- DeepSeekは理論上のブラウザの脆弱性を、実際に機能する攻撃チェーンへと結び付けました
- このランサムウェアサンプルは、偽の権限要求プロンプトを通じてAndroidの写真フォルダを標的にします
- Check Pointは、DeepSeekに関連する1,383個のファイルを悪意あるもの、または危険なものと分類しました
ある中国製AIモデルが、非現実的で漠然としたプロンプトに応えようとした結果、偶然にも実用的なランサムウェアの手法にたどり着いてしまいました。
Check Point Researchの最新の調査結果によると、DeepSeekが生成したこのサンプルは、理論上のリスクにすぎなかったブラウザの脆弱性を実際に機能する攻撃手法へと結び付けており、攻撃者側にエクスプロイトもアプリのインストールも、本格的な技術力も一切必要としません。
この攻撃は、File System Access APIというブラウザの正規機能を悪用し、シンプルなAI写真加工ツールを装ってAndroidの写真ストレージを標的にします。
実際の攻撃の仕組み
この手法は、通常、何年分もの個人写真や身分証明書のスキャン画像、銀行口座のスクリーンショットなどが保存されているAndroidのDCIMフォルダを悪用します。
被害者は、AI搭載の写真加工ツールを装った単一の権限要求プロンプトを通じてアクセスを許可してしまい、実際にはフォルダ全体の制御権を渡してしまっていることに気づきません。
Check Pointのデータセットには、DeepSeek由来とされる約3,000個のファイルが含まれており、研究者らはVirusTotalおよび静的解析の手法を用いて、そのうち1,383個を悪意あるもの、または危険なものと分類しました。
研究チームは、これまで実際の攻撃で確認されたことのない、危険なブラウザネイティブの手法を実装したサンプルを発見しました。
「InfernoGrabber 9000」と名付けられたこのサンプルは未完成でしたが、テストの結果、完全に機能する状態にするにはほとんど追加の労力を要しないことが分かりました。
「必要な労力はごくわずかです。低レベルの専門知識で十分であり、高度なサイバー犯罪者や高度で持続的な脅威(APT)グループである必要はありません」と、Check Pointのマルウェア解析チームリーダーであるPedro Drimel Neto氏は述べています。
「実際、単純なLLMプロンプトを使ってこの攻撃を試みる実際の脅威アクターの証拠を、私たちはすでに確認しています」
なぜこれが転換点となるのか
「私たちが目の当たりにしているのは、新種のサイバー攻撃がどのように生み出されるかという点における根本的な変化です。AIモデルが正規のプラットフォーム機能を横断して自律的に推論できることを示す証拠が得られたのは、これが初めてです」と、Check Pointのリサーチ責任者であるEli Smadja氏は述べています。
これは、新種のサイバー攻撃が発見・開発される過程における大きな転換を意味します。
とはいえ、その根底にあるブラウザのリスク自体は、まったく新しいものではありません。2023年のUSENIX Securityの論文では、File System Access APIが理論上どのようにランサムウェアを可能にし得るかが検証されていました。
Check Pointによれば、変化したのは、DeepSeekが人間の誘導なしに、これまで理論上のものにすぎなかったアイデアを現実的で機能する攻撃チェーンへと結び付けた点だといいます。
研究者らが最新のDeepSeek V4モデルで同様の概念を試したところ、直接的なランサムウェアの要求は拒否したものの、明示的な文言を取り除くと要求に応じました。
他のLLMを対象に同様のテストを行ったところ、得られたのは拒否の回答か、あるいは同等のファイルアクセス機能を持たない、大幅に制限されたブラウザ上で安全な実装のみでした。
Check Pointは最終的に実証用のプルーフ・オブ・コンセプトを構築し、Chrome 148を搭載したAndroid端末上で写真の暗号化に成功しました。これにより、この危険性が単一の欠陥のあるサンプルにとどまらないことが裏付けられました。
業務にAIを組み込んでいる組織は今後、ブラウザの権限要求プロンプトのひとつひとつを、単なる日常的なクリック操作ではなく、れっきとしたセキュリティ上の判断として扱う必要があります。