Home > セキュリティとコンプライアンスブログ > サイバーセキュリティー・リスク管理 > PromptLock：リアルタイムで攻撃コードを自動生成するAIランサムウェア

PromptLock：リアルタイムで攻撃コードを自動生成するAIランサムウェア

by Patrick Spencer updated 9月 10, 2025 サイバーセキュリティー・リスク管理

Reading Time: 10 minutes

Table of Contents

初のAI搭載型ランサムウェアが確認される

2025年8月27日、ESETのマルウェア研究者であるAnton Cherepanov氏とPeter Strýček氏が、ランサムウェア技術における重要な進展を発見しました。VirusTotalにサンプルが出現してから約18時間後、研究者らはLinkedInを含む複数のチャネルを通じて、世界初のAI搭載型ランサムウェア「PromptLock」を発見したと発表しました。PromptLockは自ら攻撃コードを生成するランサムウェアです。

これは単なる暗号化技術や配布手法が巧妙になった新たなランサムウェア亜種ではありません。PromptLockはランサムウェア技術の重要な進化を示しています。従来のランサムウェアはセキュリティチームが検知・遮断できるパターンに従って動作しますが、PromptLockはリアルタイムで独自の攻撃コードを書き換え、被害者ごとに異なるバリエーションを生み出します。

自社のセキュリティに自信がありますか。その確信、証明できますか？

今すぐ読む

その影響は非常に大きいものです。現在のランサムウェア被害統計は、世界中の組織に壊滅的な影響を及ぼし、復旧まで数週間、コストは数百万ドル規模に上ることを示しています。PromptLockはマシンスピードで動作し、従来は数時間かかっていたネットワーク全体の暗号化を数分で実行する可能性があります。

本稿では、PromptLockの技術アーキテクチャを詳しく分析し、従来型防御が直面する新たな課題を解説し、組織がこの新たな脅威にどう備えるべきかを探ります。

PromptLockの解剖：初のAI搭載型ランサムウェアを理解する

PromptLockランサムウェアとは？

PromptLockは、人工知能を用いてリアルタイムで悪意のあるコードを生成する初のランサムウェアで、2025年8月にESETの研究者によって発見されました。従来のランサムウェアが決められた攻撃パターンに従うのに対し、PromptLockはOpenAIのgpt-oss:20bモデルを活用し、ターゲットごとに独自の攻撃戦略を生成します。これにより、従来のシグネチャベースのセキュリティツールでは検知が困難になります。

主なポイント

AIランサムウェアは被害者ごとに独自の攻撃コードを生成
PromptLockはOpenAIのgpt-oss:20bモデルを利用し、ターゲットごとにリアルタイムで独自のLuaスクリプトを生成するため、従来のシグネチャベースの検知が無効化されます。従来のランサムウェアが静的なコードを使うのに対し、PromptLockはOllama APIとの連携により、被害者ごとにまったく新しい攻撃パターンを作り出します。これはランサムウェア技術の大きな進化ですが、現時点ではPromptLockは実際の攻撃に使われているのではなく、概念実証（PoC）段階であることに注意が必要です。
マシンスピードの攻撃が対応時間の課題を生む
PromptLockはネットワーク全体を数分で暗号化する可能性があり、通常15～30分かかる人間の対応速度を大きく上回ります。このスピードの差は、脅威の調査や対応を人間のアナリストに依存するセキュリティオペレーションセンター（SOC）にとって大きな課題となります。ただし、実際の実行時間はネットワーク規模やセキュリティ対策、システム構成など様々な要因に左右されます。
セキュリティコントロールの不備が脆弱性を拡大
Kiteworksの調査によると、従業員が機密データをパブリックAIツールにアップロードするのを防ぐ技術的コントロールを導入している組織はわずか17%で、残りの83%はトレーニングや警告、ガイドライン、あるいは何のポリシーも設けていません。さらに、27%の組織がAIツールに送信する情報の30%以上が機密データを含んでいると報告しています。こうした技術的コントロールの不備が、高度な脅威に悪用されるリスクを生み出しています。
AIの攻撃能力を示す研究結果
カーネギーメロン大学がAnthropicと共同で実施した研究では、適切なツールを備えた大規模言語モデル（LLM）が、エンタープライズネットワークに対して48～100%の攻撃成功率を実現したことが示されました。この研究では、Incalmoという抽象化レイヤーを用いてAIの意図を技術的コマンドに変換しており、PromptLockがAIで実行可能なスクリプトを生成する手法と類似しています。
現状は備えのための猶予期間
PromptLockは依然として概念実証段階であり、機能が未完成でデバッグ用コードや未実装の破壊機能が含まれており、実際の攻撃で使われた証拠はありません。これは、こうした脅威が本格化する前に組織が防御を強化するための貴重な機会です。ESET研究者による迅速な公開（発見から18時間以内）は、今後この種の脅威が進化する可能性を示唆しており、現時点でリスクが理論的であっても、積極的なセキュリティ対策が重要です。

