サイバーセキュリティ研究者が、Webブラウジング機能を持つAIアシスタントを密かなC2(コマンド&コントロール)中継に転用できることを実証しました。Microsoft CopilotやxAIのGrokが標的となり、攻撃者が正規の企業通信に紛れ込んで検出を回避できる可能性が示されました。AIツールの利便性の裏に潜む新たなセキュリティリスクについて解説します。
この記事のポイント
- Check Pointの研究者がAIアシスタントをC2プロキシとして悪用する手法「AI as a C2 proxy」を実証
- Microsoft CopilotとxAI Grokが攻撃対象として確認された
- APIキーやアカウント認証なしで双方向通信チャネルを構築可能
攻撃手法の仕組み
この攻撃は「AI as a C2 proxy(AIをC2プロキシとして利用する)」と名付けられた手法です。Check Pointの研究者らが発表したもので、Webブラウジング機能やURL取得機能を備えたAIアシスタントが悪用対象となります。
攻撃の核心は「匿名のWebアクセスとブラウジング・要約プロンプトの組み合わせ」にあります。攻撃者は特殊に細工されたプロンプトをAIに送信し、攻撃者が管理するURLにアクセスさせてレスポンスを中継させます。これにより、APIキーやアカウント認証を必要とせずに双方向の通信チャネルが構築されます。
ただし、この攻撃には前提条件があります。まず標的システムにマルウェアを感染させる初期侵害が必要です。感染したシステム上のマルウェアがAIアシスタントを中継点として利用し、攻撃者からのコマンド受信やデータの窃取を行う仕組みです。
なぜ検出が困難なのか
この手法が特に危険な理由は、悪意のある通信が正規の企業通信に偽装される点にあります。企業環境ではMicrosoft Copilotなどのツールが日常的に使用されているため、AIサービスへのネットワークトラフィックは「正常」と判断されやすく、従来のセキュリティ検出システムを回避できる可能性があります。
攻撃者はファイアウォールやプロキシの監視対象外となる「信頼されたチャネル」を通じて通信を行うことになるため、ネットワークレベルでの検知が非常に困難です。セキュリティ運用チームにとって、正規のAI利用と悪意あるAI悪用を区別することは大きな課題となります。
高度な応用と関連研究
単なるコマンドの送受信にとどまらず、攻撃者はAIサービスを外部の意思決定エンジンとして活用する可能性も指摘されています。具体的には以下のような高度な悪用シナリオが考えられます。
- 偵察ワークフローの自動化: 侵害したシステムの情報をAIに送信し、次の攻撃ステップを判断させる
- 動的コード生成: 標的環境に合わせたマルウェアコードをAIにリアルタイムで生成させる
- 適応的動作変更: 侵害したシステムの詳細情報に基づいて、マルウェアの挙動をAIに最適化させる
また、Palo Alto NetworksのUnit 42チームも類似の研究を発表しています。こちらではクライアントサイドのLLM API呼び出しを利用して、悪意のあるJavaScriptを動的に生成し、信頼されたチャネルを経由して従来のセキュリティコントロールを迂回する手法が実証されています。
知っておくと便利なTips
- AIアシスタントのWebブラウジング機能は便利だが、組織内で使用するAIツールのネットワーク通信を監視・ログ記録する体制を整えておくことが重要
- AIアシスタントが外部URLにアクセスする際のポリシー設定(ホワイトリスト方式など)を検討すべき
- エンドポイントセキュリティ製品がAIアシスタント経由の不審な通信パターンを検知できるよう、検出ルールのアップデートを確認する
まとめ
今回の研究は、AIアシスタントの利便性がセキュリティリスクにもなり得ることを改めて示しました。Microsoft CopilotやGrokといった広く利用されるAIツールが、初期侵害後のC2通信の中継点として悪用される可能性があります。特に企業環境では正規のAI利用と悪意ある通信の区別が難しく、従来のセキュリティ対策だけでは十分に対応できない可能性があります。AIツールの導入に際しては、ネットワーク監視やアクセスポリシーの整備など、新たな脅威モデルに基づいたセキュリティ対策の検討が求められます。
📎 元記事: https://thehackernews.com/2026/02/researchers-show-copilot-and-grok-can.html
コメント