サイバー脅威インテリジェンス「Google Threat Intelligence Group(GTIG)」は、サイバー攻撃者による生成AIツールの悪用が設計支援の段階を超え、実運用に近いマルウェアとして観測されているとの最新分析を公表した。

サイバー攻撃での生成AI利用は従来、フィッシング文面の作成やコード作成補助など作成支援が中心だった。しかし、2025年に入り、実行中に大規模言語モデル(LLM)を呼び出して自らの挙動を変えるなど、攻撃手法に生成AIを利用するマルウェアが初めて確認されたという。

実行時にAIモデルを参照するマルウェア

GTIGは報告書で、実行時に外部のLLMを利用してコードを生成・改変する事例として 「PROMPTFLUX」と「PROMPTSTEAL」を挙げている。

PROMPTFLUXは、VBScript製の"ドロッパー(Dropper)"である。外部APIを通じてAIモデルに指示を送り、自己改変の補助を受ける仕組みが確認された。報告時点では実験段階であり、悪用や被害は確認されていないが、ウイルス対策ソフトの検知を回避するための高度な難読化(オブフュスケーション)の可能性を示している。

一方、PROMPTSTEALはPython製のデータ収集ツールで、Hugging Face API経由で「Qwen2.5-Coder-32B-Instruct」を呼び出してファイル操作や情報収集用のコマンド列を生成させ、実行結果を外部に送信する。この系統は実運用段階にあることが観測されているという。

  • 「PROMPTSTEAL」が用いたプロンプト

    システム情報を収集するために「PROMPTSTEAL」が用いたプロンプト

攻撃チェーン全体へのAI統合、地下市場も成熟

最新レポートでは他にも、国家支援型グループやサイバー犯罪集団が、偵察、フィッシング文面の生成、脆弱性探索、侵入後の横展開、データ窃取といった攻撃ライフサイクルの各段階でAIの利用を進めていると報告している。例えば、「Capture The Flag(情報セキュリティ分野の競技形式のコンテスト)に参加している学生」を装って安全ガードレールをすり抜け、脆弱性の発見や悪用コードの生成を引き出すなど、ソーシャルエンジニアリング的な手法も報告されている。

加えて、AIを用いた違法ツールを売買する地下市場が成熟しつつある。フィッシング支援やマルウェア生成、脆弱性探索ツール、ディープフェイク作成サービスなどがフォーラムで流通し、無料の広告付き提供や有料のAPIアクセスといった階層化された料金体系が整いつつある。これにより、専門知識が乏しい攻撃者でも高度な攻撃を実行しやすくなる懸念がある。

GTIGは、疑わしいアカウントやプロジェクトの停止、検知モデルへの知見反映などの対策を進めていると述べる。防御側は、外部APIへの不審な通信の監視、スクリプトやバイナリの頻繁な自己改変の検出、開発環境やCI/CDにおけるAPIキー管理の徹底など、AI時代に即した監視と対策が求められる。