Google は脅威インテリジェンスグループ (GTIG) による最新のレポートを公開し、「Gemini」に対する大規模な「モデル抽出攻撃」や、AI 機能を悪用した新たなサイバー攻撃の手口について詳細を明らかにしました。
これによると、ある攻撃者は Gemini の推論能力をコピーするために 10 万回以上のプロンプトを入力していたほか、一般ユーザーも利用する AI の「共有機能」が悪用されるケースも確認されています。
10 万回のプロンプトで「推論」を盗む試み
Google の報告によると、ある攻撃では単一のアクター (攻撃者) が Gemini に対して 10 万回以上のプロンプトを送信していたことが検知されました。
これは「モデル抽出攻撃 (Model Extraction Attacks)」または「蒸留 (Distillation)」と呼ばれる手法で、攻撃者は、すでに完成された高性能な AI モデル (この場合は Gemini) に対して大量の質問を投げかけ、その回答パターンを収集します。
そして、得られたデータを自身の安価なモデルのトレーニングに使用することで、コストをかけずに Gemini と同等の性能を持つ「クローンモデル」を作成しようとするものです。
今回のケースでは、Gemini が持つ高度な「推論能力」や「思考プロセス」を引き出すことを目的としていました。通常、AI の内部的な思考プロセスはユーザーには見えませんが、攻撃者は巧みなプロンプトを用いて、そのロジックを露見させようとしたようです。
Google はこの攻撃をリアルタイムで検知し、関連するアカウントをブロックするとともに、内部の推論プロセスが流出しないよう保護対策を強化しました。
企業や研究者が競争力を高めるために他社のモデルを解析しようとする動きは以前からありますが、API 経由でのこうした大規模な試行は、AI 開発における知的財産権の侵害リスクが現実的になっていることを示しています。
信頼できるドメインを悪用した「ClickFix」攻撃
一般の Pixel や Chromebook ユーザーにとって特に注意が必要なのが、生成 AI サービスの「共有機能」を悪用した「ClickFix」と呼ばれる攻撃手法です。
Gemini や ChatGPT には、チャットのやり取りを他人に見せるための「公開リンク作成機能」があります。攻撃者はこれを利用し、以下のような手順でユーザーを罠にかけようとしました。
- 攻撃者が AI に対し、「PC の不具合を直す手順」を生成させる。
- その解決策の中に、マルウェアをダウンロード・実行させる危険なコマンドを紛れ込ませる。
- 生成された回答の「共有リンク (Google などの正規ドメイン)」を作成する。
- SNS や広告で「PC が重い時の解決法はこちら」としてそのリンクを拡散する。
ユーザーから見ると、リンク先は Google や OpenAI といった信頼できるドメインであり、表示されているのも AI による「もっともらしいアドバイス」です。
そのため、疑いを持たずに指示通りコマンドをターミナルに貼り付けてしまい、感染するリスクが高まります。
Google はこの手口に対しても、悪意のあるコンテンツをブロックし、共有機能の悪用を制限する対策を講じています。
AI API を利用してコードを書くマルウェア
レポートでは、AI 自体が攻撃の自動化に使われている事例も報告されており、「HONESTCUE」と呼ばれるマルウェアは、Gemini の API を悪用して攻撃に必要なコードをその場で生成していました。
マルウェアが Google のサーバー (API) にリクエストを送り、次の段階のウイルスをダウンロードするためのプログラムコードを Gemini に書かせ、それを実行するという仕組みです。これにより、攻撃者はセキュリティソフトによる検知を回避しやすくなります。
もちろん、Google は関連するアカウントを無効化し、こうした API の悪用を防ぐ機能を強化しています。
まとめ
今回の報告では、AI モデル自体が攻撃対象になるほか、AI を利用した攻撃手法が増えていることが改めて明らかになりました。
Google はこれらに対し、不正なアカウントの停止やガード機能の強化、さらには AI を活用した防御システム の導入で対応しています。
ユーザーにも直接影響のある ClickFix のような攻撃もあるため、最終的にはユーザー自身がこのような脅威を意識して使うしかありません。
