2026年5月、Googleの脅威インテリジェンスグループ(GTIG)が史上初となる「AIによって開発されたゼロデイエクスプロイト」の検出・阻止に成功した。犯罪者がオープンソースのWebベース管理ツールに存在する認証ロジック欠陥を突き、2FA(二要素認証)を迂回して大量悪用キャンペーンを展開する直前での阻止であった。この事象が示す構造的転換は深刻である。Mandiant M-Trends 2026によれば、平均悪用開始時間(Mean Time-to-Exploit)はマイナス7日――すなわちパッチが公開される1週間前にすでに攻撃が始まっている。従来の60日パッチサイクルどころか、パッチ公開前に攻撃が完了する時代に突入したことを意味する。同時期、AnthropicのClaude Mythos Previewは17年前のFreeBSD脆弱性を完全自律で発見・悪用し、ESETが検出したPROMPTSPYマルウェアはGemini 2.5-Flash-Liteをランタイム統合してAndroid端末を自律操作する。AI自律ゼロデイ発見の産業化はもはや予測ではなく現実であり、防御側に残された時間的余裕は構造的に消滅しつつある。

Google GTIG初確認:AIが書いたゼロデイエクスプロイトの技術的解剖

2026年5月11日、Google脅威インテリジェンスグループ(GTIG)は、犯罪者がAIモデルを用いて開発したゼロデイエクスプロイトを検出・阻止したと公表した。これは「AIが実際に兵器級エクスプロイトを生成し、それが実戦投入される寸前だった」ことが確認された史上初の事例である。

対象となった脆弱性は、広く利用されているオープンソースのWebベースシステム管理ツールに存在する認証ロジックの欠陥であった。注目すべきは、この脆弱性がバッファオーバーフローのようなメモリ破壊型ではなく、認証判定システムにおけるセマンティック・ロジック欠陥であったという点である。つまり、2FA認証の実装において「この条件下では2FAをスキップしてよい」というハードコードされた信頼仮定を突くものであり、有効なユーザー認証情報さえあれば2FAを完全に迂回できる。

GTIGがこのエクスプロイトをAI生成と判断した根拠は複数ある。第一に、コード全体に教育的なdocstringが散在していた。第二に、コメントに「幻覚」によるCVSSスコアリングが埋め込まれていた。第三に、Python構文が教科書的な整形パターン――LLM訓練データに典型的な過剰文書化構造――と一致していた。これらはいずれもLLMの出力特性と符合する。

犯罪者側の計画は明確だった。この2FA迂回エクスプロイトを用いて、当該管理ツールを利用する組織を対象とした大量悪用キャンペーンを展開することである。GoogleはベンダーとGTIG内で調整し、パッチ公開を攻撃開始前に間に合わせた。ベンダー名は未パッチのユーザー保護のため非公開のままである。

この事例が持つ技術的含意は重大である。AIが発見・悪用した脆弱性がメモリ破壊ではなくロジック欠陥であったという事実は、ファジングやSAST(静的解析)では検出困難なカテゴリの脆弱性をAIが効率的に発見できることを示している。筆者の経験では、脆弱性診断・ペネトレーションテストの実務においてロジック欠陥の発見は最も属人性が高い領域であり、テスト自動化の恩恵を受けにくかった。それをAIが自動化したという事実は、攻撃側の能力が質的に転換したことを意味する。

時間ゼロの衝撃:Mean Time-to-Exploitマイナス7日とパッチサイクルの構造的崩壊

Mandiant M-Trends 2026レポート(2026年5月公開)が提示した統計は衝撃的である。悪用開始までの平均時間(Mean Time-to-Exploit)がマイナス7日に達した。2018年には63日だった数値が、2024年にはマイナス1日、2025年にはマイナス7日へと加速度的に短縮されてきた。これは「ベンダーがパッチを公開する平均1週間前に、すでに攻撃者が脆弱性を悪用している」ことを意味する。

CrowdStrike 2026年版脅威レポートによれば、公開前のゼロデイ悪用は前年比42%増加した。Mandiantが2025年に分析したインシデント対応は50万時間以上に及び、その中で脆弱性公開から24時間以内に悪用が開始されたケースは全体の28.3%に達した。