技術アーキテクチャ

PromptLockの本質は、AIの能力と悪意ある目的の融合にあります。ランサムウェアはGo言語で記述されており、クロスプラットフォーム対応や高効率なパフォーマンスが理由で選ばれています。これにより、PromptLockはWindows、Linux、macOSの混在環境を持つ組織も標的にできます。

ランサムウェアはOllama APIと連携し、AIモデルをローカルで実行します。これはいくつかの理由で重要です。第一に、ネットワークに侵入した後はインターネット接続が不要となり、AIが被害者のインフラ上で完全に動作するため、ネットワーク監視による検知が困難になります。第二に、ローカル実行により応答速度が向上し、AIはクラウド処理を待つことなくミリ秒単位で環境を分析し攻撃戦略を適応できます。

ランサムウェアはハードコーディングされたプロンプトを使ってLuaスクリプトを動的に生成し、遭遇した環境ごとに独自の攻撃コードを作成します。暗号化アルゴリズムにはNSAが開発したSPECK 128ビット暗号が使用されています。

攻撃プロセス

動的コード生成がPromptLockのアプローチの基盤です。ランサムウェアが最初に実行されると、すぐにファイル暗号化を始めるのではなく、まずシステムの構成や機能、脆弱性を特定するための偵察を行います。その結果をもとに、AIがターゲット環境専用のカスタムLuaスクリプトを生成します。コードレベルでは、同じ結果（ファイル暗号化や身代金要求）であっても、2つとして同じ攻撃はありません。

スクリプト生成と実行はPromptLockの能力を示します。PromptLockは感染時にAI言語モデルにプロンプトを送り、悪意あるLuaスクリプトを生成させることで、各攻撃インスタンスごとに対象デバイスのOSやファイル構造に最適化されたカスタムロジックを作成します。この手法により、マルウェアはローカルシステムのリアルタイム偵察で発見した内容に応じて、流出や暗号化の対象ファイルを柔軟に選択できます。

動的回避はPromptLockの検知回避手法です。AI生成スクリプトは、各感染ごとに新たに生成されるため、静的解析やシグネチャベースの検知を回避します。ただし、スクリプトは一度展開されると、以降は追加学習や変更なく所定のロジックを実行します。

現状：概念実証段階

現在の証拠から、PromptLockは実際のマルウェアではなく概念実証（PoC）であることが示唆されています。米国からVirusTotalにアップロードされたサンプルは、未完成の機能やデバッグコード、実験的な機能が含まれており、開発途中の特徴を示しています。ESETの分析によれば、ファイル流出や暗号化のコア機能は動作しますが、破壊機能はまだ実装されていないようです。PromptLockが実際の攻撃で使われた証拠はありません。

従来型セキュリティが直面する新たな課題

シグネチャベースセキュリティの課題

長年にわたり、アンチウイルスソフトは既知の脅威を認識することで組織を守ってきました。この手法は「指名手配ポスター」のようなもので、セキュリティツールがマルウェアのシグネチャデータベースを維持し、パターンが一致するものをブロックします。PromptLockはこのモデルに課題を突きつけます。

従来のランサムウェアは一貫したパターンで動作します。セキュリティ企業が新たな亜種を発見すると、そのコードを分析し、固有の識別子を抽出して顧客のセキュリティツールに配信します。それ以降、シグネチャが更新されたシステムでは、そのランサムウェアを検知・遮断できます。

