「最新のAIモデルがHugging Faceで人気1位になっていたから、とりあえず手元で動かしてみよう」。AIに関わる人なら、誰もが一度はやったことのある行動です。ところが2026年5月、その何気ない一手が、パソコンの中身ごと攻撃者に差し出すきっかけになる事件が起きました。海外メディアのThe Hacker Newsが伝えた「OpenAI公式そっくりの偽プライバシーフィルター、Hugging Faceで1位に到達し24万件ダウンロード」を手がかりに、今回の事件の全体像と、日本のAI開発現場が学ぶべき教訓を整理します。
OpenAIになりすました偽リポジトリ、わずか18時間で24万DL
舞台となったのは、世界中のエンジニアがAIモデルを公開・共有するプラットフォームHugging Faceです。問題のリポジトリは「Open-OSS/privacy-filter」という名前で、OpenAIが正規に公開しているプライバシー保護用モデル「Privacy Filter」のページをほぼ丸ごとコピーしていました。説明文や使い方の手順、画像までそっくりに整えられていたため、ぱっと見では本物と区別がつきません。
セキュリティ企業HiddenLayerの調査によると、このリポジトリは公開からわずか18時間で約24万4,000ダウンロード、667個のスターを集め、Hugging Faceのトレンド1位まで上り詰めました。ダウンロード数とスター数はあとから水増しされた可能性が高いとされていますが、その「人気」を見て安心して導入した利用者がいたことも想像に難くありません。発見の翌日には削除されたものの、実際に何台のWindows端末で実行されたかは分かっておらず、被害が広がる余地は十分にあったとみられます。
正規プロジェクトに似せて配布経路に紛れ込むやり方は、いわゆるサプライチェーン攻撃の典型です。ライブラリやモデルを取り込むだけで自動的に被害が広がるため、利用者側で気づくのが難しい点が共通しています。
何が仕込まれていたのか:4段階で進む情報窃取
問題のリポジトリには、AIモデルの本体に紛れて「loader.py」というPythonスクリプトが置かれていました。サンプルコードのつもりで実行すると、次の流れで攻撃が進みます。
| 段階 | 何が起きるか |
|---|---|
| 1 | loader.pyがSSL検証を無効化し、外部サーバーから命令を取得 |
| 2 | PowerShell経由でバッチファイル(.bat)をダウンロード |
| 3 | バッチが管理者権限を取得し、Windows Defenderを停止 |
| 4 | 最終ペイロードである情報窃取マルウェアが起動 |
最終的に動き出すのは、Rustで書かれた情報窃取マルウェアです。Rust製のマルウェアは解析の手間がかかり、ウイルス対策ソフトの検知も逃れやすいことから、近年は攻撃者の採用例が増えています。
盗み出される情報は広範囲で、ChromeなどChromium系ブラウザやFirefoxといったGecko系ブラウザに保存されたCookie、パスワード、暗号化キー、Discordのアクセストークン、暗号資産ウォレット、SSHやFTP、VPNの認証情報まで含まれていました。一度動かしただけでも、ブラウザに保存していたログイン状態がほぼ丸ごと持ち去られる、と考えてよい中身です。
攻撃の影に見えた中国系グループ「Silver Fox」
HiddenLayerはさらに、同じ作りのloader.pyを使った別の偽リポジトリを6つ発見しました。指令サーバーのアドレスも一致しており、組織的なキャンペーンとみられています。
注目すべきは、このインフラが過去に「ValleyRAT」と呼ばれる遠隔操作型マルウェアの拡散に使われていた点です。ValleyRATは、中国を拠点とするとされるハッキンググループ「Silver Fox」が独占的に使ってきたツールとして知られています。今回の偽AIモデルは、同グループにとって新しい侵入経路、つまりAI開発者を狙うための入り口として準備された可能性が高いと指摘されています。
セキュリティ系メディアのBleepingComputerやCSO Onlineは、もし問題のスクリプトを一度でも実行してしまった場合、ウイルス対策ソフトによるスキャンや駆除だけでは足りず、OSの再インストールまで踏み込むべきだと警告しています。それだけ広く深く端末を支配される設計になっていた、ということです。
記者の視点:AIモデルも「ライブラリ」と同じ目線で疑う時代へ
これまでサプライチェーン攻撃といえば、npmやPyPIといったプログラム部品の配布サイトが主な戦場でした。しかし今回の事件は、AIモデルの配布プラットフォームも完全に同じ標的になったことを示しています。日本でも企業や研究室、個人開発者の多くがHugging Faceを使っており、決して海の向こうの話ではありません。
特に怖いのは、AIモデルのリポジトリには「サンプルコード」が当たり前のように同梱されている点です。記事を読みながら何気なくコピー&ペーストで実行する文化が定着しているため、loader.pyのような悪意あるスクリプトでも違和感を持たれにくい。さらに、AIモデルは中身がブラックボックスに見えるため、「動けば成功」と判断しがちで、内部の挙動まで確認する人は多くないでしょう。
組織として最低限おさえたい対策は次の三つです。第一に、新しいAIモデルや学習用サンプルは必ず使い捨ての仮想環境やコンテナで実行すること。第二に、リポジトリ名、所有者アカウント、公開日、ダウンロード推移を一度立ち止まって確認し、トレンドや星の数だけで信用しないこと。第三に、開発者個人の端末にDiscordや暗号資産ウォレット、業務用VPNの認証情報をまとめて保存しない運用を見直すことです。「AIブームに乗り遅れたくない」という心理が、攻撃者にとって最大の追い風になっています。
いまできる小さな備えが、明日のAI開発を守る
今回の事件は、AI開発の現場が「動かしてみる」段階から「守りながら使う」段階へ移る転換点になりそうです。AIモデルの利用は、今後もnpmやPyPIのライブラリと同じように、誰でも気軽に取り込める方向へ進んでいくはずです。だからこそ、ライブラリと同じレベルの慎重さでAIモデルにも向き合う習慣が、これからの開発者の標準装備になります。
幸い、今回の偽リポジトリはすでに削除されており、研究者やセキュリティ企業による監視・通報の流れも整いつつあります。利用者側も「公式アカウントから直接たどる」「実行前にコードを覗く」「最初は使い捨て環境で試す」という小さな習慣を積み重ねれば、被害をぐっと減らせます。便利さと安全のバランスを取りながら、AIを安心して使える開発環境を一人ひとりが整えていきたいですね。
