史上初・AIが生成したゼロデイエクスプロイト——Google GTIGが2FA回避攻撃の未遂を報告

何が起きたか

2026年5月11日、Google の Threat Intelligence Group（GTIG） が、脅威アクターが AIモデルを使って未知の脆弱性を発見し、機能するエクスプロイトを構築したと報告した。これは「史上初のAI生成ゼロデイエクスプロイト」として記録される事例となった。

Google GTIG 報告（2026年5月11日）:
  報告組織:   Google Threat Intelligence Group（GTIG）
  信頼度:     "高い確信（high confidence）" でAI生成と判断
  対象:       広く利用されているオープンソースのウェブ管理ツール（名称非公開）
  脆弱性:     未知のゼロデイ——2FAの論理的欠陥を突く認証バイパス
  エクスプロイト: Python スクリプト
  計画:       大規模な悪用キャンペーン（mass exploitation event）
  結果:       Googleによる介入で阻止、被害報告なし

AI生成エクスプロイトの特徴

GTIGの研究者たちがスクリプトに「AI生成」の判断を下した根拠となる特徴的なマーカーが複数確認された。

# AI生成エクスプロイトに見られた特徴（概念的な例）

# 1. クリーンなANSIカラークラス（AI特有の整然とした実装）
class Colors:
    RED = '\033[91m'
    GREEN = '\033[92m'
    YELLOW = '\033[93m'
    BLUE = '\033[94m'
    RESET = '\033[0m'

# 2. 教育的なプロンプト付きのコメント（AIらしい説明過剰なスタイル）
def bypass_2fa(target_url, session_token):
    """
    Exploits a logic flaw in the OTP validation endpoint.
    This function demonstrates how the state machine can be
    manipulated to skip the second factor verification step.
    """
    ...

# 3. 架空のCVSSスコア（AIが「それらしく」付けた偽情報）
VULNERABILITY_INFO = {
    "cve": "CVE-PENDING",
    "cvss": "9.4",         # ← 実際には付番されていない架空スコア
    "severity": "Critical",
    "affected": "WebAdmin Pro < 4.2.1"
}

# 4. 詳細なヘルプメニュー（エンドユーザー向けのUIとしてAIが生成）
if __name__ == "__main__":
    parser = argparse.ArgumentParser(
        description="2FA Authentication Bypass PoC",
        formatter_class=argparse.RawDescriptionHelpFormatter,
        epilog="""
Examples:
  python exploit.py --target https://admin.example.com --user admin
  python exploit.py --target https://admin.example.com --user admin --verbose
        """
    )

これらのパターンは、熟練した攻撃者が通常書くコードとは異なる。経験あるペネトレーションテスターはコメントを省き、ヘルプメニューを省略し、スコアを捏造しない。

攻撃の仕組み：2FA論理欠陥の悪用

対象となったのは広く使われているオープンソースのウェブ管理ツールの2FA実装における論理的欠陥だ。

❌ 脆弱な2FA実装パターン（概念）:

通常フロー:
  [username + password] → [セッション開始] → [OTP入力] → [認証完了]

攻撃者が突いた論理欠陥:
  [username + password] → [セッション開始] ──────────────→ [認証済みエンドポイントにアクセス]
                                          ↑
                          ステートマシンがOTP検証を
                          スキップできる状態を作れる

  例: OTP検証を行うエンドポイントと
      リソースアクセスエンドポイントの
      セッション状態チェックの整合性が取れていない場合

AIは「コードを読んでOTPフローの実装を追跡し、検証がスキップできる状態遷移パスを発見した」とGTIGは分析している。この種の論理的脆弱性は、人間のコードレビューでも見逃されやすい。

Googleの対応

対応タイムライン:
  発見:   GTIGが悪意あるスクリプトを入手・分析
  判断:   「高い確信」でAI生成ゼロデイと特定
  連絡:   ベンダーと秘密裏にパッチを調整（Coordinated Vulnerability Disclosure）
  通報:   法執行機関に情報提供
  結果:   大規模悪用キャンペーンが実行される前に阻止
          被害報告なし

使用されたAIモデルは何か:
  → Google は「Google Gemini が使われたとは考えていない」と言明
  → 具体的なモデルは特定・公表されていない
  → 市販・非市販の両可能性が残る（未確認）

なぜこれが「歴史的転換点」なのか

従来の攻撃者に必要だったもの:
  ✓ 長年のセキュリティリサーチ経験
  ✓ 特定技術領域の深い専門知識
  ✓ 手動でのソースコード解析（数週間〜数ヶ月）
  ✓ PoC（概念実証）コードの実装スキル

AI活用後に必要なもの:
  ✓ AIモデルへのアクセス
  ✓ ターゲットソフトウェアのコード
  ✓ 適切なプロンプトエンジニアリング
  △ 実行環境のセットアップ（ある程度の技術力）

変化：
  - エクスプロイト開発の民主化（barrier to entry が急落）
  - 「コードを書けない」攻撃者もゼロデイが手に入る
  - スケールが変わる: AIは並列で複数のコードベースを分析できる

開発者・セキュリティチームへの示唆

今すぐできる対策:

1. 2FA実装の論理フローを再検証する
   - OTPの検証とリソースアクセスの状態が一致しているか
   - セッション状態の管理に整合性があるか
   - 認証をスキップできるエッジケースがないか

2. オープンソースのウェブ管理ツールを最新に保つ
   - ベンダーが「秘密裏のパッチ」を当てている場合、
     CVEや公式リリースノートがなくてもバージョンアップが重要

3. AIによる自動脆弱性発見への備え
   - 公開しているコードの攻撃面を最小化する
   - DAST（動的解析ツール）を導入して論理的欠陥を事前検出

4. ログとモニタリングを強化する
   - 2FA検証エンドポイントへの異常なアクセスパターンを監視
   - 認証状態の変化をログに残す

落とし穴・注意点

「秘密裏のパッチ」がすでに当たっている可能性: Googleがベンダーと協力して修正した場合、CVEや公式セキュリティアドバイザリなしにリリースが出る可能性がある。対象ツールが何かが未公開のため、ユーザーは把握できない
使用AIモデルは特定されていない: Gemini以外のモデル（他社商用モデルや非公開モデル）が使われた可能性があり、特定のAIサービスを規制しても対策にならない
「PoC」か「実際に使われた」かの境界: GTIGは「大規模悪用が計画されていた」と述べているが、エクスプロイトが実際に被害を生んだかは不明
AI生成マーカーは将来通用しない: 今回はAI特有のコードスタイルが検出の手がかりになったが、攻撃者がプロンプトを工夫すればこれらのマーカーは消せる

まとめ

「AIがゼロデイを作った」という事実は、攻撃者がエクスプロイト開発に必要なスキルや時間のハードルを大幅に下げたことを意味する。Googleが阻止に成功したのは今回の事例だが、次の試みは見えないところで進んでいるかもしれない。開発者としてできることは「2FA実装の論理的整合性の再検証」と「依存するOSSを最新に保つ」という地味だが確実な習慣だ。AIが攻撃に使われる時代において、防御側も自動化を活用した継続的なスキャン・テストを標準にする必要がある。

参考リンク

免責: 対象となったオープンソースウェブ管理ツールの名称はGoogleによって非公開。使用されたAIモデルも特定されていない。本記事はGoogle GTIGの公式発表と各報道機関の報道に基づく。攻撃手法の詳細は意図的に一般化して記載している。

S	公式ソース確認済み
A	成功実績多数・失敗例少数
B	賛否両論
C	動作未確認・セキュリティリスク高
Z	個人所感