グーグルは最近、複数の国が支援する高度な持続的脅威(APT)組織が、作業効率の向上と攻撃能力の強化を目的に、同社のAIアシスタントGeminiを利用していると警告を発しました。これらのハッカーは、Geminiを単なる新しいサイバー攻撃手段として利用しているわけではなく、このツールを使って潜在的な攻撃インフラの調査や標的偵察を行い、準備時間を短縮しています。
グーグルの脅威インテリジェンスグループ(GTIG)は、20カ国以上のAPT組織がGeminiの実験を積極的に行っていることを発見しました。特にイランと中国のハッカー活動が目立っています。ハッカーたちは、Geminiを利用してツールの開発やスクリプト作成、公開されている脆弱性の調査、技術文書の翻訳、標的組織の偵察、検知回避方法の探索などを行っています。Geminiは、彼らにとって「新たな武器」の一つとなっていると言えるでしょう。
画像出典:AI生成画像、画像ライセンス提供元Midjourney
例えば、イランのハッカーは、Geminiを使って国防組織や国際的な専門家に対する偵察、既知の脆弱性の調査、フィッシング活動の開発、影響作戦のためのコンテンツ作成など、様々な活動を行っています。さらに、ドローンやミサイル防衛システムなどの分野における軍事技術の翻訳や解説にもGeminiを活用しています。
一方、中国が支援するハッカーは、主に米国軍事機関や政府機関に対する偵察に焦点を当て、Geminiを使って脆弱性調査、スクリプト作成、権限昇格などの活動を行っています。彼らはまた、パスワードハッシュを介してMicrosoft Exchangeにアクセスする方法や、一部のセキュリティツールのリバースエンジニアリングについても検討しています。
北朝鮮のAPT組織もGeminiを積極的に利用しており、攻撃ライフサイクルの複数の段階で、無料ホスティングサービスの調査、標的偵察、マルウェア開発などを行っています。また、北朝鮮のIT労働者計画を支援するためにGeminiを使い、偽名で西側企業の仕事を得るための求職申請を作成しています。
これに対して、ロシアのハッカーはGeminiの使用頻度が低く、主にスクリプト支援と翻訳に集中しています。彼らの活動は、国内で開発されたAIモデルへの選好、あるいは操作上の安全性を考慮して、西側のツールを使用することを避けていることを示唆しています。
注目すべきは、ハッカーたちがGeminiに対する公開された脱獄を試みているものの、成功していないことです。これは、現在の市場における生成AIツールの悪用状況を反映しています。AI市場の拡大に伴い、保護対策が不十分なモデルも増加し、サイバーセキュリティに新たな課題をもたらしています。
