生成AIがゼロデイを発見する時代｜GoogleがLinux管理者に突きつけた「初の実例」

Google脅威インテリジェンスグループ（GTIG）が公開した報告書に、こう書かれていました。「私たちは、犯罪者がAIモデルを使ってゼロデイ脆弱性を発見し、武器化した世界初の実例を確認した」と。

「いつかは来る」と思っていたが、こんなに早く実現するとは正直驚きました。

本稿では、GTIGレポートの核心を現役Linux管理者の目線で整理し、今週中に確認すべきことを具体的に書きます。

Googleが確認した「世界初の実例」とは何か

2026年5月11日、GTIGはAIを使ったサイバー脅威の追跡レポートを公開しました。その中で「世界初」として記録されたのは、次の出来事です。

あるサイバー犯罪グループが、広く使われているオープンソースの「Webベースシステム管理ツール」に存在する、未知の脆弱性（ゼロデイ）を発見しました。それだけではありません。AIを使って、その脆弱性を実際に攻撃できる状態にするPythonスクリプトまで生成した。大規模攻撃を実行しようとしていたところを、GTIGが把握し、ベンダーへの責任ある開示によって事前に阻止しました。

脆弱性の種類は二要素認証（2FA）バイパスです。技術的な本質は「セマンティックロジックエラー」、つまり開発者がコードにハードコードした信頼の前提が、アプリケーションの認証強制ロジックと矛盾していたというものです。メモリ破損でも入力検証の漏れでもない。人間が設計段階で犯したミスを、AIが洗い出したというケースです。

CVE番号は未割り当て、対象のソフトウェア名もGTIGが非開示としているため、本稿でも明記しません。ただし、攻撃対象が「管理系ツール」であることは管理者として無視できません。

生成AIが作ったコードは「教科書そっくり」で見分けにくい

GTIGが公開した分析の中で、興味深い点がありました。AIが生成したと見られるPythonスクリプトには、ある特徴が一貫していたというのです。

・コード中に「教育的なdocstring」が随所に存在する
・Pythonの書き方が整然としていて、教科書のような読みやすさがある
・ANSIカラー表示クラスやヘルプメニューが丁寧に実装されている
・スクリプト中にCVSSスコアが書かれているが、それはAIが生成した「ハルシネーション」の数値だった

「きれいすぎるコード」というのが、AI生成の特徴になりつつあるわけです。ただ、これをセキュリティ担当者が見抜けるかというと、正直難しい。見た目がきれいであることは脅威度とは関係ない。むしろ、フォーマットが整っているほど見逃されやすい。

GTIGは「攻撃にGoogleのGeminiが使われた証拠はない」と明示しました。AIの種類は特定できなかったとのことですが、こうした能力が汎用的なAIモデルに宿り始めていることは、報告書全体が示しています。

今すでに進行中のAIサイバー攻撃パターン3つ

GTIGレポートが記録したのは「初の実例」だけではありません。報告書には、現在進行形で観測されているAIを利用した攻撃パターンが複数収録されています。Linux管理者に直接関係するものを3つ取り上げます。

1. サプライチェーン経由のAI開発ツール汚染

2026年3月、TeamPCP（UNC6780）と呼ばれるグループが、複数のオープンソースセキュリティツールのGitHubリポジトリとPyPIパッケージを改ざんしました。対象にはTrivy（コンテナ脆弱性スキャナ）、Checkmarx（コード解析ツール）、LiteLLM（複数LLMプロバイダーを統合するAPIゲートウェイ）、BerriAIが含まれます。

これらに埋め込まれたのはSANDCLOCKという認証情報スティーラーで、AWSキーやGitHubトークンなどを窃取することを目的としていました。

特に注目してほしいのはLiteLLMです。これはOpenAI・Anthropic・Geminiなど複数のLLM APIを一本化するライブラリで、CI/CDパイプラインに組み込んでいる開発チームも多い。ここが汚染されれば、AIサービスへのAPIキー一式が丸ごと流出するリスクがあります。pip install経由で入れているLiteLLMのバージョンを確認したのはいつですか？

2. AIを使ったCVE大量解析

中国系グループAPT45は、公開済みのCVEデータベースに対して「数千件の再帰的なプロンプト」を送り、脆弱性の詳細解析とPoCエクスプロイトの検証を自動化していることが確認されています。

従来、CVEの解析・PoC検証は熟練した研究者が数日かけて行う作業でした。それがAIによって、自動・大量・並列に実行できるようになっています。「公開から攻撃まで」の時間が圧縮されるということです。

3. Androidバックドア「PROMPTSPY」のAI自律操作

GTIGが記録した中で最も技術的に高度だったのがPROMPTSPYです。Androidに感染するバックドアですが、内部にGemini APIへの接続モジュール（GeminiAutomationAgent）を持ち、UIを自律的に操作します。接続先はGoogleのgenerativelanguage.googleapis.com、使用モデルはgemini-2.5-flash-liteであることが判明しています。画面要素の座標を計算し、認証情報を含む操作を自動実行する。「マルウェアがAIを使って操作する」という構造です。

Linux管理者が今週確認すべき3つのポイント

何を確認し、何を変えるか3つのポイントをお伝えします。

ポイント1: 管理系ツールへのアクセスログを見直す

GTIGが確認した攻撃対象は「Webベースのシステム管理ツール」でした。Webmin、Cockpit、phpMyAdmin、Grafana、その他の管理コンソール。これらへのアクセスログを確認します。

# Nginx / Apacheのアクセスログから管理画面への不審アクセスを確認
grep -E "(webmin|cockpit|phpmyadmin|admin|manage)" /var/log/nginx/access.log | \
  awk '{print $1, $7}' | sort | uniq -c | sort -rn | head -20

