AIマルウェアを正しく理解し、実際の運用リスクとベンダーの誇大広告を見分ける
いま私たちは、その場で自らを書き換えるAI駆動型マルウェアの夜明けに立ち会っているのか、それともベンダーや脅威アクターがその能力を誇張しているだけなのか。最近の Google と MIT Sloan のレポートは、自律的な攻撃や、防御側をマシンスピードで回避できる多形AIマルウェアに関する主張を再燃させた。見出しはセキュリティ関連のフィード、業界誌、アンダーグラウンドフォーラムに急速に広まり、ベンダーはAI強化型防御を売り込んでいる。
しかし、その喧騒の裏側にある現実は、はるかに地味だ。確かに、攻撃者はLLM(大規模言語モデル)を試している。確かに、AIはマルウェア開発を支援したり、表面的な多形性を生み出したりできる。そして確かに、CISOは注意を払うべきだ。だが、「AIを使えば自動的に高度なマルウェアが生まれ、防御が根本から崩壊する」という物語は誤解を招く。AIの理論的な可能性と、実務上の有用性とのギャップはいまだ大きい。セキュリティリーダーにとって重要なのは、今日現実に存在する脅威、誇張されたベンダーの主張、そして今後の計画に値する近未来のリスクを見極めることだ。
そもそも多形マルウェアとは何か?
多形マルウェアとは、コアとなる機能は維持したまま、コード構造を自動的に変化させる悪意あるソフトウェアを指す。その目的は、バイナリレベルでどのサンプルも同一にならないようにすることで、シグネチャベースの検知を回避することにある。
このコンセプト自体は決して新しいものではない。AI登場以前から、攻撃者は暗号化、パッキング、ジャンクコードの挿入、命令の並べ替え、そして変異エンジンを用いて、単一のマルウェアファミリーから何百万もの亜種を生成してきた。現代のエンドポイントプラットフォームは、静的なシグネチャよりも振る舞い分析に依存している。
実際には、「AI駆動の多形性」と称されるものの多くは、決定論的な変異エンジンを、大規模言語モデルによって動作する確率的なエンジンに置き換えているに過ぎない。理論上は、これによりより多くの多様性が生まれる可能性はある。しかし現実的には、既存の手法に対して明確な優位性はほとんどない。
マルウェアアナリストで脅威インテリジェンス研究者のMarcus Hutchinsは、AI多形マルウェアを「とても楽しい新奇性の高い研究プロジェクト」と呼びつつも、攻撃者に決定的な優位性をもたらすものではないと指摘している。彼は、非AIの手法は予測可能で安価かつ信頼性が高い一方、AIベースのアプローチはローカルモデルやサードパーティAPIへのアクセスを必要とし、運用上のリスクを招きうると述べる。Hutchinsはまた、Googleの「Thinking Robot」マルウェアスニペットのような例にも言及している。これは、アンチウイルスを回避するコードを生成させるためにGemini AIエンジンへクエリを投げるものだったが、実際には、マルウェアチェーンの中で機能する保証も定義された機能もない、小さなコード断片を生成するようAIにプロンプトしているだけだった。
「このコードブロックが何をすべきなのか、あるいはどのようにアンチウイルスを回避するのかは一切指定されていません。ただ、Geminiが本能的にアンチウイルスの回避方法を知っている(そんなことはありません)という前提で動いているだけです。また、『自己変更』コードが以前のバージョンと異なることを保証するエントロピーもなければ、実際に動作することを保証するガードレールもありません。この関数はコメントアウトされており、実際には使用すらされていません」と、Hutchinsは後にLinkedInから削除された投稿に書いている。
研究者が指摘するように、回避だけでは、それが信頼性をもって機能する悪意ある能力を支えない限り、戦略的な意味はない。成熟した脅威アクターは新奇性よりも信頼性を重視しており、従来型の多形化はすでにそのニーズを満たしている。
AIは攻撃者にどのような実際の進歩をもたらしているのか?
