Googleの脅威インテリジェンスグループ(GTIG)は5月11日、国家に連携するハッカーや犯罪者がAIを産業規模で武器化しているという衝撃的な報告書を発表した。同グループは、AI支援によって開発されたと考えられるゼロデイエクスプロイトを初めて確認した。また、PROMPTSPYと呼ばれる新たなマルウェアは、認証フローを監視し、二要素認証をリアルタイムで回避できる。暗号資産ユーザーへのメッセージは明確だ——標準的な2FAではもはや十分ではない。
初のAI支援型ゼロデイエクスプロイト
GTIGは、生成系AIを用いてほぼ確実に構築されたゼロデイエクスプロイトを使用する脅威アクターを特定したと述べている。このエクスプロイトは大規模な悪用イベントを目的として計画されていたが、先制的な対抗発見により展開が阻止された可能性がある。報告書は具体的な脆弱性や背後にいるアクターを明らかにしていないが、転換点を示している。2026年2月、GTIGはAI支援による敵対的活動を初期段階で実験的なものと表現していた。現在では、生成モデルが大規模に攻撃ワークフローに組み込まれているとの評価である。
PROMPTSPY:認証を監視するマルウェア
報告書は、PROMPTSPYと呼ばれる機能を詳述している。これはAI対応マルウェアで、システム状態を動的に解釈し、リアルタイムでコマンドを生成して被害者の環境を操作する。最も憂慮すべき機能の一つは、ライブセッション中にSMSベースおよびアプリベースの二要素認証に対してタイミング攻撃を実行できる点である。つまり、ユーザーが2FAコードを入力しても、マルウェアがそのコードが目的のサービスに届く前にセッションを傍受または乗っ取る可能性がある。さらに、検出を回避するために自身を書き換える多形性マルウェアも、ロシア関連の脅威アクターと疑われる者たちに関連付けられている。
標準的な2FAでは不十分な理由
GTIGの発見は、ワンタイムコードやプッシュ通知が十分なセキュリティを提供するという前提に直接挑戦する。マルウェアが認証フローをリアルタイムで観察し応答できるならば、第二要素は盾ではなくなり、むしろ脆弱性となる。報告書は、暗号資産ユーザーに対してハードウェアセキュリティキー、エアギャップ署名デバイス、マルチシグウォレットアーキテクチャを推奨している。これらの方法は、リアルタイムで傍受される可能性のあるネットワーク観測可能なコードに依存しない。
報告書はまた、中国および北朝鮮に関連する国家連携アクターが脆弱性発見にAIを利用することに強い関心を示していると指摘している。これは、ゼロデイエクスプロイトのパイプラインが加速する可能性を示唆している。暗号資産を保有している、または機密性の高いアカウントを管理している人にとって、SMSベースの2FAからアップグレードする猶予は大幅に短くなった。
