「AI製ゼロデイ攻撃」ついに出現か Google、攻撃者による生成AI悪用の新局面を報告
AIを使って開発したと思われるゼロデイ攻撃コード(エクスプロイト)使用を計画する攻撃者グループを初めて特定――米Googleの脅威分析部門Google Threat Intelligence Group(GTIG)は、5月11日(現地時間)にAIの悪用に関する最新動向のレポートを公表し、このように明かした。
問題の攻撃者グループは、このエクスプロイトを大規模な脆弱(ぜいじゃく)性悪用に使う計画だったが、GTIGによる事前の発見で使用を防げた可能性があるという。なお、GTIGは攻撃計画を発見した過程について詳細を伏せている。
このエクスプロイトはPythonスクリプトとして実装され、広く使われているオープンソースのシステム管理ツールで、2FA(2要素認証)を回避できるゼロデイ脆弱性を悪用するものだった。ただし、悪用には有効なユーザー認証情報が必要だった。GTIGは影響を受けたベンダーと連携し、同脆弱性を開示して攻撃を妨害したとしている。
今回の脆弱性悪用の流れ(出典:公式ブログ)
GTIGは、GoogleのAIモデル「Gemini」が今回のエクスプロイトの開発に使われたとは考えていないとした一方、スクリプトに教育的な説明文や幻覚(ハルシネーション)とみられるCVSS(共通脆弱性評価システム)スコア、大規模言語モデル(LLM)の訓練データに特徴的な整ったPythonコードの形式が含まれていたことから、攻撃者がAIモデルを脆弱性の発見やエクスプロイトの開発に使った可能性が高いと分析している。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
こんなメディアも見られています
ITmedia AI+に関連する情報をお探しであれば、こちらのメディアもお役に立てるかもしれません。
SpecialPR
よく見られているカテゴリー
アクセスランキング
-
1
「ポンコツ」と呼ばれたM365 Copilotの逆転劇、GPT-5が転換点 活用の秘訣は“脱・プロンプト職人”
-
2
人間 vs. 人型ロボ、より多く作業をこなせるのは? 生配信で対決した結果…… 米企業
-
3
「AIデータセンターの電力需要が急増」はホント? 発電大手Jパワー社長が明かした“報道との温度差”
-
4
キオクシア社長「記録的な増収増益」 3カ月の売上収益1兆円、純利益は2990%増 好決算の背景は
-
5
伊藤忠商事や三菱ケミカルなど16社が参画 大手企業の「暗黙知」を活用する新プロジェクト
-
6
NEC社長が説く AI時代と新たな安全保障環境の到来で「ITサービスはこう変わる」
-
7
「邪魔すぎ」――LINE入力欄の“新AI機能”が不評 消し方は?
-
8
生成AIで3Dモデルを自動作成 専門スキル不要でテキストや画像から3D化
-
9
OpenAI、「ChatGPT」に個人向け資産管理機能 金融口座と連携
-
10
Python 3.15に追加されるlazy importと内包表記でのアンパッキングについて調べてみた
SpecialPR
ITmedia AI+ SNS
@itm_aiplusをフォロー
インフォメーション
注目情報をチェック
ITmedia AI+をフォロー
あなたにおすすめの記事PR