Nation-State Attackers uses AI.

概要

この記事では、国家支援型の脅威アクターが、Googleの生成AIツールであるGeminiを悪用している現状について、Google Threat Intelligence Group（GTIG）の分析に基づいて解説しています。イラン、中国、北朝鮮、ロシアのAPTグループが、Geminiを様々な悪意のある活動に利用しており、主にリサーチ、脆弱性攻撃、マルウェア開発、フィッシングメール作成といった活動を支援していることが明らかになっています。ただし、現時点ではGeminiに対する直接的な攻撃（プロンプト攻撃など）は確認されておらず、ツールは主に生産性向上に利用されています。脅威アクターは、生成AIによってより迅速かつ大量に攻撃を実行できるようになっていると指摘されています。今後、AIモデルの進化に伴い、脅威アクターによるAIの悪用も高度化すると予想されています。

各国ごとの詳細な利用方法、今後の展望

• イラン: イランのAPTグループは、Geminiの最大の利用者であり、特にAPT42というグループは、米国やイスラエルの軍事・政治関係者を標的にしています。Geminiは、標的のリサーチ（防衛専門家、政府機関、反体制派など）、脆弱性情報の調査、フィッシングメールの作成に利用されています。具体的には、Geminiのテキスト生成・編集機能を使って、翻訳や特定のセクター・地域に合わせたメッセージの作成を行っています。

• 中国: 中国のAPTグループは、主に米国軍やIT組織のリサーチにGeminiを利用しています。また、マルウェアのスクリプトや開発、技術的な課題解決にも活用しています。さらに、**侵入後の活動（ラテラルムーブメント、権限昇格、データ窃取など）**を支援するためにGeminiが利用されており、Microsoft Outlookのプラグインをサイレントに展開する方法をGeminiに質問した事例も報告されています。

• 北朝鮮: 北朝鮮の国家アクターは、攻撃ライフサイクルの複数の段階でGeminiを利用しています。具体的には、Gmailや他のGoogleサービスの侵害方法に関するリサーチや、西側のIT企業に偽装就職して収益を得るITワーカーのスキームを支援するために利用されています。Geminiは、LinkedInでの求人情報の検索、平均給与の調査、カバーレターの作成などのコンテンツ生成に活用されています。また、米国や韓国の防衛請負業者を標的とした偵察活動や、サンドボックス回避のためのコード開発にも利用されています。

• ロシア: ロシアの国家グループによるGeminiの悪用は、他の国に比べて限定的です。主な利用例としては、公開されているマルウェアを別の言語に書き換えたり、コードに暗号化機能を追加したりすることが挙げられます。この理由として、ロシアのアクターは、監視を避けるためにGeminiや他の欧米が管理するプラットフォームを避け、ロシア企業が開発したAIツールやローカルでホストされているLLMを利用している可能性があるとGTIGは指摘しています。

• 今後の展望： 新しいAIモデルやエージェントシステムが日々登場しているため、脅威アクターによるAIの利用も進化すると予想されます。現状では、Geminiは主に生産性向上に使われていますが、今後はより高度な攻撃に利用される可能性があり、警戒が必要です。

まとめ

国家支援型の脅威アクターがGoogleのGeminiを悪用している現状を明らかにし、その具体的な利用方法を各国別に詳述しています。 イラン、中国、北朝鮮、ロシアのAPTグループが、リサーチ、脆弱性攻撃、マルウェア開発、フィッシングメール作成など、様々な悪意のある活動にGeminiを利用しており、特にイランのアクターによる利用が目立っています。
現時点では、Geminiに対する直接的な攻撃は確認されていませんが、脅威アクターは生成AIによって攻撃をより迅速かつ大量に実行できるようになっています。
将来的には、AIモデルの進化に伴い、脅威アクターによるAIの悪用も高度化すると予想されており、今後の動向を注視する必要があります。
特に、ロシアの事例は、国家アクターが自国のAIツールやプラットフォームを使用する可能性を示唆しており、セキュリティ対策において、特定のプラットフォームへの依存を避ける必要性を示唆しています。
このことから、企業や組織は、自社のセキュリティ対策を強化し、AI技術の悪用に対する備えを強化する必要があると言えるでしょう。