投稿者 global-ai-media 
Android端末に搭載されたGoogleの生成AI「Gemini」を悪用するマルウェア「PromptSpy」が確認されました。これは、AIが「守る技術」だけでなく「攻める技術」としても高度化していることを示す象徴的な事例です。本記事では、この事例を端緒に、日本企業が直面するAIセキュリティの新たなリスクと、実務的な対応策について解説します。
AIアシスタントが悪意の手に渡るとき
生成AIの技術革新は、私たちの業務効率を飛躍的に向上させています。特にスマートフォンに統合されたAIアシスタントは、メールの要約からスケジュール管理までを担う「第二の脳」となりつつあります。しかし、セキュリティ分野の研究において、Android端末上のGoogle Geminiを悪用して永続的なアクセス権を確立し、スパイ活動を行うマルウェア「PromptSpy」の存在が報告されました。
従来のマルウェアは、攻撃者が作成した固定的なプログラムコードに基づいて動作していました。しかし、PromptSpyのような新しい脅威は、正規のAI機能を「踏み台」にします。端末内で正当に動作しているAIモデルを悪用することで、セキュリティソフトの検知を回避したり、収集したユーザーデータをAIに解析させて価値の高い情報だけを抽出したりといった、高度な攻撃が可能になるのです。
「利便性」と「脆弱性」のパラドックス
日本企業においても、業務のモバイルシフトやDX(デジタルトランスフォーメーション)が進み、社用スマートフォンやBYOD(私物端末の業務利用)が一般的になっています。ここで問題となるのは、業務効率化のために導入・許可したAI機能自体が、セキュリティホールになり得るという点です。
例えば、従業員がスマートフォンのAIアシスタントに会議の録音データを要約させたり、機密文書の画像を解析させたりするケースを考えてみてください。もし端末内にAI機能をハイジャックするマルウェアが潜んでいれば、AIが処理した「要約された重要情報」がそのまま攻撃者に送信されるリスクがあります。これは、単なるデータ流出だけでなく、AIの推論能力を逆手に取られた、より深刻なコンテキスト(文脈)の漏洩を意味します。
従来型セキュリティの限界と「AIガバナンス」の必要性
日本の多くの組織では、ファイアウォールや従来型のアンチウイルスソフトによる境界防御に頼りがちです。しかし、正規のAIサービスを悪用する攻撃(Living off the Land攻撃のAI版)に対しては、シグネチャベース(既知のウイルス型との照合)の検知だけでは不十分です。
これからのAIガバナンスには、単に「怪しいアプリを入れない」という指導だけでなく、端末内で動作するAI(オンデバイスAI)がどのような権限を持ち、どのデータにアクセスしているかを可視化・制御する仕組みが求められます。特に、LLM(大規模言語モデル)を組み込んだアプリケーションを自社開発する場合や、社用端末に導入する場合は、プロンプトインジェクション(AIへの不正な命令入力)対策や、AIの出力監視といった新たなレイヤーでの防御策が不可欠です。
日本企業のAI活用への示唆
PromptSpyの事例は、AIの民主化が攻撃者にとっても恩恵であることを示唆しています。日本企業が安全にAI活用を進めるためには、以下の3点を実務に落とし込む必要があります。
1. モバイルセキュリティの再定義(MDMからMAMへ)
端末管理(MDM)だけでなく、アプリケーション管理(MAM)の観点を強化し、業務アプリが端末内の汎用AI(GeminiやSiriなど)とどのように連携するか、そのデータフローを把握し制御する必要があります。特にBYOD環境では、私的なAI利用と業務データの隔離(コンテナ化)が急務です。
2. 「AIへの過信」を見直す教育
「AIが判断したから正しい」「大手ベンダーのAIだから安全」というバイアスを排除する必要があります。従業員に対し、AIはあくまでツールであり、その裏側で意図しない挙動が起こり得るリスク(ハルシネーションだけでなく、悪意ある操作も含む)を啓発するセキュリティ教育が求められます。
3. ゼロトラストの徹底と振る舞い検知
正規のAIプロセスが悪用されることを前提に、プロセス単位での不審な挙動(異常な通信頻度や、本来アクセス不要な領域へのアクセスなど)を検知できるEDR(Endpoint Detection and Response)の導入や、ゼロトラストアーキテクチャの適用をモバイル領域にも広げることが推奨されます。