一方、防御側の修復速度はどうか。重大な脆弱性の平均修復時間は137日である。攻撃開始がマイナス7日、修復完了が137日。この144日のギャップは、もはやパッチ管理という概念そのものの有効性に疑問を投げかける。セキュリティ研究者らは、AI駆動の脆弱性発見と兵器化の加速により、2028年までに悪用タイムラインが「分単位」に圧縮されると予測している。

この構造的崩壊をさらに加速しているのが、AI自律ペンテストツールの進化である。Penligentの200+ツールオーケストレーションに代表されるように、攻撃側は自然言語プロンプト一つで偵察からエクスプロイト生成までを自動化できる環境を手にしている。従来のペネトレーションテストで数日かかっていた工程が、10分未満で完了する。

この時間差の意味するところは明確である。パッチ中心の防御戦略は機能しない。検知ベース、ランタイム防御ベースのセキュリティへの転換が不可避であり、「脆弱性を修正する」のではなく「悪用の兆候を検知し遮断する」ことが防御の主軸になる。

筆者がSOC構築・運用に携わった経験からも、この転換の必要性は強く実感する。SOCの価値はツール導入ではなく、アラートから判断までの人間のプロセス設計にある。しかしマイナス7日の攻撃速度に対して人間の判断ループで対応するには、自動化された初動対応と、AIによるトリアージの組み合わせが不可欠である。

PROMPTSPY・Mythos・Hexstrike:2026年の攻撃面産業化を構成する3つの技術軸

2026年のAI攻撃面産業化は、3つの異なる技術軸から同時に進行している。

第一の軸:PROMPTSPY ── 生成AIランタイム統合型マルウェア

2026年2月、ESETが検出したPROMPTSPYは、Android向け自律マルウェアとして史上初めて生成AIをランタイムに直接統合した。そのGeminiAutomationAgentモジュールの動作原理は以下の通りである。(1) Android端末のUI階層構造をAccessibility API経由でXML形式にキャプチャする。(2) そのXMLをGoogle Gemini 2.5-Flash-Liteモデルに送信する。(3) モデルが「クリック座標(x,y)」「スワイプ方向」「ナビゲーション先」などのアクション指示を構造化JSONで返す。(4) マルウェアがJSONを解析し、端末上で自律的にジェスチャーを実行する。(5) ターゲットアクション完了まで(1)-(4)をフィードバックループで繰り返す。

PROMPTSPYはPINコード入力、ロックパターン解除、生体認証キャプチャとリプレイ、さらに「アンインストール」ボタンへのタッチを透明オーバーレイでブロックする機能まで備える。JPMorgan Chaseの正規バンキングアプリを偽装した「MorganArg」として配布され、Firebase Cloud Messagingによるリモート再起動も可能である。初期サンプルは2026年1月13日に香港から、進化版は2月10日にアルゼンチンからVirusTotalに投稿された。

第二の軸:Anthropic Mythos Preview ── 自律脆弱性発見の精度向上

2026年4月7日にProject Glasswingとともに公開されたClaude Mythos Previewは、CyberGymベンチマークで83.1%のスコアを達成した(Claude Opus 4.6は66.6%)。人間の支援なしで機能するエクスプロイトを生成する成功率は72%に達する。最も注目を集めたのはCVE-2026-4747――FreeBSD NFSサーバーのRPCSEC_GSS認証プロトコルにおける17年物のスタックバッファオーバーフローである。Mythosは20ガジェットのROPチェーンを複数パケットにまたがって構築し、認証なしのroot権限取得を実現した。FreeBSDはMythosの発見を受けて2026年3月26日にパッチを公開したが、わずか3日後の3月29日には野生での悪用が確認された。

Project Glasswing全体では、AWS、Apple、Cisco、Google、Microsoft、NVIDIAなど約200組織が参加し、1,000以上のオープンソースプロジェクトから23,019件の問題(うち6,202件が高・重大)を検出した。Anthropicはモデル利用クレジット1億ドルと寄付金400万ドルを拠出している。

第三の軸:HexStrike/Strix ── オープンソース攻撃フレームワークの民主化

HexStrikeはMCPベースのオープンソースAI侵入テストフレームワークで、Claude、GPT、Copilotなど主要AIエージェントと統合し、150以上のサイバーセキュリティツール(偵察、Webテスト、リバースエンジニアリング、クラウドセキュリティ)を統合操作する。Check Pointの分析によれば、エクスプロイト開発時間を「数日〜数週間」から「10分未満」に短縮する。実際に、犯罪者がHexStrikeを武器化してCitrix脆弱性を開示後1週間以内に悪用した事例がダークネットフォーラムで確認されている。