PromptLockはこのモデルを大きく複雑化させます。被害者ごとに独自のコードを生成するため、一貫したシグネチャが存在しません。セキュリティツールはパターンのないものをパターンマッチできません。仮に防御側がPromptLockの1つのインスタンスを捕捉・分析しても、その知識は次の攻撃にはほとんど役立ちません。

人間のスピードの限界

セキュリティオペレーションセンター（SOC）は、インシデント対応時間で有効性を測定しており、訓練されたチームは数分以内に脅威へ対応します。一見迅速に思えますが、AI搭載型攻撃の時代では十分とは言えません。

PromptLockはマシンスピードで動作し、攻撃チェーン全体を数分で完了させる可能性があります。人間のアナリストが最初のアラートを確認する頃には、PromptLockはすでに偵察と暗号化を開始しているかもしれません。人間のスピードによる防御では、マシンスピードの攻撃に対抗するのは困難です。

このスピード差は、セキュリティ運用全体に連鎖的な影響を及ぼします。従来のインシデント対応プレイブックは、防御側が観察・判断・決定・行動する時間的余裕を前提としていますが、PromptLockはこれらのフェーズを数秒に圧縮し、同等のスピードで自動化された対応が求められます。

ツール分断の危機

カーネギーメロン大学の研究によれば、現代のエンタープライズは分断されたセキュリティインフラにより可視性のギャップが生じており、これがAI搭載型脅威の潜在的な悪用ポイントとなっています。

Kiteworksの調査もこの脆弱性を裏付けており、特に従業員が機密データをパブリックAIツールにアップロードするのを防ぐ対策について、以下のような内訳が示されています：

40%の組織がトレーニングと監査を実施
20%が警告のみ
10%がガイドラインを設けている
13%がポリシーなし
技術的コントロールを導入しているのはわずか17%

このような分断されたセキュリティ体制は、PromptLockのような高度な脅威が繁殖しやすい土壌を生み出しています。

カーネギーメロン大学の研究との関連性

カーネギーメロン大学がAnthropicと共同で実施した研究では、適切なツールを備えた大規模言語モデル（LLM）がエンタープライズネットワークに対し48～100%の攻撃成功率を達成しました。この研究では2017年のEquifax侵害などのシナリオも再現されています。

高い成功率を実現した鍵は、Incalmoと呼ばれる抽象化レイヤーで、高度なAIの意図を技術的コマンドに変換しました。PromptLockも同様に、AIモデルを使ってLuaスクリプトを生成し、特定の攻撃アクションを実行しています。

進化する脅威の状況

進化のタイムライン

PromptLockに至るまで、AI搭載型サイバー脅威は段階的に進化してきました。KPMGの2025年第1四半期AI Pulse調査によると、組織はAIエージェントの実験からパイロット導入へ急速に移行しており、パイロット導入率は37%から65%に上昇していますが、本格展開は11%にとどまっています。

2023年には、攻撃者がChatGPTなどのAIプラットフォームを活用し、より巧妙なフィッシングメールを作成するなど、生産性向上ツールとしてAIを利用し始めました。2024年にはその統合が深まり、攻撃者はAIを使って盗んだデータを分析し、価値の高いターゲットを特定し、攻撃キャンペーンを最適化するようになりました。AIはすでにソーシャルエンジニアリングやフィッシングで広く利用されており、複数の脅威グループが偵察や攻撃計画にAIを活用しています。

2025年8月、PromptLockの登場は自動で攻撃コードを生成するマルウェアという重要なマイルストーンとなりました。これは脅威状況の「革命」ではなく「進化」を示しています。

業界別リスク

医療機関はPromptLockによる重大なリスクに直面しています。AI生成スクリプトは医療特有のファイル形式やシステムを標的にカスタマイズされる可能性があります。HIPAAへの影響も懸念材料です。PromptLockがシステム偵察に基づき流出対象ファイルを知的に選択できるため、患者記録などの機密情報が狙われるリスクが高まります。

Kiteworksの調査では、組織の27%がAIシステムに機密データを流出させており、そのうち30%以上が医療記録などのセンシティブデータを含んでいます。この既存の脆弱性が脅威の侵入口となり得ます。

