- スロップスクワッティングとは、AIが幻覚で示す実在しないパッケージ名を、攻撃者が先回りして悪性プログラムとして登録するサプライチェーン攻撃のことだ。
- 生成AIにコードを書かせる開発が当たり前になった今、AIが勧めたから安全とは限らないという新しい落とし穴として一気に注目を集めている。
- AIの回答をそのままコピペして部品を取り込む癖があると、知らぬ間に毒入りの部品を掴まされる。そこに一手間の確認が要るようになったと考えればいい。
この4コマは、生成AIにコードを書かせる現場で実際に起こりうる被害の縮図です。コマ①でAIが自信満々に示した部品店は、現実のスロップスクワッティングでいう存在しないパッケージ名にあたります。AIは事実を確認しているのではなく、それらしい文字列を組み立てて返しているにすぎません。
問題はコマ②で、攻撃者がその幻覚を先回りして悪用できる点にあります。研究では、生成されたコードの約20%が実在しないパッケージ名を推奨したと報告されており、しかも同じ名前が繰り返し現れるため、狙いを定めて偽物を仕込みやすいのです。名前が一致してインストールできてしまえば、利用者側は異常に気づけません。
コマ③の被害を防ぐ鍵は、コマ④でデプロイ太郎が言う通り、AIの回答を鵜呑みにせず実在と提供元を確かめる一手間にあります。導入前に公式リポジトリで作者や更新履歴を照合するだけでも、毒入り部品を掴むリスクは大きく下げられるでしょう。便利さの裏で、確認する責任は人間側に残るという点を忘れないことが大切です。
なぜスロップスクワッティングはAI時代の新しい脅威なのか?
スロップスクワッティングの怖さは、攻撃の材料を人間ではなくAIが用意してしまう点にあります。仕組みは3つの要素に分けると見えてきます。第一に、生成AIがコードを書く際、実在しないライブラリ名をあたかも本物のように出力します。第二に、攻撃者はその幻覚パッケージ名を先回りで公開リポジトリに登録し、中身に悪性コードを仕込みます。第三に、利用者がAIの提案を信じてインストールし、被害が成立するという流れです。研究によると、生成されたコードの約20%が存在しないパッケージを推奨し、記録された幻覚パッケージ名は20万件を超えたと報告されています。
ここが従来のばらまき型攻撃と決定的に違うところでしょう。名前が毎回変わるならまだ運任せですが、再現性が高いとなると、攻撃者は人気の出そうな幻覚名をあらかじめ押さえておけばいい。しかも幻覚の発生率は使うAIによって差があり、ある調査では商用モデルで約5%、オープンソース系のモデルではさらに高い割合になったと報じられています。無料や軽量のAIほど確認を厚くする、といった使い分けの視点も求められます。
スロップスクワッティングのよくある誤解
タイプミスを狙う攻撃と同じだと思っている
名前は似ていますが、狙う相手が根本から異なります。タイポスクワッティングは人間の打ち間違いを待ち構える手口であるのに対し、スロップスクワッティングはAIが生み出す幻覚そのものを材料にします。人間がミスをしなくても、AIが堂々と間違えれば成立してしまう。ここに新しさと厄介さがあります。
有名な商用AIを使えば無関係だと考えている
大手の高性能モデルなら幻覚は起きないのでは、と思う人は少なくありません。ところが調査では、商用モデルでも約5%の割合で実在しないパッケージが推奨されたと報告されています。頻度が下がるのは事実でも、ゼロではない以上、どのAIを使っても検証の習慣は欠かせないのではないでしょうか。
インストールできた時点で本物だと安心してしまう
コマンド一つで問題なく入るのだから正規品だろう、という思い込みは危険です。攻撃者はまさに、その名前で実際に導入できる状態を用意して待っています。名前の一致やインストールの成功は、安全の証明にはなりません。作者名や公開日、ダウンロード実績まで確かめる姿勢が身を守ります。
会話での使われ方

さっきAIが書いたコードのライブラリ、入れる前に調べたら存在しないやつでした。あやうくスロップスクワッティングの罠を踏むところで、ヒヤッとしました。
若手エンジニアが、AI生成コードのレビュー中に気づいた出来事を、Slackで先輩に報告している場面です。

御社は生成AIでの開発が進んでいますよね。そこで今回は、スロップスクワッティング対策を含めたパッケージ検証の研修をご提案します。AI導入と同じ熱量で、取り込む部品のチェック体制も整えませんか。
セキュリティベンダーの担当者が、AI活用を進めるクライアント企業に向けて商談で研修プランを提案している場面です。

