ホーム
ニュース
詳細

Google、AI生成のゼロデイ脆弱性が2段階認証を回避することを確認

iconCryptoBriefing
共有
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
BTC
$61,242.40-2.35%
This is the logo of the coin.
ETH
$1,621.80-2.48%
This is the logo of the coin.
XRP
$1.1162-2.81%
This is the logo of the coin.
ADA
$0.1618-2.82%
This is the logo of the coin.
SOL
$64.25-2.28%
AI summary icon概要

expand icon
Googleの脅威インテリジェンスグループは、2段階認証を回避するAI生成のゼロデイ脆弱性を確認し、これは主要なAI+暗号通貨ニュースイベントとなった。この脆弱性は人気のオープンソース管理ツールに存在し、クリーンなANSIカラーコードと偽のCVSSスコアによって隠されていた。Googleは、大規模なDeFi攻撃キャンペーンが発生する前にベンダーと協力してパッチを適用した。この出来事は、2段階認証を主要なセキュリティ層として頼っている暗号通貨プラットフォームに懸念をもたらしている。

数年間、サイバーセキュリティ業界は、AI支援型のハッキングが到来すると警告してきました。それはすでに実現しています。Googleの脅威インテリジェンスグループ(GTIG)は、人工知能の支援によって生成された初のゼロデイ攻撃の事例を確認しました。この攻撃は、広く使用されているオープンソースのWeb管理ツールに組み込まれたハードコードされた信頼の脆弱性を悪用し、2要素認証を回避します。

2026年5月11日に発表されたこの発見は、セキュリティ研究者と脅威アクターの間の猫とネズミのゲームにおいて、意味のあるエスカレーションを示しています。2FAをセキュリティの盾として頼りにしている暗号資産関係者にとっては、注目すべき目覚ましの呼びかけです。

GTIGが発見したもの、そしてそれが異なる理由

この攻撃は、名前は明かされていないが広く導入されているオープンソースのWeb管理ツールの論理的欠陥を狙って2段階認証の保護を回避することを目的としたPythonスクリプトです。英語版では、このツールは特定の認証リクエストを信頼する判断方法に脆弱性があり、その脆弱性を悪用するためにスクリプトが特別に作成されました。

この事例を前例のないものにしているのは、攻撃そのものだけではありません。残された痕跡です。

GTIGの研究者たちは、スクリプト全体にAI生成コードの複数の特徴を特定しました。クリーンなANSIカラークラス、整理された教育用プロンプト、偽造されたCVSSスコア(業界標準の深刻度評価)、そして詳細なヘルプメニューがすべて含まれていました。これらは、手動で作成されたエクスプロイトにはほとんど見られない特徴です。

すべてのツールに機能ごとにラベルが貼られ、色分けされているような窃盗ツールキットを想像してみてください。人間のハッカーは、このような丁寧さを通常は気にしません。一方、大規模言語モデルは、出力が悪意のあるものであっても、役に立つように整理整頓されるよう訓練されています。

GTIGの分析によると、コード構造は大規模言語モデルのトレーニングデータパターンと密接に一致しています。このグループは、Google自身のGeminiモデルが関与していないことを除外できました。つまり、攻撃者は脆弱性を発見し、有効なエクスプロイトを設計するために、別のAIシステムを使用したことを意味します。

グーグルの対応により、大規模な悪用キャンペーンが停止しました

これは単なる学術的な演習や、ダークウェブのフォーラムに置かれたプロトタイプではありません。GTIGは、攻撃者が大規模な悪用を計画していたことを特定しました。つまり、脆弱なツールを実行するシステムに対して、スケールを広げてこの脆弱性を展開する意図があったのです。

Googleは、そのキャンペーンが開始される前にベンダーと直接連携してパッチを実装しました。タイムラインから、GTIGはこの攻撃の初期段階でこれを検出していたことが示されており、このような事案にとって最良のシナリオです。

しかし、AIモデルがスクリプトの作成にとどまらず、これまで知られていなかった脆弱性を特定し、2段階認証の機能的な回避手段を構築するまでに至ったという事実は、攻撃的なサイバーセキュリティの新たな章を示している。高度な攻撃コード開発の参入障壁は、大きく低下した。

以前、ゼロデイを構築するには、リバースエンジニアリング、脆弱性研究、およびエクスプロイト開発の深い専門知識が必要でした。これらのスキルは数年かけて習得するものです。AIモデルは、そのプロセスの大部分を数時間に圧縮でき、攻撃者志望者のスキルのハードルを下げると同時に、経験豊富なハッカーが達成できる範囲を広げます。

なぜ暗号資産が注目されるべきか

この特定の攻撃と関連付けられた特定の仮想通貨プラットフォームは存在しません。しかし、仮想通貨業界への影響は無視できません。

2要素認証は、ほぼすべての主要な仮想通貨取引所、ウォレットプロバイダー、およびDeFiプラットフォームにおいて基本的なセキュリティ層です。これらのサービスの多くは、本稿で対象としているソフトウェアカテゴリであるオープンソースのWeb管理ツール上で動作しているか、それと統合されています。

この攻撃の中心にあるハードコードされた信頼の欠陥は、類似したソフトウェアの複数の実装に存在し得る脆弱性です。一つのオープンソースの管理ツールにこの問題があった場合、他のツールにも同様の論理的弱点が存在する可能性は十分にあります。

暗号資産ユーザーにとっての実用的な教訓は、2FAは必要だが十分ではないということです。ハードウェアセキュリティキー、出金ホワイトリスト、マルチシグウォレット設定は、2FAのバイパスだけでは侵害されない追加の層を提供します。ソフトウェアベースの2FAを主な防御手段としてのみ頼っている取引所や預託者は、この発見を受けてセキュリティアーキテクチャを見直すべきです。

より広い懸念は、加速曲線である。AIが今日、Web管理ツールを対象とした機能的なゼロデイを生成できるのであれば、同様の手法がスマートコントラクトの脆弱性、ブラウザ拡張ウォレット、または取引プラットフォームで使用されるAPI認証システムに適用されると想像するのは難しくない。暗号資産における攻撃面はすでに膨大である。AI支援による攻撃コード生成は、防御を指数関数的に困難にしている。

見てください、サイバーセキュリティの軍拡競争は、常に速く動く側に有利でした。今回、攻撃者は機械の速度で体系的に脆弱性を探るツールを初めて手にしました。これはGoogleが見つけました。次に生成されるAIによる攻撃コードには、このような便利な痕跡が残らない可能性があり、対象がGTIGレベルのチームによって周囲が監視されているとは限りません。

出典:原文を表示
免責事項: 本ページの情報はサードパーティからのものであり、必ずしもKuCoinの見解や意見を反映しているわけではありません。この内容は一般的な情報提供のみを目的として提供されており、いかなる種類の表明や保証もなく、金融または投資助言として解釈されるものでもありません。KuCoinは誤記や脱落、またはこの情報の使用に起因するいかなる結果に対しても責任を負いません。 デジタル資産への投資にはリスクが伴います。商品のリスクとリスク許容度をご自身の財務状況に基づいて慎重に評価してください。詳しくは利用規約およびリスク開示を参照してください。