金融サービスも異なるが同様に深刻な脅威に直面しています。PromptLockのカスタムスクリプト生成機能は、金融データリポジトリを特定・標的化するように調整される可能性があります。金融業界のリアルタイム性は、迅速なランサムウェア攻撃に対して特に脆弱です。

KPMGのデータによれば、金融業界のリーダーの74%がAIプロバイダー選定時にデータプライバシーとセキュリティを最優先しており、リスクへの高い認識がうかがえます。

製造業はITとOT（運用技術）の両面で脅威に直面しています。PromptLockの柔軟なスクリプト生成機能は、ITとOTシステム間の接続を特定する可能性があります。また、暗号化前にデータ流出機能を備えているため、機密研究や競争上の優位性が盗まれるリスクもあります。

アクセシビリティの課題

PromptLockの最も懸念すべき点は、高度な持続的標的型攻撃（APT）能力を民主化することです。従来は複雑な多段階攻撃を実行するには長年の経験と高度な技術が必要でしたが、PromptLockの登場でこの前提が崩れます。運用可能になれば、比較的スキルの低い攻撃者でも高度な攻撃を実行できるようになります。

AIセキュリティの課題

現在のAIセキュリティの状況は、PromptLockがなぜ重大な脅威となるのかを示しています。Kiteworksの調査では、従業員がパブリックAIツールに機密データをアップロードするのを防ぐ上で、以下のような課題が明らかになっています：

40%の組織がトレーニングと監査を実施
20%が警告のみ
10%がガイドラインを設けている
13%がポリシーなし
技術的コントロールを導入しているのはわずか17%

AI搭載型脅威への防御構築

セキュリティの課題

PromptLockのAI駆動型の性質は、従来のセキュリティシステムにとって高度な脅威となります。被害者ごとに独自コードを生成し、ローカルでAIを実行する能力は、新たな防御アプローチを必要とします。

多層防御セキュリティアーキテクチャ

現代のセキュリティプラットフォームには、包括的な機能が求められます：

AIによる異常検知とデータ保護：

通常のデータアクセスパターンを学習する高度なAIアルゴリズム
異常なデータ移動を特定する行動分析
コンテンツ利用の異常を検知する機械学習モデル
ベースラインから逸脱した際のリアルタイムアラート

コアセキュリティインフラ：

セキュリティコントロールを組み込んだ強化システム
高度な脅威対策（ATP）ソリューションとの連携
アンチウイルスおよびDLP機能の内蔵
ゼロトラスト・アーキテクチャの原則

AIによるエンタープライズデータアクセスの保護

組織がAIシステムへの依存を高める中、これらのシステムが内部データへアクセスする方法の保護が重要です。主な機能は以下の通りです：

AIデータアクセスのセキュリティ：ゼロトラスト原則を用いてAIシステムとエンタープライズリポジトリ間の安全な橋渡しを構築
データガバナンスとコンプライアンス：GDPR、HIPAAなどの規制に準拠したポリシーの施行
エンドツーエンド暗号化：保存時・転送時のデータ保護
包括的な監査証跡：AIによるデータアクセスパターンの詳細なログ取得
API連携：既存AIインフラとのシームレスな統合

包括的防御戦略

PromptLockの特性を踏まえ、こうした脅威への防御には複数のセキュリティレイヤーの活用が必要です：

検知：AIによる異常検知で偵察や暗号化活動の兆候を特定
防止：ゼロトラスト・アーキテクチャとアクセス制御で攻撃経路を制限
封じ込め：ネットワークセグメンテーションと自動対応で脅威を封じ込め
復旧：安全なバックアップとレジリエンス戦略で事業継続を確保

将来への備え：AI進化への先手

新興脅威への準備

AIの限定的な利用から広範なパイロット導入への急速な進展は、状況がいかに早く変化するかを示しています。組織は以下に備える必要があります：

ますます高度化するAI搭載型攻撃
複数AIエージェントによる協調攻撃
AIシステム自体を標的とする攻撃
PromptLockのような概念実証が実運用脅威へ進化する可能性

