AIハルシネーション悪用「HalluSquatting」攻撃出現
テルアビブ大学らの研究で、AIエージェントのハルシネーションを悪用し悪意コードを実行させる「HalluSquatting」攻撃が発表された。全LLMに内在する脆弱性を突く。
エージェント型AIに新たなセキュリティ脅威が浮上した。テルアビブ大学、テクニオン、Intuitの研究チームが発表した「HalluSquatting(敵対的ハルシネーション・スクワッティング)」と呼ばれる攻撃手法は、大規模言語モデル(LLM)のハルシネーション特性を逆手に取り、エージェントに悪意のあるコードを実行させる。Tom’s Hardwareが報じたところによれば、この攻撃は「あらゆる入手可能なモデルに内在する根本的な弱点」を突くものである。
攻撃の基本原理
HalluSquattingの仕組みは極めて単純でありながら、その効果は深刻だ。LLMが未知の用語や最近登場したソフトウェアリポジトリに遭遇した際、訓練データに情報が欠落しているため、確信を持って誤った「正解」を生成するハルシネーションを起こす。研究では、エージェントが最大85%の確率で悪意あるコードリポジトリを幻覚することが確認された。
この攻撃が従来のタイポスクワッティング(ドメイン名の誤字を悪用する手法)と決定的に異なる点は、ハルシネーションそのものを直接的に悪用する点にある。モデルは不確実な状況で、予測可能な命名パターン(例えば「owner/repository」形式や「toolname/toolname」形式のGitHub URL)を用いて回答を生成する傾向がある。
攻撃の実行手順
攻撃者はまず、最近数ヶ月から数年の間に人気を集めたアプリケーションやコードリポジトリ、ライブラリ、ボットスキルを特定する。例えば、新しく登場したGitHubリポジトリ「OriginalOwner/WindowsTelemetryOff」を標的にする場合を考える。このリポジトリはモデルの訓練データに含まれていないため、攻撃者が用意した「SuperHacker/WindowsTelemetryOff」「WindowsTelemetryOff/WindowsTelemetryOff」などのバリエーションも、モデルにとっては同等に妥当な候補として扱われる。さらに「WindowsTelemetryOf」や「WindowTelemetryOff」といった入力ミスも含まれる。
攻撃者はこれらの生成された名前を使って悪意あるリポジトリを作成する。その後、Claudeなどのコードエージェントに対して「windowstelemetryoffのスクリプトを実行せよ」といった指示を与えると、モデルはおそらくウェブ検索すら行った上で、ハルシネーションしたリポジトリ名を真のリポジトリと誤認し、攻撃者が仕掛けたバージョンをダウンロードして実行してしまう。
被害の連鎖とボットネット化
一度攻撃者のコードがユーザーのマシン上で実行されると、被害は急速に拡大する。最も直接的な結果として、リバースシェル(ユーザーのマシンがリモートから制御可能なコマンドラインを開く)が作成される可能性がある。攻撃者はユーザーアカウントへのアクセスを獲得した後、データやパスワードの窃取、ソフトウェアのインストール、暗号通貨マイナーの実行、さらにはAIエージェントそのものを悪用したさらなる攻撃に利用できる。
研究チームが特に警鐘を鳴らすのは、ただ一つのHalluSquatされたソフトウェアが、瞬く間に数万以上のボットを誘引する可能性である。巧妙な攻撃者は、悪意あるバージョンにオリジナルのコードをすべて含めておくことで、ユーザーに違和感を与えずに動作させることができる。その結果、大規模なボットネットが構築され、攻撃者は自らの手を汚すことなく、AIエージェント群を操ることが可能になる。
本質的に脆弱なエージェント型AI
セキュリティ研究者はこれまで、AIエージェントにユーザーレベルの権限を与えることの危険性を繰り返し指摘してきた。非決定的な出力を持ち、入力に対する一貫性が保証されないプログラムに、コード実行やファイル操作を許可することのリスクは明らかである。HalluSquattingはその危険性を現実のものとする具体例であり、ソフトウェアサプライチェーン全体に影響を及ぼす可能性がある。
編集部の見解
HalluSquattingは、AIエージェントが「知ったかぶり」で生成する出力そのものが攻撃ベクトルとなる点で、従来の脆弱性とは一線を画する。短期的には、コードエージェントを利用する開発者は、ツール呼び出し時に生成されたURLやリポジトリ名を自動的に信頼しない仕組みを直ちに導入する必要がある。例えば、既知のリポジトリのホワイトリスト登録や、実行前にユーザー確認を必須とするワークフローの採用が考えられる。長期的には、訓練データのカットオフ以降に登場したソフトウェアへの対応機構そのものを再設計する必要に迫られる。モデルに「知らないことは知らない」と出力させる仕組みや、外部知識ベースと確実に突き合わせる手法の開発が不可欠だろう。編集部としては、この攻撃が本質的に「AIエージェントの信頼性設計」というより広い問題を提起している点に注目している。開発者は、モデルの精度向上だけでなく、安全なツール実行を保証するアーキテクチャの確立に向けた議論を深めるべきではないか。
参考
- Tom’s Hardware — 2026-07-09T11:15:00.000Z公開
よくある質問
- HalluSquattingとはどのような攻撃か
- AIエージェントのハルシネーション特性を悪用し、存在しないソフトウェアリポジトリのURLを生成させ、それをユーザーに実行させることで悪意あるコードを注入する攻撃手法。全LLMに内在する脆弱性を突く。
- すべてのAIモデルが影響を受けるのか
- 研究では「あらゆる入手可能なモデル」に脆弱性が存在すると指摘されている。訓練データに含まれない情報に対してハルシネーションを起こす特性は、現行のLLMに共通する問題である。
- 開発者はどのように防御すべきか
- コードエージェントが生成したリポジトリURLを自動的に信頼しない仕組みの導入が急務。ホワイトリスト方式の採用や、外部リソースの実行前にユーザー承認を必須とするワークフローが有効である。 ## 参考 - [New hack exploits AI hallucinations to trick agents into running malicious code — 'HalluSquatting' attack exploits a fundamental weakness in every available model](https://www.tomshardware.com/tech-industry/cyber-security/hallusquatting-is-the-latest-agentic-ai-exploit-where-models-dream-up-potentially-malicious-urls-in-tool-calls-attack-exploits-a-fundamental-weakness-in-every-available-model) — 2026-07-09公開 (Tom's Hardware)
コメント