Google、犯罪ハッカーがAIを利用してゼロデイ脆弱性を発見したと発表

Googleは、犯罪ハッカーがAIシステムを利用して自社ソフトウェアのゼロデイ脆弱性を特定・悪用したことを確認した。ニューヨーク・タイムズの報道によると、これは攻撃者がAIを活用して主要なセキュリティ上の欠陥を自律的に発見した初の文書化された事例となる。この侵害は、重大な被害が発生する前にGoogleの脅威分析グループ（TAG）によって検出されたが、この出来事はAIを活用したサイバー攻撃の新たな局面を示している。

攻撃の仕組み

ハッカーはカスタムAIエージェントを採用し、Googleのコードベースに対してファジングや静的解析を実行し、特に未修正のメモリ破損バグを標的にした。AIは広く展開されているライブラリ内のuse-after-free脆弱性を特定し、それをエクスプロイトに転用した。Googleは具体的な製品名を明らかにしなかったが、「相当数のユーザー」に影響が及び、パッチが展開中であると述べている。

NYT記事からの主な技術的側面：

• 攻撃者はファインチューニングされたLLMとバイナリ解析ツールチェーンを組み合わせて使用した。公開されているAIモデルには依存していなかった。
• AIは概念実証ペイロードを生成し、クラッシュダンプに基づいて反復的に改良した。
• Google TAGは、AI生成シグネチャではなく、エクスプロイト配信パターンの異常検知により攻撃を傍受した。
• 完全な調査は継続中だが、Googleはこの活動を金融サイバー犯罪で知られる国家支援グループによるものと推定している。

防御側への影響

この出来事は、AIがゼロデイ発見のハードルを下げるという長年の懸念を裏付けるものだ。セキュリティチームは自動化された脆弱性ハンティングの増加を想定し、パッチ適用のペースを調整すべきである。MicrosoftのSecurity CopilotやGoogleのGemini for Securityのようなツールは防御的使用に焦点を当ててきたが、今回の事例は同じ技術が敵対者の手で実際に活用されていることを示している。もはや理論上の話ではない。AI主導のオフェンシブセキュリティが現実のものとなったのだ。