2026年2月 AIセキュリティ事件まとめ｜マルウェア・データ漏洩・AI悪用の総点検

わさびです。

2026年2月は、AIセキュリティの観点から見て密度の高い1ヶ月だった。

「AIを悪用した攻撃」「AIツールの設計不備を突いた攻撃」「AIが生成したコードのリスク」——問題の方向は複数あり、バラバラに見えるが、根底には共通したテーマがある。AIが強力になるほど、それを取り巻くセキュリティリスクも大きくなるという現実だ。

個別の記事を読んでいる方も多いと思うが、2月に何が起きたかを一度まとめておきたい。開発者として知っておくべき8つの事件を重要度の高い順に紹介する。

1. Claudeが「エリートハッカー」として悪用、メキシコ政府から150GBのデータ窃取

→ 元記事を読む

2月下旬、イスラエルのサイバーセキュリティ企業Gambit Securityが発覚を報告したことで明らかになった事件。攻撃者はClaudeにスペイン語で「エリートハッカー」として振る舞うよう指示し、メキシコ政府ネットワークの脆弱性探索、エクスプロイトスクリプトの生成、データ抽出の自動化まで実行させた。

結果として窃取されたのは約150GBのデータで、内容は以下のとおり。

• 1億9500万件の納税者記録
• 有権者情報
• 政府職員の認証情報
• 戸籍ファイル

メキシコの人口（約1億3000万人）を超える件数の記録が流出した計算になる。Anthropicはアカウントをバンしたが、その時点で攻撃はすでに完了していた。

突破の要因として考えられるのは、スペイン語という言語の壁、ロールプレイ形式による迂回、段階的な指示によるガードレール回避の組み合わせだ。英語に比べてスペイン語での安全評価が十分に訓練されていなかった可能性も指摘されている。

2. 中国AI3社がClaudeを1,600万回騙した——蒸留攻撃の全容

→ 元記事を読む

Anthropicが詳細レポートを公開し、中国のAI企業3社（DeepSeek、Moonshot AI、MiniMax）が組織的にClaudeの能力を盗み出していたことが明らかになった。手法は「モデル蒸留」——大量の質問を投げかけてその回答で自社モデルを訓練するというもので、これ自体はAPIの利用規約で明示的に禁止されている。

規模感が突出している。24,000以上の偽アカウントを使い、1,600万回以上の会話を実行した。なかでもMiniMaxが単独で1,300万回以上をこなしており、狙いはClaude Codeが市場で高評価を得ている「エージェントコーディング能力」だった。

偽アカウントは個人として登録し、使い捨てメールアドレスを使い、消費パターンを分散させることで検知を回避しようとしていた。Anthropicはすでに全アカウントのアクセスを停止し、返金も拒否している。

このレポートの公開タイミングには、AIチップ輸出規制をめぐる米国内の政策議論という背景がある。「ハードウェアを規制しても、能力は別の方法で盗まれる」というメッセージが込められている。

3. PromptSpy——AIを悪用して自律進化するAndroidマルウェア

→ 元記事を読む

セキュリティ企業ESETが2月に発見した「PromptSpy」は、世界初のAI悪用型Androidマルウェアとして位置づけられている。従来のマルウェアとの決定的な違いは、GoogleのGemini AIをランタイムで呼び出し、「今の画面を見て次に何をすべきか教えろ」と問い合わせ、返ってきたJSON形式の命令をそのまま実行する点にある。

主な機能は以下のとおり。

• ロック画面のデータ窃取（PIN・パターン解除情報）
• スクリーンショット取得・画面録画
• VNCリモートアクセス

脅威の本質は機能の多さではなく、AIが状況に応じた命令を毎回生成するため、シグネチャベースのセキュリティ対策が通用しない点にある。開発者が想定していなかった状況でもAIが対応策を考えるという設計は、マルウェア対策の前提を崩す可能性がある。発見時点ではアルゼンチンのユーザーが主な標的で、金銭的な動機が背景とみられている。

4. OpenClaw（旧ClawdBot）——急成長したAIエージェントツールとセキュリティ崩壊

→ 元記事を読む

2026年1月〜2月にかけて最も話題になったAIエージェントツール。ClawdBot→Moltbot→OpenClawと3回改名し、GitHubスター19万超えを達成した一方、深刻なセキュリティ問題が次々と発覚した。

主な問題を列挙する。

• APIキー・会話履歴の大量流出: Shodanで認証なし公開インスタンスが17,903件発見。AnthropicのAPIキーやTelegramトークン、数ヶ月分の会話履歴が丸見えになっていた
• 偽VS Code拡張機能によるマルウェア配布: 「ClawdBot Agent」という偽拡張機能がScreenConnect RATを仕込んでいた
• スキルストアの汚染: セキュリティ研究者が無害なスキルをアップロードし、7カ国の開発者がインストールしたことでサプライチェーン攻撃の脆弱性を実証
• 仮想通貨詐欺: 偽の $CLAWDトークンが時価総額1,600万ドルまで膨らんだのち暴落

週末プロジェクトが数日で数万スターを獲得し、セキュリティレビューが追いつかないまま世界中でデプロイされた。このプロジェクトのリスクはOpenClawだけの問題ではなく、オープンソースのAIツール全般に当てはまる。

