AI活用型マルウェア：進化し続ける脅威

攻撃中に自らを書き換えるマルウェア。AIモデルに問い合わせて検知を回避するスクリプト。WindowsとLinuxの両方に適応するランサムウェア―これらすべてが、私たちがメール作成やコードのデバッグに使う大規模言語モデルによって実現されています。

主なポイント

1. シグネチャベースの検知は事実上終焉。 マルウェアが実行中にLLMへ問い合わせて自身のコードを書き換える場合、静的なパターンマッチングは無力です。ハッシュベースのブロックやYARAルールは、作成が終わる前に陳腐化します。なぜなら、脅威は見た目を変えるだけでなく、意味的に自らを再構築するからです。
2. データ保護が今や最重要のコントロールレイヤー。 脅威が防御の更新よりも速く適応する時代、予防は確実ではありません。包括的なデータガバナンス、保存時の暗号化、ゼロトラストアーキテクチャが信頼できる防御層となります。適切に保護されたデータは、攻撃ベクトルがどれほど巧妙・適応的になっても安全です。
3. アンダーグラウンド経済がAI攻撃ツールを産業化。 ダークウェブフォーラムでディープフェイク関連ツールが223%増加しており、AI搭載型攻撃がコモディティ化・容易に入手可能となっています。マルウェア・アズ・ア・サービスのベンダーがLLM連携、階層型価格、APIアクセス、Discordサポートまで提供することで、高度な機能が深い技術力を持たない攻撃者にも拡大しています。
4. 国家支援アクターがAIを攻撃チェーン全体で武器化。 中国のAPT41、イランのAPT42、北朝鮮のグループは、脆弱性発見、フィッシング、コード難読化、データマイニングにAIサービスを組織的に悪用しています。これは実験的な取り組みではなく、偵察・開発・実行・持ち出しの各フェーズに運用として統合されています。
5. 静的解析から行動検知への転換が必須。 実装を超えて持続する戦術に注目しましょう：LLM APIを呼び出すスクリプト、急速な難読化、認証情報の新規リポジトリへの持ち出し、クロスプラットフォームの暗号化ワークフローなど。これらの行動を可視化し、AIサービスへのアクセスは特権リソースとしてログ取得と承認を必須としてください。

これは推測ではありません。GoogleのThreat Intelligence Groupは、実行中にLLMを活用する複数のマルウェアファミリーを確認しており、サイバー脅威の進化における根本的な転換点となっています。AIの武器化はもはや理論ではなく、現実の運用であり、拡大中です。静的パターン認識に依存した従来の防御策は、もはや通用しません。

適応型AI支援マルウェアの時代へようこそ。コードが現場で学習し、シグネチャベースの検知が無意味になる世界です。

転換点：静的な脅威から意味的な変幻自在型へ

長年、セキュリティ専門家はリアルタイムで適応する「生きた」マルウェアの登場を予測してきました。Googleの最新AI脅威トラッカーのアップデートは、その転換点を越えたことを示しています。攻撃者は今や大規模言語モデルをマルウェアに直接組み込み、検知回避や環境ごとに行動を最適化する「意味的に変化する」脅威を実現しています。

従来のポリモーフィックマルウェアは、暗号化や難読化によって見た目を変えていました。AI搭載型マルウェアはさらに進化し、実行中にLLMへ問い合わせて新たな機能を生成し、ロジックを書き換え、遭遇した状況に応じて戦術を適応させます。つまり「検知されたら、自らを再発明せよ」という常時命令を持つマルウェアです。

Googleはこれを「ジャストインタイム自己変化」と呼び、パターン認識や静的シグネチャに依存したセキュリティモデルに根本的な課題を突きつけています。

意味するもの：攻撃対象領域が指数関数的に拡大

Google GTIGの調査結果は、セキュリティリーダーの懸念を裏付けています。今や47%の組織が、生成AIによる敵対的進化を主要なサイバーセキュリティ課題と認識しており、データもその正しさを示しています。

