出典: Mauritius images GmbH(Alamyストックフォト経由)
おそらくこれは避けられなかったことだろう——アナリストたちは人工知能によって動作する初の既知のランサムウェアを発見した。
ESETのマルウェア研究者であるAnton Cherepanov氏とPeter Strycek氏が、この新たなランサムウェアを発見し、「PromptLock」と名付けた。現時点では実際のサイバー攻撃で観測されていないものの、研究者たちはPromptLockランサムウェアが開発中であり、まもなく脅威の現場に解き放たれる可能性が高いと述べている。
脅威アクターはこれまでも生成AIツールを用いてマルウェアを開発してきたが、PromptLockはAIモデルをエンジンとして利用する初めてのランサムウェアの事例のようだ。 LinkedInの投稿で、Cherepanov氏はPromptLockがOpenAIのgpt-oss:20bモデルをOllama APIを使ってローカルで活用し、その場でリアルタイムに新しいスクリプトを生成できると報告している。
PromptLockの仕組み
LinkedInの投稿によると、現時点でこのランサムウェアスクリプトはファイルの持ち出しやデータの暗号化が可能であり、さらにファイルの破壊機能も追加されつつあるという。「複数の指標から、このサンプルは実際に運用されている脅威ではなく、概念実証(PoC)または開発途中のものであることが示唆されますが、このような新たなリスクについてサイバーセキュリティコミュニティの認識を高めることが重要だと考えています」と彼は付け加えた。
ESETの研究者はDark Readingに提供した声明で、AI駆動型ランサムウェアが防御側にどのような問題をもたらすかを説明した。「PromptLockはAIによって生成されたLuaスクリプトを使用しており、実行ごとに侵害の痕跡(IoC)が異なる可能性があります」と声明は述べている。「この可変性は検知を困難にします。もし適切に実装されれば、この手法は脅威の特定を大幅に複雑化させ、防御側の作業をより困難にするでしょう。」
Cherepanov氏とStrycek氏はPromptLockの調査を続ける予定だが、サイバー防御担当者に早急にこの脅威を警告したいと考えている。実際、Cherepanov氏によれば、ランサムウェアのサンプルがVirusTotalで検出されてからわずか18時間後に、彼らは調査結果をSNSで共有したという。
「誰がこのマルウェアを作成したのかは分かっていませんが、VirusTotalにはアメリカからアップロードされたことは分かっています」とESETの研究者は声明で述べている。
SNSプラットフォームXでの一連の投稿で、ESETはPromptLockがGoプログラミング言語で書かれており、WindowsとLinuxの両方のバリアントがVirusTotalにアップロードされたことを指摘した。さらに、ESETはランサムウェアの支払い用ビットコインアドレスが、謎のビットコイン創設者サトシ・ナカモトのものと思われることも指摘している。
現在、脅威アクターはAIツールを使って巧妙なフィッシングコンテンツや悪意のあるサイトを作成しているが、リアルタイムでカスタマイズされたランサムウェアをAIで動かすことは、防御側にとって全く新しい課題となる。
「AI搭載型マルウェアの台頭は、サイバーセキュリティの新たなフロンティアです」とCherepanov氏は述べている。「今回の発見を共有することで、業界全体で議論や備え、さらなる研究が進むことを期待しています。」