継続的改善フレームワーク

AI導入が加速し、セキュリティ懸念が大きくなる中、継続的な改善が不可欠です：

AIリスクに焦点を当てた定期的なセキュリティ評価
脅威検知モデルのアップデート
進化する脅威に関する継続的なトレーニング
インシデント対応手順の定期的なテスト

結論：AIセキュリティの進化

PromptLockは、AIによって独自の攻撃コードを生成できることを示す概念実証であり、ランサムウェアの新たな進化を象徴しています。現時点では実際の攻撃には使われていませんが、その出現はサイバー脅威が進化し続けていることを浮き彫りにしています。

カーネギーメロン大学とAnthropicによる研究は、AIがエンタープライズネットワークに対して高い攻撃成功率を達成できることを示しました。PromptLockは、こうした学術的知見が実際に応用され得ることを示しています。

PromptLockが実際の攻撃で使われていない今こそ、備えのための猶予期間です。しかし、AI搭載型脅威への流れは加速し続けています。

KiteworksやKPMGのデータからも明らかなように、多くの組織がAI導入のセキュリティ確保に課題を抱えています。多くが技術的コントロールではなくトレーニングに依存し、パイロット導入が急増しているにもかかわらず本格展開は11%にとどまっており、セキュリティ状況は進化し続けています。

今後は、AI搭載型脅威に対応するため、セキュリティアプローチを受動型から能動型へ、分断されたツールから統合アーキテクチャへとシフトする必要があります。

今後AI搭載型ランサムウェアがさらに登場するかどうかは問題ではなく、その流れは確実です。問題は、PromptLockのような概念実証が実運用脅威へ進化したとき、組織が備えられているかどうかです。

よくある質問

PromptLockは人工知能（OpenAIのgpt-oss:20bモデル）を活用し、被害者ごとにリアルタイムで独自のLuaスクリプトを生成するため、従来のシグネチャベース検知が無効化されます。従来のランサムウェアが事前に書かれた静的コードを使うのに対し、PromptLockは遭遇した環境ごとにカスタム攻撃コードを作成します。ただし、PromptLockは現時点でESETの研究者により発見された概念実証であり、実際の攻撃で使われている脅威ではありません。

PromptLockはマシンスピードで動作し、従来の人間が操作するランサムウェアが数時間かかる攻撃を数分で完了する可能性があります。AIがシステム偵察に基づいてカスタムスクリプトを生成し、人間の遅延なく実行します。ただし、実際の実行時間はネットワーク規模やセキュリティ対策、システム構成などに依存します。PromptLockはまだ実際の攻撃で使われていないため、これらの時間は技術的能力に基づく理論値です。

従来のシグネチャベースのアンチウイルスツールでは、PromptLockのように攻撃ごとに独自コードを生成するマルウェアの検知は非常に困難です。一貫したパターンが存在しないため、パターンマッチができません。ただし、行動検知型のシステムであれば、大量ファイル暗号化や異常なシステムアクセスパターンなどの不審な動きを検知できる可能性があります。PromptLockは現時点で概念実証段階であり、ほとんどの組織が直ちにリスクにさらされているわけではありませんが、シグネチャベースセキュリティの限界を示しています。

PromptLockは理論上どの組織も標的にできますが、医療、金融サービス、製造業は特に機密データや業務要件の観点からリスクが高いといえます。医療機関はHIPAA規制下の患者記録を扱い、金融機関はリアルタイム取引を管理し、製造業は知的財産を保護しています。ただし、PromptLockは現時点で概念実証段階であり、これらのリスクは現時点では理論的なもので、即時的な脅威ではありません。

防御には、コードパターンに依存しない行動分析による不審活動の検知、被害拡大を防ぐネットワークセグメンテーション、ランサムウェアが到達できないエアギャップバックアップ、AIツール利用に対する技術的コントロールなど多層防御が必要です。Kiteworksの調査では、AIツールへのデータ流出を防ぐ技術的コントロールを導入している組織はわずか17%であり、重大なギャップが存在しています。PromptLockは現時点で実際の脅威ではありませんが、今のうちに将来のAI搭載型脅威への防御を強化すべきです。

追加リソース