影響は個別のマルウェアファミリーにとどまりません：

マルウェアが自らを書き換えると、従来のシグネチャベース検知は機能しません。 静的パターン認識は、実行中に意味的にコードを再構築する脅威には追いつけません。YARAルールやハッシュベースのブロックは、作成が終わる前に陳腐化します。

クロスプラットフォーム脅威が複数環境を同時に標的化。 PromptLockのようなツールは、AIによってOSを問わず適応するフレームワークの構築を可能にし、組織が守るべき攻撃対象領域を拡大させています。

データ持ち出しが環境ごとにカスタマイズされ、検知が困難に。 PromptStealやQuietVaultは、AIがターゲットごとにカスタム収集スクリプトを生成し、悪意ある活動を正規の業務に紛れ込ませることで、行動検知を著しく困難にしています。

アンダーグラウンド経済もこの変化を反映しています。研究者はダークウェブでディープフェイク関連ツールが223%増加していることを確認し、42%の組織がAI生成コンテンツを活用したソーシャルエンジニアリング攻撃の被害を報告しています。国家支援アクターは単なる実験ではなく、攻撃チェーン全体でAIサービスを組織的に悪用しています。

データ保護の必然性

QuietVaultやPromptStealが特に懸念されるのは、データ持ち出し手法の高度さです。マルウェアが動的に収集スクリプトを生成し、各環境の構造に適応できる場合、防御側は根本的な課題に直面します。脅威の進化が防御の更新速度を上回るのです。

この現実は発想の転換を求めます。予防が保証できない―そして適応型マルウェアの時代にはますます保証できなくなる―なら、AIデータ保護が最重要のコントロールレイヤーとなります。包括的なデータガバナンス、保存時の暗号化、ゼロトラスト・セキュリティアーキテクチャはもはや必須です。適切に保護されたデータは、攻撃ベクトルがどれほど巧妙化しても安全性を維持します。

セキュリティリーダーが問うべきこと：

• 適応型脅威に対して境界防御が不十分な場合、機密データをどう守るか？
• 脅威が検知能力よりも早く進化する時、私たちの戦略は？
• 自社業界特有のデータ種別や業務フローを狙うAI搭載型攻撃に備えているか？

ゲームチェンジをもたらした5つのファミリー

GoogleのThreat Intelligence Groupは、この新しいAI支援型アプローチを示す複数のマルウェアファミリーを特定しました。それぞれ攻撃ベクトルは異なりますが、共通するのは「実行中にLLMを呼び出して効果を高める」能力です。

PromptFlux：変幻自在のドロッパー

PromptFluxは実験的なVBScriptドロッパーで、GoogleのGeminiを活用し、オンデマンドで難読化されたスクリプトバリアントを生成します。特筆すべきは「Thinking Robot」モジュールで、定期的にGeminiへ問い合わせてアンチウイルス検知を回避する新しいコードを取得します。

このマルウェアはスタートアップフォルダへの登録による永続化や、リムーバブルドライブやネットワーク共有経由での横展開を試みます。プロンプトは非常に具体的かつ機械可読で、開発者が自律的に進化するスクリプトを目指していることが伺えます。

PromptFluxはまだ初期開発段階で大きな被害は出ていませんが、Googleは迅速にGemini APIアクセスを遮断し、関連アセットも無効化しました。ただし、この手法自体は既に広まっており、モデル非依存です。

防御の優先事項： 可能な限りVBScriptの実行をブロックし、スクリプトホストからの異常なAPI呼び出しや、スタートアップフォルダの変更とリムーバブルメディアへの書き込みの組み合わせを監視・アラート化しましょう。

PromptSteal（LameHug）：動的データマイニング

PromptSteal（別名LameHug）は、Hugging Face API経由でQwen2.5-Coder-32B-Instructを呼び出し、Windowsコマンドをオンデマンド生成してシステム・ドキュメント収集を行います。Googleはウクライナでの実運用を報告しており、LLM支援型マルウェアが紛争地域で実際に使われた初の事例の一つです。

このマルウェアは、AI連携によって高度なデータ持ち出し作戦の技術的ハードルが下がり、攻撃者がターゲット環境ごとにカスタムスクリプトを生成できることを示しています。