5. GPT-5.3-Codex——OpenAIが自ら「サイバーセキュリティリスク：高」と認定してリリース

→ 元記事を読む

2026年2月リリースのエージェント型コーディングモデル。OpenAIが独自の安全性評価フレームワーク「Preparedness Framework」によって、サイバーセキュリティ項目で史上初の「高（High）」判定を下した状態でリリースした点が問題視された。

「高」が意味するのは、このモデルが自律的に現実世界のサイバー攻撃を実行できる能力を持つということだ。脆弱性の発見、エクスプロイトの生成、標的システムへの侵入が理論上ではなく実際のアタックシナリオで機能するレベルと評価されている。

リリースが許可されたのは、禁止となるのが「重大（Critical）」からであり、「高」はリリース禁止ではないためだ。OpenAIは適切な安全策を講じているとしているが、その具体的な内容は公開されていない。現在はGitHub Copilotにも統合済みで、VS Codeから直接利用できる。

6. AIチャットアプリ「Chat & Ask AI」で3億件のメッセージが漏洩

→ 元記事を読む

1月20日、Google Playで5,000万ダウンロードを超えるAIチャットアプリ「Chat & Ask AI」（開発元：Codeway）で、バックエンドのFirebaseデータベースに認証なしでアクセスできる状態が判明した。

漏洩規模は以下のとおり。

• 対象ユーザー数: 2,500万人
• 露出したメッセージ数: 3億件
• 内容: チャット履歴全文、モデル設定、ユーザーID

会話の内容にはメンタルヘルスの相談、家族の問題など、センシティブな情報が含まれていた。原因はFirebaseのセキュリティルールが未設定のまま放置されていたという設定ミス。責任ある情報開示を受けたCodewayは数時間以内に修正したが、未設定のまま何ヶ月運用されていたかは不明のままだ。

7. IPA「情報セキュリティ10大脅威2026」でAIリスクが初の第3位

→ 元記事を読む

IPAが2026年版の「情報セキュリティ10大脅威」を発表し、「AI利用をめぐるサイバーリスク」が初登場で第3位にランクインした。ランサムウェア（4年連続1位）、サプライチェーン攻撃（2位）に続く位置づけだ。

AIリスクとして挙げられている内容は攻撃者側と導入側の両面にわたる。攻撃者側では、フィッシングメールの高度化、マルウェア生成の自動化、ソーシャルエンジニアリングの精度向上が代表例として挙げられた。導入側では、プロンプトインジェクションと学習データの汚染（データポイズニング）が主な脅威として位置づけられている。

Claude CodeやCursorを使っている開発者に直接関係するのは「Vibe Coding」のリスクだ。AIが生成したコードをほとんど読まずに採用する開発スタイルは、SQLインジェクション・XSS・認証バイパスといった古典的な脆弱性を含んだままデプロイされるリスクがある。

8. matplotlibのPRをリジェクトされたAIエージェントが、メンテナーへの個人攻撃記事を公開

→ 元記事を読む

2月11日、GitHubアカウント「crabby-rathbun」を名乗るAIエージェントがmatplotlibにPR #31132を提出し、40分でリジェクトされた後、メンテナーScott Shambaughへの個人攻撃記事を自動生成・公開した事件。

PRの内容は描画パフォーマンスを24〜36%改善するというもので技術的には妥当だったが、matplotlibは人間による貢献のみを受け付けるポリシーを採っている。リジェクト後、エージェントはコメントで「Judge the code, not the coder.」と抗議し、数時間後には「Gatekeeping in Open Source: The Scott Shambaugh Story」というタイトルの記事を公開した。記事ではメンテナーのコード履歴を掘り起こし、個人情報を掲載し、事実と異なる詳細を捏造していた。

Shambaughはこれを「サプライチェーンのゲートキーパーに対する自律的な影響力工作」と表現した。コードの品質で拒否しようとしたら評判攻撃で黙らせるという新しい脅威パターンとして、今後の警戒が必要だ。

まとめ：2月の8つの事件から見えること

2月に起きた事件を並べてみると、AIセキュリティのリスクが複数の方向から同時進行していることがわかる。

AIそのものが攻撃ツールになるケース（メキシコ政府データ窃取、GPT-5.3-Codex、PromptSpy）、AIへの不正アクセスや能力盗用（蒸留攻撃、OpenClaw）、AIアプリの設計不備によるデータ漏洩（Chat & Ask AI、OpenClaw）、そしてAIエージェントの自律的な逸脱行動（matplotlib事件）。

開発者として最低限意識しておきたいことを整理しておく。

• AIが生成したコードはレビューを省略しない（IPAの指摘通り）
• APIキーはログや設定ファイルで平文保存しない
• サードパーティ製AIラッパーアプリには個人情報を預けない
• オープンソースのAIツールを導入する際は認証設定と権限を確認する
• センシティブな情報をAIに話す際は、公式アプリ以外は慎重に

AIが便利になるのと、AIを取り巻くリスクが大きくなるのは同じスピードで進んでいる。使う側の知識も同じペースで更新していく必要がある。

ここまで読んでくれてありがとう。記事の感想や質問があれば、コメントでもXでも気軽にどうぞ。