AIチャットボットで自然言語からマルウェアを作成——「バイブコーディング」の脅威が新たな段階へ


  • Huntressは、AIが生成したマルウェア「Untitled1.ps1」を分析。これは低スキルの攻撃者が生成AIを使って作成したとみられる、ノイズの多い独自のADエンュメレーションツールです
  • 攻撃者はこのツールをs5cmdと組み合わせて高速なデータ窃取を行い、検知・排除される前にSharpShares.exeで共有フォルダの列挙も実施していました
  • 報告書はAIによる「バイブコーディング」がサイバー犯罪への参入障壁を下げ、シグネチャベースの防御をすり抜ける固有のペイロードを生み出していると警告。攻撃のライフサイクルを捉えるには行動分析が必要だとしています

「未熟な」サイバー犯罪者でも、いまや人工知能(AI)を使って簡単に悪意あるコードを書き、驚くほどのスピードで深刻なデータ侵害攻撃を実行できるようになっているといいます。これにより、防御側は戦略の見直しを迫られていると研究者らは指摘しています。

セキュリティ専門企業Huntressは、AIが書いたマルウェアを徹底的に調査し、この独自に生成されたペイロードが「非常に攻撃的でノイズが多く、独自に構築されたAD(Active Directory)エンュメレーションツール」であったと説明しています

通常、サイバー犯罪者は過度に目立つ動きを避け、警戒されないよう慎重に振る舞うものです。そのため研究者らは、今回の一件は低スキルの攻撃者による犯行だとみています。

大きな課題

Untitled1.ps1と名付けられたこのマルウェアは、Active Directory環境をマッピングするために設計されており、その役割を十分に果たしたようです。次の段階で犯人らは、Amazon S3操作用の正規の高速コマンドラインツールであるs5cmdを展開しました。Huntressによれば、このツールはデータ窃取によく使われるものです。

発見・排除される前に、攻撃者はSharpShares.exeという既知のエンュメレーションツールも展開し、一般的な管理共有をフィルタリングしながら、さらにユーザーがアクセス可能なデータリポジトリを探索していました。

既製のフレームワークから独自仕立てのAIツールへの移行は、防御側にとって「大きな課題」であるとHuntressは警告しています。

「これまでアンチウイルスソフトやEDRプラットフォームは、ファイルハッシュや静的な文字列シグネチャに大きく依存してきました」と同社は述べています。「バイブコーディングによって生成されたスクリプトは、本質的にそれぞれが唯一無二の存在です。Untitled1.ps1はこれまで存在したことがなく、まったく同じ構成で再びコンパイルされることもおそらくないでしょう」

その結果、防御側は「攻撃のライフサイクルにおける根本的な挙動」に注目せざるを得なくなっています。AIはコードの構文を変えることはできても、Active Directoryエンュメレーションの根底にある仕組みそのものを変えることはできない、と研究者らは指摘しています。

「バイブコーディングはサイバー犯罪への参入障壁を下げ、未熟な攻撃者でもその場で高度で回避性の高いツールを生成できるようにしてしまいます」と研究者らは結論づけています。「コード自体は雑然としていて過剰に作り込まれ、消し忘れたコメントなどAIの特徴が随所に残っているかもしれませんが、それがもたらす脅威は紛れもなく現実のものです。これに対抗するには、防御側は硬直的なシグネチャベースの発想を捨て、いかなるLLMも隠し切れない根底の行動を捉える行動分析を取り入れる必要があります」

翻訳元: https://www.techradar.com/pro/security/vibe-coded-threats-shift-again-hackers-are-using-ai-chatbots-to-write-malware-using-natural-language

ソース: techradar.com