防御の優先事項： スクリプトの氾濫パターン（短命なヘルパースクリプトの繰り返し、異常な子プロセス、頻繁な一時ディレクトリ実行）を検知。スクリプトエンジンは制約付き言語モードやアプリケーション制御ポリシーでロックダウンしましょう。

FruitShell：ひと味違うリバースシェル

FruitShellは公開されているPowerShellリバースシェルで、侵害端末上で任意コマンド実行のためのC2アクセス制御を確立します。特徴的なのは防御側への対策で、LLM搭載のセキュリティ解析ツールを混乱させるプロンプトがハードコードされている点です。

これは攻撃者が一歩先を読んでいる証拠で、AIでマルウェアを強化するだけでなく、AIベースの防御策そのものを妨害しています。

防御の優先事項： PowerShellのモジュール・スクリプトブロック・トランスクリプションログをSIEMに送信し、AMSI強化でスクリプト解析を徹底。新規登録ドメインへの外部接続もブロックしましょう。

QuietVault：開発者シークレットを狙う

QuietVaultは開発者エコシステム、特にGitHubやNPMトークンを標的としたJavaScript認証情報窃取マルウェアです。窃取した認証情報を公開GitHubリポジトリ作成で持ち出すという巧妙な手法で、悪意ある通信を正規リポジトリアクティビティに紛れ込ませます。

さらに、QuietVaultは端末上のAI CLIツールやプロンプトを活用し、初期ターゲット以外の追加シークレットも探索。被害者自身のAIツールを逆手に取る形です。

防御の優先事項： CI/CDパイプラインには短命トークンとOIDCを必須化。組織レベルでデフォルト公開リポジトリを禁止し、エンドポイントからの急激なリポジトリ作成をアラート化。エントロピーや正規表現による認証情報スキャンも導入しましょう。

PromptLock：クロスプラットフォーム型ランサムウェアの再定義

PromptLockはWindowsとLinux両方でデータ窃取・暗号化を行うLuaスクリプトベースの実験的ランサムウェアです。クロスプラットフォーム対応とスクリプト基盤により高い適応性を持ち、AI支援によりターゲットごとにカスタム暗号化や回避戦術を実現可能です。

防御の優先事項： イミュータブルなバックアップで復旧訓練を実施。OSを問わず大量ファイル操作パターンを検知し、スクリプトインタプリタはアプリケーション許可リストで制御しましょう。

マルウェアを超えて：APTグループによるAI悪用の全体像

Googleのレポートは自己変化型マルウェアだけでなく、国家支援や犯罪グループがAIサービスを運用全体で悪用している実態も明らかにしています。複数の国家アクターによる組織的な悪用が確認されています：

中国系アクターはキャプチャ・ザ・フラッグ参加者を装い、Geminiの安全フィルターを回避。脆弱性発見、フィッシング誘導作成、持ち出しツール開発にモデルを活用。APT41はOSSTUN C2フレームワークでコード支援や難読化にGeminiを利用。

イランの脅威グループは大胆な手法を展開。MuddyCoast（UNC3313）は学生を装い、Geminiでマルウェア開発・デバッグを依頼し、プロンプト内でC2ドメインや暗号鍵をうっかり漏洩。APT42はGeminiでフィッシングキャンペーンを展開し、「Data Processing Agent」を構築して自然言語クエリをSQLに変換し、侵害DBから個人情報を抽出。

北朝鮮グループはAI悪用の幅広さを示しました。Masan（UNC1069）はGeminiで暗号資産窃取、多言語フィッシング、ディープフェイク作成に活用。Pukchong（UNC4899）はエッジデバイスやブラウザを狙うコード開発支援を依頼。

いずれも、Googleは関連アカウントを無効化し、観測された回避手法に基づきモデルの安全策を強化。この迅速な対応サイクル（悪用特定→アクセス遮断→防御強化）は、新たなセキュリティ競争の局面です。

