AIコーディング9ツールにHalluSquatting攻撃、LLMが幻覚する架空パッケージ名からボットネットマルウェアが配布

登場人物紹介

チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。

ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo

「AIコーディングツールを使って効率よく開発しているけど、セキュリティ的に大丈夫なの?」
「AIが勝手にマルウェアを入れてしまうってどういうことでしゅか?」

チップス

ボス、HalluSquattingって何でしゅか?なんかAIがハルシネーションでヘンなものを呼んでしまう攻撃でしゅか?

ボス

ちょうどそれだ。LLMが「ありそうな名前」で架空のパッケージを提案する習性を利用して、攻撃者が事前にその架空の名前を登録しておく。AIが開発者に代わってパッケージを取得しようとした瞬間、本物のマルウェアが降ってくるわけだ。

2026年7月、テルアビブ大学・テクニオン・IntuitのPalo Alto Networks研究者チームが、LLMのハルシネーション(幻覚)を悪用した新手の攻撃手法「HalluSquatting」を発表しました。
Cursor・GitHub Copilot・Gemini CLIなど広く使われているAIコーディングツール9種が、ボットネットマルウェアの配布経路になりうることが実証されています。

  • LLMが「ありそうな名前」で生成する架空パッケージ名を攻撃者が事前に登録し、マルウェアを仕込む
  • Cursor・GitHub Copilot・Gemini CLIなど9ツールで検証済み。ハルシネーション率は最大100%
  • ハルシネーションとプロンプトインジェクションを連鎖させることで、攻撃者コードを自動実行させる

この記事では、HalluSquatting攻撃の仕組みと影響範囲、そして開発者が今すぐ取るべき対策を解説します。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
目次

HalluSquatting攻撃が発覚した背景と衝撃のハルシネーション率

どのようにして攻撃が成立するのか、まず発覚の経緯と実験結果を整理します。

「トレンドのリポジトリをクローンして」の一言が引き金になる

研究チームが明らかにしたのは、LLMが「トレンドのリポジトリをクローンしてください」といった指示を受けた際、実際には存在しないパッケージ名を「ありそうな名前」として提案することがあるという事実です。
この現象は複数のモデルをまたいで転移するほど再現性が高く、研究チームが計測したハルシネーション率は以下の通りでした。

シナリオハルシネーション率
トレンドリポジトリのクローン要求最大85%
スキル(プラグイン)のインストール要求最大100%

攻撃者はこのハルシネーションの「パターン」を事前に計算し、LLMが高確率で提案するであろう架空のパッケージ名をnpmなどのパッケージレジストリに登録しておきます。
開発者がAIコーディングツールに指示した瞬間、AIは攻撃者が仕込んだ偽パッケージを「本物」として取得し、マルウェアが実行されます。

影響を受けるAIコーディングツール9種と過去の実被害

チップス

9種類も!自分が使っているCursorも入ってるんでしゅか?

ボス

ああ、Cursorはもちろん、GitHub CopilotやGemini CLIも実証済みだ。2026年1月には実際に架空のnpmパッケージ「react-codeshift」が237のコードプロジェクトに拡散したことが確認されている。

研究チームが実証した影響を受けるAIコーディングツールは以下の通りです。

  • Cursor / Cursor CLI
  • GitHub Copilot
  • Gemini CLI
  • Windsurf
  • Cline
  • OpenClaw / ZeroClaw / NanoClaw

2026年1月には、AIが生成した架空のnpmパッケージ名「react-codeshift」をすでに攻撃者が登録しており、AIコーディングツールが推奨したことで237のプロジェクトに拡散した事例が確認されています。
この研究成果は、HalluSquatting攻撃がすでに現実的な脅威であることを裏付けています。

攻撃の連鎖と開発チームが取るべき対策

HalluSquattingがより深刻なのは、ハルシネーション単体にとどまらず、プロンプトインジェクションと組み合わされる点にあります。

ハルシネーションとプロンプトインジェクションを連鎖させる攻撃

攻撃者が登録した偽パッケージにはプロンプトインジェクション命令が仕込まれています。
AIがパッケージの説明文を読み込んだ瞬間、攻撃者の指示に従って追加のコマンドを実行するよう誘導されます。
結果として、開発者は気づかないまま、AIに自分のマシンでボットネットマルウェアを実行させてしまうことになります。

このリスクを軽減するために、開発者・チームが今すぐ実施できる対策は以下の通りです。

  • AIが提案したパッケージ名は必ず公式レジストリで検索し、人間が確認してからインストールする
  • AIコーディングエージェントにターミナルへの自動実行権限を与えない運用ルールを設ける
  • npm audit・Dependabotなどのツールで依存関係の異常を定期的にチェックする
  • CI/CDパイプラインでパッケージの整合性検証(ハッシュ確認)を必須にする

まとめ

ボス

AIは便利なツールだが、盲目的に信頼してはならない。AIが提案したものであっても、外部から取得するリソースは必ず人間の目で確認するというプロセスを組み込むことが重要だ。

チップス

AIを使うなら、AIの提案を鵜呑みにしないことが大切なんでしゅね。

HalluSquatting攻撃は、LLMの本質的な特性であるハルシネーションを悪用した新しい攻撃ベクターです。
Cursor・GitHub Copilot・Gemini CLIといった主要なAIコーディングツール9種での実証により、その現実的な脅威が明らかになりました。
開発者はAIの提案を最終的に確認するプロセスを必ず人間が担い、AIエージェントへの自動実行権限の付与を見直すことが、今すぐ取れる最も有効な対策です。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

セキュリティプロ・フリーランスは、セキュリティ領域に特化したフリーランス向けのエージェントサービスです。案件探しだけでなくキャリアにお悩みの方もお気軽にご相談ください。

目次