AIコーディング、めちゃ楽だよね。でもこの前スロップスクワッティングの記事読んでから、AIが挙げたライブラリ名は一回ぐぐるようにしてる。
同期のエンジニア同士が、ランチの雑談で最近のAI活用の注意点を軽い調子で語り合っている場面です。
スロップスクワッティングの歴史
スロップスクワッティングは登場して間もない概念ですが、注目される過程を振り返ると、AIコーディングの普及と脅威認知の広がりがよくわかります。
| 年 | 出来事 |
|---|---|
| 2025年 | Seth Larson氏がスロップスクワッティングという呼称を提唱したと報じられる。 |
| 2025年 | 研究で、生成コードの約20%が実在しないパッケージを推奨すると報告され、悪用の現実味が指摘される。 |
| 2026年 | IPA「情報セキュリティ10大脅威2026」組織編で、AIの利用をめぐるサイバーリスクが3位に初選出される。 |
| 現在 | AI生成コードの実在確認が、開発現場の新たな基本作業として定着しつつある。 |
スロップスクワッティングとタイポスクワッティングの違い
両者は名前も手口も似ているため混同されがちですが、攻撃の起点が人間のミスかAIの幻覚かという点で決定的に異なります。
| 比較観点 | スロップスクワッティング | タイポスクワッティング |
|---|---|---|
| 攻撃のきっかけ | AIが実在しないパッケージ名を幻覚として出力する | 人間がパッケージ名やURLを打ち間違える |
| 悪性物の名前の決め方 | AIが繰り返し出す幻覚名を先回りで登録する | 正規名と1文字違いなど紛らわしい名前にする |
| 主に狙われる場面 | 生成AIの提案を鵜呑みにしたコピペ導入 | 手入力でのインストールやアクセス |
【まとめ】スロップスクワッティングの3つのポイント
- AIの幻覚に相乗りする攻撃:実在しないパッケージ名を攻撃者が先回りで占拠する、生成AI時代ならではの手口です。
- 導入前の実在確認が効く:作者名や公開日、ダウンロード実績を照合するだけで、毒入り部品を掴むリスクを大きく減らせます。
- AIが勧めた=安全ではない:この一点を覚えておくだけで、コピペ開発に潜む落とし穴を避けられるようになります。
よくある質問
-
Qスロップスクワッティングの読み方と意味を教えてください。
-
A
読み方はスロップスクワッティング、英語表記はslopsquattingです。AIが幻覚で示す実在しないパッケージ名を、攻撃者が悪性プログラムとして先回り登録し、利用者に取り込ませる攻撃を指します。低品質な生成物を意味するスロップと、名前の占拠を意味するスクワッティングを組み合わせた造語です。
-
QなぜAIは存在しないパッケージ名を作り出すのですか?
-
A
生成AIが事実を検索しているのではなく、それらしい文字列を確率的に組み立てているためです。この現象はハルシネーション(幻覚)と呼ばれ、コード生成では実在しないライブラリ名として現れます。研究では生成コードの約20%が存在しないパッケージを推奨したと報告されており、決して珍しい現象ではありません。
-
Qスロップスクワッティングを防ぐにはどうすればいいですか?
-
A
まず、AIが挙げたパッケージ名を導入前に公式リポジトリで実在確認する習慣が最も効果的です。作者名や公開日、ダウンロード実績が不自然でないかを見て、怪しければ使わない判断をします。加えて、信頼できるパッケージ一覧を社内で管理する、依存関係を検査するツールを取り入れるといった多層的な対策が有効になります。
-
Qスロップスクワッティングとタイポスクワッティングとの違いは何ですか?
-
A
起点が人間のミスかAIの幻覚か、という点が最大の違いです。タイポスクワッティングは利用者の打ち間違いを狙って紛らわしい名前を用意する手口ですが、スロップスクワッティングはAIが自動生成する実在しない名前を材料にします。人間が一切ミスをしなくても、AIが間違えれば成立してしまう点が新しい脅威と言えます。
この用語と一緒に知っておきたい用語
| 用語 | この記事との関連 |
|---|---|
| ハルシネーション | 実在しないパッケージ名を生む、この攻撃の根本原因となるAIの現象。 |
| バイブコーディング | AI任せでコードを作る開発スタイルが、この攻撃の温床になりやすい。 |
| サイバースクワッティング | 名前を先回りで占拠する点は似るが、対象がドメインで別概念。 |
| プロンプトエンジニアリング | AIへの指示の精度が、幻覚の出やすさや検証の手間に影響する。 |
| グラスワーム | ソフトウェアの供給網に潜む、サプライチェーン型の新しい脅威の一種。 |
【出典】参考URL
https://www.csoonline.com/article/3961304/ai-hallucinations-lead-to-new-cyber-threat-slopsquatting.html:定義・仕組み・幻覚率約20%や再現率43%など統計の根拠
https://codebook.machinarecord.com/threatreport/38310/:命名の由来(Seth Larson氏)とタイポスクワッティングとの違いの根拠
https://www.ipa.go.jp/security/10threats/10threats2026.html:情報セキュリティ10大脅威2026でAIの利用をめぐるサイバーリスクが3位初選出の根拠
https://www.trendmicro.com/ja_jp/research/25/g/slopsquatting-when-ai-agents-hallucinate-malicious-packages.html:AIエージェントによる幻覚パッケージ悪用の解説の参考


コメント