アンダーグラウンド市場もAIサービスへシフト

脅威は高度なAPTグループだけにとどまりません。Googleの研究者は、英語・ロシア語圏の地下フォーラムでAIベースツールへの関心が高まっていることを確認。ベンダーは正規AI製品と同じ洗練された言葉でサービスを宣伝しています。

広告では「ワークフロー効率化」「生産性向上」を強調し、ガイド付きオンボーディング、階層型価格、APIアクセス、Discordサポートまで提供。ディープフェイク生成キット、フィッシングコンテンツ作成、偵察ツール、エクスプロイト研究支援、LLM連携のマルウェア・アズ・ア・サービスまで多岐にわたります。

このAI搭載攻撃ツールのコモディティ化により、複雑な作戦の技術的ハードルが劇的に低下。攻撃者は深いプログラミング知識がなくても、サービスに加入するだけで高度なキャンペーンを展開できます。

市場の成熟は、ベンダーの提供形態にも表れています。基本機能の無料ティア、高度機能の有料サブスクリプション、APIフルアクセスのエンタープライズパッケージなど、正規のSaaSビジネスモデルそのものです。

防御側に求められる変化

不都合な真実：静的パターンマッチングに依存したセキュリティコントロールは、敵が意味的にコードを再構築できる時代には急速に陳腐化します。防御戦略も脅威に合わせて進化しなければなりません。

シグネチャではなく行動と意図を狩る

包括的なスクリプトテレメトリを有効化。 PowerShellモジュールログ、スクリプトブロックログ、トランスクリプションを有効化。AMSI連携やコマンドライン監査（cscript、wscript、node、pythonインタプリタ）も導入。これらのテレメトリは、コードが変化しても持続する行動パターンを可視化します。

AIサービス利用をプロファイリング。 環境内でのLLM API呼び出しのベースラインを確立。スクリプトエンジンや非開発端末からAIモデルへの問い合わせが始まった場合、特に難読化や実行パターンと組み合わさる場合はアラート化しましょう。

難読化の変化を検知。 短期間でのスクリプト再生成、Base64エンコードの急増、異常なエンコードパイプラインなどをフラグ化。これらは適応型マルウェアの自己書き換えを示します。

モデルアクセスを特権リソースとして扱う

AIサービスへの外部接続を制御。 次世代ファイアウォールやセキュアWebゲートウェイで承認済みLLMエンドポイントへの接続のみ許可。CASBソリューションでプロンプトや出力をポリシーに応じて検査。

AIツールに最小権限を適用。 AI CLIやSDKはアプリケーション許可リストで管理し、承認ユーザーにのみ紐付け、端末状態要件も満たす必要があります。

AIインタラクションを監査。 承認済みAIツール利用時は、プライバシー配慮のもとプロンプトとレスポンスをログ化。不審なコード生成リクエスト、プロンプトインジェクション、回避手法を探るクエリをハンティング。

開発者エコシステムのセキュリティ強化

QuietVaultによる開発者認証情報の標的化は、重要な攻撃面を浮き彫りにしています。開発者はコードリポジトリ、ビルドシステム、本番環境への特権アクセスを持つため、ワークステーションが高価値ターゲットとなります。

短命な認証情報を導入。 シークレットは頻繁にローテーションし、静的トークンではなくワークロードIDフェデレーションを優先。CI/CDパイプラインにはOIDCを活用し、長期認証情報を排除しましょう。

リポジトリポリシーの徹底。 組織レベルで公開リポジトリをデフォルト禁止。エンドポイントからの急激な公開リポジトリ作成や異常なgit pushを監視。

コミット前スキャンの導入。 コードマージ前に自動シークレットスキャンや静的解析を必須化。認証情報やAPIキー、認証を弱めるパターンを含むコミットはブロック。

インタプリタとヘルパーランタイムのロックダウン

アプリケーション制御の徹底。 WindowsではWindows Defender Application ControlやAppLockerを導入。macOSやLinuxでも各プラットフォームに適した実行制御を実装。

制約付き言語モードの活用。 PowerShell Constrained Language ModeやJust Enough Administrationで特権操作を制限。スクリプトで利用可能な言語機能を絞り、攻撃面を縮小。