Strixプラットフォームは2026年4月時点で8万人以上のユーザーを抱え、日次で150億以上のLLMトークンを処理、1,300件以上のペンテストを実行し、7万8,000件以上の脆弱性を報告している。並列実行ワークフローにエージェントを配置するグラフモデルにより、分散セキュリティテストを効率化している。これらのツールが攻撃側に「AI自律攻撃ツールの産業化」をもたらしている構図は明白である。

防御側の構造的後手:検知中心アーキテクチャへの移行と経済的課題

攻撃面の産業化に対し、防御側が構造的に後手に回っている要因は複数ある。

第一に、パッチベース防御の限界が数学的に証明された点である。Mean Time-to-Exploitがマイナス7日、修復までの平均137日という現実において、「パッチが出たら適用する」という戦略は防御として機能しない。2026年の脆弱性総数は5万件を超える勢いでCVE IDが消費されており(FIRST予測では2026年中にCVE-2026-50000に到達)、優先順位付けすら追いつかない状態である。

第二に、AIが発見する脆弱性のカテゴリがシフトしている点である。Google GTIGの事例が示すように、AIはメモリ破壊型ではなくロジック欠陥を効率的に発見する。ロジック欠陥は従来のWAF(Web Application Firewall)やIDS/IPSのシグネチャベース検知では捕捉が困難であり、振る舞いベースの異常検知が必要となる。

第三に、攻撃ツールの民主化コストが防御ツールの導入コストを大幅に下回っている点である。HexStrikeはオープンソースで無料、Strixも基本機能は無償提供であり、攻撃能力の獲得コストはほぼゼロである。一方、EDR、XDR、SOAR、SIEMの導入・運用には年間数百万〜数億円規模の投資が必要であり、攻防間の経済的非対称性が拡大し続けている。

この構造に対する現実的な対応策は以下の3層に整理される。

層1:ランタイム検知と自動遮断 AIエージェントによるリアルタイム挙動監視を導入し、認証フロー中の異常パターン(通常と異なるAPIコール順序、異常なセッション遷移)を即座に遮断する。従来のSIEMアラートを人間が判断するモデルでは間に合わない。

層2:ゼロトラスト認証の強化 2FA迂回攻撃への対策として、FIDO2/WebAuthnベースのハードウェアセキュリティキーへの移行が最も効果的である。ロジック欠陥による2FA迂回は、OTPやプッシュ通知など「知識・所有」因子に依存する方式で発生しやすい。パスキーによる暗号学的バインディングは、中間者攻撃とロジック欠陥の双方に耐性を持つ。

層3:AI対AIの防御自動化 攻撃側がAIで脆弱性を発見し10分でエクスプロイトを生成するのであれば、防御側もAIでコードベースの自動監査、認証フローの形式検証、デプロイ時の自動セキュリティテストを実装する必要がある。Deterministic AIとAgentic AIのアーキテクチャ設計におけるトレードオフを理解し、決定論的ガードレールの中でエージェント型防御を運用する設計が求められる。

2026年後半の展望:防御経済学のパラダイム転換

2026年後半以降、AI生成ゼロデイ攻撃の産業化はさらに加速する構造的要因が複数存在する。

第一に、AI脆弱性発見能力のコモディティ化である。AnthropicがプロジェクトグラスウィングでMythos Previewの招待制アクセスを提供する一方、HexStrikeやStrixのようなオープンソースフレームワークは誰でも利用可能であり、攻撃能力の底上げが継続する。AI生成コードの脆弱性率が25.7%(6つのLLMから生成された522サンプルの検証結果)という数値は、AIが生成するコード自体が新たな攻撃面を生み出す再帰的構造を示唆している。

第二に、マルウェアのAI統合が本格化する点である。PROMPTSPYのGeminiAutomationAgentは「概念実証」の域を超え、Firebase経由のリモート再起動、VNCモジュールによる完全遠隔制御、スクリーンショット・動画キャプチャなど実戦的機能を備えている。このアーキテクチャパターン――「ランタイムにLLMを組み込み、環境をリアルタイムに解析して自律行動する」――は他のマルウェア開発者に容易に模倣される。

