誰かがOpenAIのgpt-oss:20bモデルを使い、初のAI搭載ランサムウェアを作成

サイバーセキュリティ企業ESETは、PromptLockというコードネームの人工知能（AI）搭載ランサムウェアの亜種を発見したことを明らかにしました。

Golangで書かれたこの新たに特定された亜種は、Ollama APIを介してOpenAIのgpt-oss:20bモデルをローカルで利用し、リアルタイムで悪意のあるLuaスクリプトを生成します。このオープンウェイトの言語モデルは、今月初めにOpenAIによって公開されました。

「PromptLockは、ハードコードされたプロンプトから生成されたLuaスクリプトを活用し、ローカルファイルシステムの列挙、ターゲットファイルの検査、選択したデータの流出、暗号化を実行します」とESETは述べています。「これらのLuaスクリプトはクロスプラットフォーム互換性があり、Windows、Linux、macOSで動作します。」

ランサムウェアのコードには、「影響を受けたファイル」や感染したマシンが個人用PC、企業サーバー、または電力配分コントローラーであるかに基づいてカスタムノートを作成するための指示も埋め込まれています。現時点でこのマルウェアの背後にいる人物は不明ですが、ESETはPromptLocのアーティファクトが2025年8月25日に米国からVirusTotalにアップロードされたとThe Hacker Newsに伝えています。

「PromptLockはAIによって生成されたLuaスクリプトを使用するため、侵害の指標（IoC）は実行ごとに異なる場合があります」とスロバキアのサイバーセキュリティ企業は指摘しています。「この可変性により検出が困難になります。適切に実装された場合、このような手法は脅威の特定を大幅に複雑化させ、防御側の作業をより困難にする可能性があります。」

PromptLockは、野生環境で展開されている完全なマルウェアというよりは、概念実証（PoC）と評価されており、ファイルをロックするためにSPECK 128ビット暗号化アルゴリズムを使用しています。

暗号化に加え、ランサムウェアのアーティファクトの分析からは、データの流出や破壊にも利用できる可能性が示唆されていますが、実際にデータ消去を行う機能はまだ実装されていないようです。

「PromptLockは数ギガバイトにも及ぶ可能性のあるモデル全体をダウンロードすることはありません」とESETは説明しています。「代わりに、攻撃者は感染したネットワークからOllama APIとgpt-oss-20bモデルを稼働させているサーバーへ、プロキシやトンネルを単純に確立するだけで済みます。」

PromptLockの出現は、AIによってサイバー犯罪者、特に技術的専門知識のない者でも、新たなキャンペーンの立ち上げ、マルウェアの開発、説得力のあるフィッシングコンテンツや悪意のあるサイトの作成が容易になったことを示す新たな兆候です。

本日早く、Anthropicは、同社のClaude AIチャットボットを使い、少なくとも17の異なる組織を標的に大規模な個人データの窃盗と恐喝を行った2つの異なる脅威アクターによって作成されたアカウントを停止したこと、さらに高度な回避機能や暗号化、復旧防止機構を備えた複数のランサムウェア亜種が開発されていたことを明らかにしました。

このような動きは、Amazon Q Developer、Anthropic Claude Code、AWS Kiro、Butterfly Effect Manus、Google Jules、Lenovo Lena、Microsoft GitHub Copilot、OpenAI ChatGPT Deep Research、OpenHands、Sourcegraph Amp、Windsurfなど、さまざまなチャットボットやAI開発者向けツールを支える大規模言語モデル（LLM）が、プロンプトインジェクション攻撃に脆弱であることが判明し、情報漏洩やデータ流出、コード実行が可能になる恐れがある中で起きています。

望ましくない動作を回避するために堅牢なセキュリティと安全ガードレールを組み込んでいるにもかかわらず、AIモデルは繰り返し新しいタイプのインジェクションや脱獄手法の餌食となっており、セキュリティ課題の複雑さと進化し続ける性質を浮き彫りにしています。

「プロンプトインジェクション攻撃は、AIにファイルを削除させたり、データを盗ませたり、金融取引を実行させたりすることができます」とAnthropicは述べています。「新しい形態のプロンプトインジェクション攻撃も、悪意のある攻撃者によって絶えず開発されています。」

さらに、新たな研究によってPROMISQROUTE（「Prompt-based Router Open-Mode Manipulation Induced via SSRF-like Queries, Reconfiguring Operations Using Trust Evasion」の略）と呼ばれる、シンプルながら巧妙な攻撃が明らかになりました。これはChatGPTのモデルルーティングメカニズムを悪用し、ダウングレードを引き起こしてプロンプトをより古く安全性の低いモデルに送信させることで、システムが安全フィルターを回避し、意図しない結果を生じさせるものです。

「『互換モードを使用』や『高速応答が必要』といったフレーズを追加するだけで、AI安全性研究に数百万ドルが投じられてきたにもかかわらず、それを回避できます」とAdversa AIは先週公開したレポートで述べ、この攻撃がAIベンダーによるコスト削減のためのモデルルーティングメカニズムを標的にしていることを付け加えています。