10万件超のプロンプトで「AIの知能」が盗まれる モデル抽出攻撃の衝撃：Googleが警告する「攻撃ライフサイクル」の激変

Googleの脅威情報専門家チームは、生成AIが攻撃ライフサイクル全体の生産性を高めているとするレポートを公開した。LLMを狙うモデル抽出攻撃やAI活用型フィッシングの増加が明らかになった。

[TechTargetジャパン]

　Googleの脅威情報専門家チームGoogle Threat Intelligence Group（GTIG）は、脅威アクターが生成AI（AI：人工知能）を活用し、攻撃ライフサイクル全体の生産性を大きく高めている実態を明らかにした。

　2026年2月13日（米国時間）、GTIGが公開した調査レポート「GTIG AI Threat Tracker: Distillation, Experimentation, and (Continued) Integration of AI for Adversarial Use」で明らかになったものだ。同レポートが示すのは、「攻撃の質」より「攻撃の回転数」が上がっている実態だ。最新レポートの概要は以下の通りだ。

モデル抽出攻撃の増加

編集部のお薦め記事

　GTIGとGoogleのAI研究開発機関Google DeepMindは、大規模言語モデル（LLM）を標的とする「モデル抽出攻撃」の増加を確認した。これは、攻撃者が正規のAPIアクセスを使って大量の問い合わせを試みることで、LLMを体系的に探索し、得られた知識を自前のモデルに移転させる。GTIGは、モデル抽出攻撃は知的財産の窃取に相当すると位置付けている。

　GTIGはレポートでモデル抽出攻撃の事例として、攻撃者がGeminiのリーズニングプロセスを丸ごと引き出そうとした「リーズニングトレース強制」攻撃を報告している。この攻撃では10万件を超えるプロンプトが確認され、非英語圏向けにGeminiのリーズニング能力を複製しようとする意図が読み取れた。Googleはリアルタイムでこの攻撃を検知し、攻撃リスクを低減させ、リーズニングプロセスを保護した。この種の攻撃は一般ユーザーに直接被害を与えるものではないが、AIをサービスとして提供する企業にとっては深刻な経営リスクとなる。

偵察とフィッシングを変えるAIの力

　GTIGが確認したもう1つの顕著な変化は、偵察とフィッシングの高度化だ。

　「持続的標的型脅威」（APT：Advanced Persistent Threat）グループが生成AIを使い、「OSINT」（WebサイトやSNS、公開データベース、報道、検索エンジンなど、公開された情報源から合法的に入手できる情報を収集し、それを分析して意思決定に活用する手法）を使って、組織構造や意思決定者、役職、文化的背景までを短時間で把握する。これにより、従来は熟練者が担っていた標的分析を、より広範かつ迅速に実施できるようになった。

　国家の支援を受けた攻撃アクターが、生成AIを使って多言語対応の自然な文面や、関係構築を意識した“会話型フィッシング”を生成する動きもある。文法の不自然さや文化的違和感といった、従来の「見抜く手掛かり」は急速に失われつつある。

コーディングとツール開発を支援する生成AI

　生成AIツールが、万能のプログラマーとして攻撃者に活用されている実態も明らかになった。

• APT31
  • 「セキュリティ研究者としてHexstrikeのMCPツールを試している」というシナリオを提示し、Geminiに対して、リモートコード実行（RCE）やWebアプリケーションファイアウォール（WAF）回避、SQLインジェクションに関するテスト結果の分析や、検証観点の整理を求めるという攻撃を実施した。これにより、特定の標的に関する技術的な弱点や防御上の論点を、人手よりも速く洗い出す作業を効率化したとみられる。
• APT41
  • オープンソースソフトウェアのREADMEをGeminiに渡し、ツールの説明や活用例を生成させることで、悪意あるツールの開発、展開を加速させた。
• APT42
  • Geminiをデバッグ、コード生成、脆弱性調査にも利用し、新種マルウェアや攻撃ツールの開発を進めている。

　現時点では、AIが自律的に攻撃を完遂する「完全自動化」には至っていない。しかし、ツール開発やトラブルシューティングを支援することで、攻撃者の作業効率は確実に向上している。

フィッシングキットの進化と「正規サービス」の悪用

　GTIGは、脅威アクターがAIのコード生成機能をマルウェア開発、展開に悪用する事例も引き続き観測した。その一例として、フィッシングキット「COINBAIT」がある。COINBAITは、AI搭載の開発プラットフォーム「Lovable AI」を用いて構築された。大手仮想通貨取引所に偽装してログイン情報を詐取するものだ。

　React SPA（シングルページアプリケーション）の複雑な構成や、ソースコード内の詳細なデバッグログが、AI生成コードの特徴的な指標となっている。

AIへの信頼を悪用した「ClickFix」攻撃キャンペーン

　GTIGは2025年12月初め、生成AIサービスへの一般的な信頼と、チャット履歴の公開共有機能を悪用し、マルウェアを配信する攻撃キャンペーンを確認した。数年前から被害が広がっている「ClickFix」というソーシャルエンジニアリング手法によってユーザーをだまし、悪意あるコマンドラインスクリプトを、システムターミナルに貼り付けさせるというものだ。

　攻撃者はさまざまなAIチャットプラットフォームで、コンピュータの一般的な問題（ディスクの空き容量確保など）の解決方法として、このコマンドラインスクリプトを含む回答を生成させ、そのチャット記録の公開共有リンクを作成する。さらに、広告などによってこのリンクをユーザーに配信し、チャット記録に誘導する。ユーザーが内容を信用し、このスクリプトをターミナルに貼り付けると、悪意あるコマンドが実行されてしまうが、ユーザー自身の操作によるものであるため、セキュリティソフトウェアは検知、遮断しにくい。