第三に、サプライチェーン攻撃との融合可能性である。MCPサーバーの20万脆弱性インスタンス問題が示すように、AIエージェント統合のサプライチェーンは急速に拡大しており、その各接点がAI生成エクスプロイトの侵入口となりうる。HexStrikeがMCPプロトコルを通じてAIエージェントと統合する設計は、攻撃用AIエージェントが他のAIエージェントのインフラを侵害するという再帰的リスクを内包している。

防御経済学の観点では、2つの構造的転換が必要である。第一に、セキュリティ投資の配分を「予防(パッチ管理)7:検知3」から「予防3:検知・対応7」へと反転させること。第二に、防御側AIの運用コストを攻撃側と同等まで引き下げるため、オープンソースの防御AIフレームワークへの産業投資を加速させることである。Anthropicのプロジェクトグラスウィングが1億ドル規模の投資を行ったことは方向性として正しいが、攻撃側のHexStrike/Strixが無償で8万人以上に利用されている現実との経済的ギャップは依然として大きい。

セキュリティ戦略は、ビジネスの制約を理解した上でないと絵に描いた餅になる。筆者がセキュリティ設計・戦略策定に携わった経験から言えば、ゼロトラスト設計やAI防御の導入提案は技術的に正しくても、経営層の投資判断が伴わなければ実装されない。AI生成ゼロデイの産業化という現実を、技術論ではなく経済リスクの言語に翻訳して伝えることが、防御側アーキテクトに今最も求められている能力である。

FAQ

AI生成ゼロデイとは何ですか?

AI生成ゼロデイとは、AIモデル(LLM等)がソフトウェアの未知の脆弱性を自律的に発見し、その悪用コード(エクスプロイト)まで生成したものを指す。2026年5月にGoogle GTIGが初の実戦事例を確認した。AIが生成するエクスプロイトはロジック欠陥など従来の自動テストでは発見困難なカテゴリを含み、開発から悪用まで数時間で完結する点が従来の手動開発と根本的に異なる。

2FA(二要素認証)はAIに迂回されるのですか?

OTPやプッシュ通知ベースの2FAは、認証ロジックの実装欠陥を突くことで迂回される可能性がある。Google GTIG事例では認証判定のハードコードされた信頼仮定が悪用された。対策としてFIDO2/WebAuthnベースのハードウェアセキュリティキーが最も効果的であり、暗号学的バインディングによりロジック欠陥や中間者攻撃の双方に耐性を持つ。

PROMPTSPYマルウェアはどのように生成AIを使うのですか?

PROMPTSPYはGeminiAutomationAgentモジュールを通じ、Android端末のUI階層をXMLで取得→Gemini 2.5-Flash-Liteに送信→アクション指示JSONを受信→端末操作を自律実行するフィードバックループで動作する。PINコード入力やロックパターン解除を人間の操作なしに実行できる点が革新的である。

Mean Time-to-Exploitがマイナスとはどういう意味ですか?

ベンダーがパッチを公開する前に攻撃者が脆弱性の悪用を開始していることを意味する。Mandiant M-Trends 2026によれば、2025年の平均値はマイナス7日であり、パッチ公開の1週間前にすでに攻撃が進行している。2018年には63日だった数値の劇的な変化であり、パッチ適用だけでは防御として不十分な時代に入ったことを示す。

HexStrikeやStrixはどのような攻撃ツールですか?

HexStrikeはMCPベースのオープンソースAI侵入テストフレームワークで150以上のセキュリティツールを統合操作する。StrixはAIエージェントの並列実行ワークフローにより1日1,300件以上のペンテストを処理する。いずれも本来は正当なセキュリティテスト用だが、オープンソースであるため犯罪者にも悪用されている。

AI時代のサイバー防御で最も重要な対策は何ですか?

パッチ管理中心から検知・対応中心への戦略転換が最重要である。具体的には、ランタイム挙動監視による自動遮断、FIDO2ベースの認証強化、AI対AIの自動コード監査の3層防御が有効である。AIペンテストエージェントの産業地図を理解し、攻撃側と同等の速度で防御を更新する体制構築が不可欠である。

企業は今すぐ何をすべきですか?

第一にFIDO2/パスキーへの認証移行を開始すること。第二にSIEM/SOARの自動対応ルールを整備し、認証異常の即時遮断を実装すること。第三にセキュリティ投資配分を予防7:検知3から予防3:検知対応7へ反転させる経営判断を促すこと。技術論ではなくAI生成攻撃による経済リスクの数値化が、経営層の投資判断を動かす鍵となる。

参考文献