を示しています。単にテキストにAIを使用するだけでなく、Geminiをコード分析に採用しています。レポートは、UNC4841のようなグループがモデルを使用して、スクリプトの最適化を提案したり、潜在的なエクスプロイトのバグを特定したりしている様子を強調しています。これは、人間のオペレーターがLLMをフォースマルチプライヤー(戦力倍増因子)として使用し、ゼロデイ脆弱性を特定したり、ウイルス対策のシグネチャを回避するポリモーフィックなコードを記述したりする「AI支援型ハッキング」へのシフトを示唆しています。
自動化されたマルウェアと「Honestcue」の脅威
国家諜報活動以外にも、レポートは商業的なサイバー犯罪セクターによるAIの採用に光を当てています。際立った発見は、Gemini APIを活用するために明示的に設計されたマルウェアフレームワークである「Honestcue」です。
Honestcueは、ダウンローダーおよびランチャーとして機能し、Gemini APIに自然言語のプロンプトを送信し、応答として悪意のあるC#ソースコードを受け取ります。コードは動的に生成されメモリ内で実行されるため、従来のエンドポイント検出システムがフラグを立てることが非常に困難な「ファイルレス(fileless)」攻撃の足跡を作り出します。これは重要な進化を象徴しています。マルウェアはもはや静的なファイルではなく、クラウドベースのAIによって臨機応変に生成される動的な指示セットなのです。
同様に、Googleは「ClickFix」キャンペーンも特定しました。これはAIを使用して、説得力のあるテクニカルサポートの指示を生成するソーシャルエンジニアリング攻撃です。これらの指示は、ユーザーを騙して悪意のあるスクリプトを自分の端末にコピー&ペーストさせ、「修復ガイド」に対する被害者の信頼を悪用します。
防衛のジレンマ:Anthropic 対 ペンタゴン
Googleが自社のAIエコシステムから犯罪者を「排除」するために戦う一方で、ワシントンでは誰を「受け入れる」べきかをめぐって別の戦いが展開されています。今週のAxiosやThe Wall Street Journalの報道で確認されたように、米国国防総省(DoD)は、AIプロバイダーであるAnthropicの厳格な利用規約をめぐって同社と対立しています。
Pete Hegseth国防長官は、Anthropicを「サプライチェーンのリスク」と呼び、同社との提携を解消すると脅しています。紛争の核心は、兵器開発や致死的な作戦への支援を拒否することを含むAnthropicの「憲法的AI(Constitutional AI)」アプローチにあります。これらのセーフガードは、Googleがイランや北朝鮮から受けているのとまさに同じ種類の悪用を防ぐために設計されていますが、ペンタゴンはそれを負債と見なしています。
「我々の戦士たちは、戦場で意思決定の優位性を提供するモデルにアクセスできる必要がある」とDoD高官は述べ、「戦争をさせてくれない」モデルを批判しました。この緊張は、1月にベネズエラのニコラス・マドゥロ大統領を拘束した襲撃の際、Palantir経由でAnthropicのClaudeモデルが使用されたと報じられたことでさらに悪化しました。この事件は「デュアルユース(軍民両用)のジレンマ」を浮き彫りにしています。AIがテロの道具になるのを防ぐためのまさにそのセーフガードが、今や国家安全保障の障害として枠付けられているのです。
業界への戦略的影響
Googleによる犯罪的悪用の報告と、ペンタゴンとAnthropicの争いという2つの物語の収束は、2026年におけるAIセキュリティの展望を鮮明に描き出しています。
サイバーセキュリティの専門家にとって、Googleのレポートは、洗練された攻撃への「参入障壁」が崩壊したことを裏付けています。スクリプトキディ(Script kiddies)が複雑なマルウェアを生成できるようになり、非ネイティブスピーカーが完璧なフィッシングの誘い文句を作成できるようになりました。「蒸留」攻撃は、すべての企業AI採用者への警告となります。あなたのモデルはあなたの知的財産であり、現在能動的に包囲されているのです。
政策立案者にとって、矛盾は明白です。業界は同時に、国家主導の悪用を防ぐためにモデルをロックダウンすること(Googleの課題)と、国家公認の軍事作戦を可能にするためにモデルを開放すること(Anthropicの課題)を求められています。UNC2970やAPT42のような脅威主体が革新を続ける中、イノベーション、安全、そして防衛能力のバランスを取る西側の能力が、次世代のサイバー戦争を定義することになるでしょう。
Googleの対応は、「堅牢なエコシステム」の防御を強化し、これらの攻撃者に関連するアカウントやインフラを遮断することでした。しかし、「Honestcue」マルウェアが示すように、APIがビジネスのために開かれている限り、それは悪用のために開かれたままでもあるのです。