# 直近24時間の失敗した認証を確認
journalctl --since "24 hours ago" | grep -i "authentication failure\|Failed password\|Invalid user" | head -30

# 2FA関連のエラーログ（もし2FA設定済みなら）
grep -i "2fa\|totp\|otp\|two.factor" /var/log/auth.log 2>/dev/null | tail -20

「2FAバイパス」が攻撃手法だったことを踏まえると、正規の2FAプロセスを経ずに認証が完了している記録がないかを確認することが重要です。

ポイント2: pip/npm等のパッケージ更新ログと整合性確認

LiteLLMのサプライチェーン攻撃が示すように、開発・自動化ツールのパッケージが標的になっています。

# Pythonパッケージの最終更新日一覧
pip list --format=columns 2>/dev/null | awk 'NR>2{print $1}' | xargs -I{} pip show {} 2>/dev/null | grep -E "^(Name|Location):" | paste - -

# LiteLLM等のAI関連パッケージのバージョン確認
pip show litellm openai anthropic google-generativeai 2>/dev/null

# 最近インストールまたは変更されたファイルをチェック（pip site-packagesを対象）
find /usr/lib/python3 /usr/local/lib/python3* -name "*.py" -newer /etc/passwd 2>/dev/null | grep -v __pycache__ | head -20

ポイント3: 管理系ツールのソフトウェアアップデート状態の確認

GTIGが確認した脆弱性はパッチ適用済みですが、どのソフトウェアに存在したかは非開示です。管理系ツール全体を対象にアップデート状況を確認します。

# Debian/Ubuntu系: セキュリティアップデート一覧
apt list --upgradable 2>/dev/null | grep -i security

# RHEL/AlmaLinux系: セキュリティアップデート一覧
dnf updateinfo list security 2>/dev/null | head -30

# システム全体で古いパッケージを確認
apt-get -s upgrade 2>/dev/null | grep "^Inst" | wc -l

中長期で取り組むべき「AIサイバー攻撃時代のハードニング」

ここからは、今週ではなく今後3か月の視点で考えるべき話をします。

管理系ツールの露出を最小化する

「Webベース管理ツール」が攻撃対象になるということは、そのポートがインターネットに公開されていることが前提です。Webmin（10000番）、Cockpit（9090番）、Grafana（3000番）などが、VPNや踏み台サーバー経由でなく直接アクセス可能な状態にないかを確認します。ファイアウォール設定とNginxのアクセス制御を組み合わせて、管理系へのアクセスを最小化することが基本です。

AI開発ツールの「依存関係の可視化」を始める

LiteLLMのようなAI統合ライブラリが開発・自動化の中に入り込み始めています。こうしたライブラリが本番環境と同じ認証情報にアクセスできる状態は、サプライチェーン汚染時のリスクを大きく広げます。

・AI関連パッケージを本番環境から分離する（venv/コンテナ）
・CI/CDパイプライン内のAI APIキーをシークレットマネージャーで管理する
・pip install時にハッシュ検証を有効にする（pip install --require-hashes）

「CVE公開から攻撃まで」の短縮に対応したパッチ運用の見直し

APT45のCVE大量解析が示すように、CVEが公開されてから攻撃に使われるまでの時間が短くなっています。「月1回のパッチデー」では追いつかない状況が加速しています。少なくともCVSS7.0以上のものは公開から72時間以内に環境を確認する、というルールを設ける価値があります。

ログの「AI行動パターン」への感度を上げる

PROMPTSPY（GeminiAutomationAgent）のような自律AIエージェントが活動する場合、ログには「短時間に規則的なアクセスが繰り返される」パターンが残ることがあります。人間の操作は不規則で、AIは逆に整然としている。これは、ブルートフォースとは異なる検知の視点です。

# 短時間に同一IPから規則的な間隔でアクセスが来ていないか
awk '{print $1, $4}' /var/log/nginx/access.log | sed 's/\[//' | awk '{print $1}' | sort | uniq -c | sort -rn | head -10

「攻撃者がAIを使う」時代の管理者の立ち位置

GTIGレポートを読んで、私が感じたことをそのまま書きます。

「攻撃者がAIを使って脆弱性を見つける」という事実は、管理者にとって不公平に見えます。攻撃側はAIで自動化・高速化・大量化できる。防御側は依然として人間が手を動かして確認している。

ただ、見方を変えると、同じことが言えます。管理者側もAIを使えば、ログ解析・パッチ確認・設定監査を自動化できます。GTIGはその好例として、Google DeepMindとProject Zeroの共同プロジェクト「Big Sleep」（AIがゼロデイを見つけるエージェント）や、「CodeMender」（AIが自動でコード脆弱性を修正するエージェント）を挙げています。防御側がAIを使うことも始まっています。

ただ、道具が変わっても変わらない原則があります。

・公開されている管理インターフェースを最小化する
・パッケージの出所と更新を確認する習慣を持つ
・ログを読み、不審な規則性に気づく目を持つ
・パッチを先延ばしにしない

これは10年前からLinux管理者が言われてきたことと、本質的には変わりません。AIが加速させているのは攻撃の「速度」と「規模」であって、防御の原則ではない。そう理解しています。

まずは今週、ログを一度開いてみてください。

---

• 次のページへ：Fragnesia（CVE-2026-46300）｜パッチが新たな穴を作った2026年5月のLinuxカーネル事件
• 前のページへ：Ubuntuパッケージ管理どれを使う？apt/Snap/Flatpakの違いを現役講師が整理
• この記事の属するカテゴリ：Linux情報・技術・セキュリティへ戻る