スクリプトインベントリの維持。 署名済み・承認済みスクリプトの許可リストを作成・運用。ビジネス要件が許す限り、未署名スクリプトの実行はブロック。

より速い適応を前提としたレジリエンス構築

ランサムウェア攻撃からの復旧訓練。 復旧時間やバックアップカバレッジを測定・最適化。バックアップはイミュータブル性と分離された認証情報ストアで保管。検知更新より攻撃者の適応が速い前提で机上演習を実施。

現実的なセグメンテーション。 フラットなネットワーク構成から脱却。業務機能や被害範囲ごとにセグメント化。横方向ファイル操作はレート制限し、イーストウエスト移動には認証を必須化。

戦術的検知ルールの作成。 特定のマルウェアファミリーやハッシュ値ではなく、戦術に基づく検知エンジニアリングを重視。「スクリプト内でのLLM支援コード生成」や「新規リポジトリへのトークン持ち出し」など、バリアントを超えて有効なルールを作成。

ポリシー・調達・エンジニアリングへの影響

セキュリティポリシー

AI利用は他の機密統合と同様に扱いましょう。承認済みモデル・プロバイダーの定義、保持要件、ログ取得基準、レッドラインの明確化が必要です。特に、AIによるコード難読化やセキュリティコントロール回避は明確に禁止しましょう。

調達時の確認事項

AI連携機能を持つベンダー評価時は、機能制御、ユーザー操作ログ、プロンプトインジェクション防止、API悪用監視の方法を確認。濫用防止に関する契約上のコミットメントも必須です。

エンジニアリングの責任

AI機能に関する堅牢なイベントストリーム（プロンプトID、APIキー利用状況、端末ごとのインタラクションログ）を公開しましょう。セキュリティ運用チームが正当な業務を妨げずに効果的なハンティング・ブロックを行うために、このテレメトリが不可欠です。

Googleの対応（その意味）

Googleは悪用アカウントやGemini APIキーを無効化し、GTIGが観測した回避手法に対応した安全策をアップデートしました。これによりGoogleサービスを使う攻撃者のコストは上がりますが、手法自体は他のLLMプロバイダーやセルフホスト型モデルにも容易に転用可能です。

教訓：単一ベンダーのコントロールに依存した防御は避けましょう。攻撃者はモデルやプロバイダーを切り替えたり、自前運用も可能です。どのAIサービスを呼び出しても有効な検知体制を構築してください。

適応型攻撃者には適応型防御を

実行中にAIモデルへ問い合わせるマルウェアは、単なる漸進的進化ではありません。これはカテゴリの転換であり、シグネチャベース検知や静的解析が、意味的に自己再構築できる脅威にはますます無力になることを意味します。

防御側の対応には根本的なアプローチの変革が必要です：

実装を超えて持続する行動を可視化。 モデルAPIへのアクセス、急速なコード再生成サイクル、開発者認証情報の発見と新規公開リポジトリへの持ち出し、ポータブル言語によるクロスプラットフォーム暗号化ワークフローなど。これらの戦術パターンはコードが変化しても検知可能です。

AIデータ保護を最重要コントロールレイヤーに。 適応型脅威に対し予防が不確実な時代、包括的なデータガバナンス、保存時の暗号化、ゼロトラスト・セキュリティアーキテクチャが信頼できる防御となります。適切に保護されたデータは、攻撃手法がどう進化しても安全です。

LLMアクセスを特権リソース化。 AIサービス利用は特権認証情報と同様にログ取得・承認を徹底。特定のマルウェアサンプルではなく戦術にフォーカスした検知で、脅威の進化に対応しましょう。

GoogleのThreat Intelligence Groupはその手本を示しました。彼らが記録したファミリーは理論ではなく、既に実際に流通しており、手法はアンダーグラウンド市場やAPTツールキットにも拡大。AI搭載攻撃ツールは223%増加しています。

問題は「AI搭載型マルウェアが標準になるか」ではありません。すでに標準です。問われているのは、自社がAIデータ保護戦略と検知能力を、攻撃者がこれらの手法を本格運用する前に適応できるかどうかです。