GoogleのThreat Intelligence Group(TIG)が、ハッカーグループによるAIを活用した2FAバイパスゼロデイ脆弱性の「大量悪用イベント」計画を発見・阻止したことを発表しました。攻撃者が使用したスクリプトに含まれる「幻覚的なセキュリティスコア」と呼ばれる不審な数値がAI利用の証拠として機能し、発見につながりました。
CNBCによると、TIGが監視していたハッカーグループは、2FAバイパスに利用可能な複数のゼロデイ脆弱性を同時に大規模で悪用する「大量悪用イベント」を計画していました。グループはAIツールを使って攻撃スクリプトを生成していましたが、AIが自信を持って生成した誤った評価値——具体的には実際には存在しない「CVSSスコア10.0」の記述や矛盾したリスク評価が複数のスクリプトに混在していました。Googleの研究者はこの異常なパターンを手がかりに攻撃計画の全体像を把握し、関係機関と連携して被害を未然に防いだとしています。
X(旧Twitter)では「AIサイバー攻撃時代の本格的な幕開け」として広く拡散し、セキュリティコミュニティにおいて今年最大のトピックの一つとなりました。Redditのr/cybersecurityでは「スプートニクモーメント」と称するタイトルの投稿がトップに上り詰め、「防御側もAIを使い、攻撃側もAIを使う——これが新常態だ」という認識が共有されています。Hacker Newsでは「AIが両刃の剣であることが実証された」という長大なスレッドが展開され、AI生成コードが特有の「幻覚パターン」を持つことが逆に検出の手がかりになるという逆説が興味深い議論を生みました。今回の事件は、AI活用による攻撃の高度化が現実のものとなった一方で、AI自体が生み出す欠陥が防御の糸口にもなりうることを示しています。