今日におけるAIの真のインパクトは、自律的なマルウェアではなく、悪意あるペイロード生成におけるスピード、スケール、そしてアクセス性にある。大規模言語モデルを開発アシスタントとして捉えてみてほしい。コードのデバッグ、サンプルの言語間変換、スクリプトの書き換えや最適化、ボイラープレート的なローダーやステージャーの生成などだ。これにより、経験の浅いアクターにとっての技術的ハードルが下がり、熟練したアクターにとっては反復サイクルが短縮される。
ソーシャルエンジニアリングも進化している。フィッシングキャンペーンはより洗練され、説得力を増し、大規模化している。AIは地域ごとに特化した誘引文、業界に即した事前説明、洗練されたメッセージを高速に生成し、防御側が頼りにしてきた文法ミスといった赤信号を取り除いてしまう。すでに技術的な高度さではなく欺瞞に依存しているビジネスメール詐欺(BEC)は、この変化の恩恵を特に大きく受けている。
生成AIツールは、変数名を変えたり、構造をわずかに入れ替えたりすることで、マルウェアコードに表面的なバリエーションを生み出せる。これはときおり基本的な静的スキャンを回避するが、現代の振る舞い検知を打ち破ることはほとんどなく、しばしば、よく資金を持つ犯罪オペレーションにとって受け入れがたい不安定さをもたらす。稼働時間と安定したパフォーマンスを必要とする既存の脅威アクターグループにとって、この予測不能性はむしろ不利に働く。
その純粋な効果は、洗練度の向上ではなく、アクセス性の向上だ。より多くのアクター、たとえ未熟な者であっても、「十分に使える」マルウェアを作れるようになったのである。
今年初め、粗雑なランサムウェアがテスト用拡張機能としてVisual Studioマーケットプレイスに登場した。Secure AnnexのJohn Tucknerはこれを「AIスロップ」ランサムウェアと名付け、出来が悪く、不安定で、運用面でも未熟だと評した。このサンプルが示したのは、AI支援コードがいかに容易にバンドルされ配布されうるかであり、その独創性ではなかった。
「ランサムウェアがVSマーケットプレイスに現れたことで心配になりました」と、TucknerはXに投稿している。「明らかにAIによって作られており、復号ツールを拡張機能に含めてしまうなど、多くのミスを犯しています。もしこれがマーケットプレイスに入り込めてしまうなら、より高度なものが入り込んだ場合、どのような影響が出るでしょうか?」
誇張されたAIの主張に対する業界からの反発
マーケティング主導のAIナラティブと、実務家の懐疑論とのギャップは明らかだ。最近のAnthropicのレポートは、テクノロジー企業や政府機関を標的とする「高度に洗練されたAI主導のスパイ活動キャンペーン」を主張した。これを、生成AIが国家レベルのサイバー作戦に組み込まれている証拠と見る向きもあったが、専門家たちは懐疑的だった。
ベテランセキュリティ研究者のKevin Beaumontは、このレポートには運用上の実体が欠けており、新たな侵害指標も提供していないと批判した。BBCのサイバー特派員Joe Tidyは、活動内容はおそらく従来からあるキャンペーンを反映したものであり、新たなAI駆動型脅威ではないと指摘した。別の研究者であるDaniel Cardは、AIはワークフローを加速させるが、自律的に思考したり、推論したり、イノベーションを起こしたりはしないと強調している。
こうした議論を通じて、一つのパターンが一貫している。AIの誇大広告は、技術的な精査の前では崩れ去るということだ。
なぜAI多形マルウェアは主流になっていないのか
AIが開発を加速し、無限のコードバリエーションを生成できるのであれば、なぜ本当に効果的なAI多形マルウェアが一般的になっていないのか。その理由は、哲学的というより実務的なものだ。
- 従来の多形化で十分に機能している:一般的なパッカーやクライプターは、膨大な数の亜種を安価かつ予測可能に生成できる。オペレーターにとって、機能を破壊するかもしれない確率的なAI生成に切り替えるメリットはほとんどない。
- 振る舞い検知によりメリットが減少:バイナリが異なっていても、マルウェアは依然としてC2通信、権限昇格、認証情報窃取、ラテラルムーブメントといった悪意ある行為を行わなければならず、これらはコード構造とは無関係なテレメトリを生み出す。現代のEDR、NDR、XDRプラットフォームは、こうした振る舞いを高い信頼性で検知する。
- AIの信頼性の問題:大規模言語モデルは幻覚を起こし、ライブラリを誤用したり、暗号処理を誤実装したりする。コードはもっともらしく見えても、実環境では動作しないことがある。前述の通り、犯罪グループにとって不安定さは重大な運用リスクだ。
- インフラ露出:ローカルモデルはフォレンジックの痕跡を残しうるし、サードパーティAPIは悪用検知やログ取得のリスクを伴う。こうしたリスクは、規律ある脅威アクターをさらに尻込みさせる。
多くの成功している攻撃者は、リサーチ、フィッシング、翻訳、自動化といった支援タスクにはAIを使うかもしれないが、攻撃オペレーションの中核となるペイロード生成を完全にAIに委ねることはないだろう。
CISOと防御側が注視すべきポイント
本当の危険は、AIを過小評価することではなく、そのリスクを誤解することだ。自律的に自己書き換えするマルウェアが差し迫った脅威なのではない。実際には、攻撃者がより速く、より大規模に活動できるようになっている。
- 自動化と伝播。繰り返し行われるマルウェアキャンペーンであるShai-Huludは、攻撃者が自動化を用いて効率性、被害範囲、そして混乱の広がりを劇的に高められることを示しているが、そこには新しい技術的ロジックは必ずしも存在しない。(この継続的なキャンペーンは自動化を用いていたが、必ずしもAIを使っていたわけではない)。後のイテレーションでは、自動化された伝播により、環境や下流の依存関係全体にマルウェアが急速に拡散したが、ペイロード自体は同一のままだった。これは、防御側がハッシュ値、静的なデータ流出先URL、YARAルールといった安定したインジケータに引き続き依拠できる一方で、レジストリ、ビルドシステム、開発環境全体に影響が波及する前に対応できる時間が大幅に短くなったことを意味する。リスクの変化は、マルウェアが賢くなったことではなく、マシンスピードでより速く、より広く実行されるようになったことにある。
- 急速な亜種反復。前述のポイントを踏まえると、AIはコンセプトからデプロイまでの時間を短縮できる。単一のインシデントの中でマルウェアファミリーが次々と切り替わる可能性があり、振る舞い検知、メモリ分析、遡及的ハンティングの価値が高まる。
- 大規模なソーシャルエンジニアリング。AI生成のフィッシング、なりすまし(プレテキスティング)、ターゲットに合わせたメッセージにより、質と到達範囲が向上する。認証情報、MFA、アクセスワークフローといったアイデンティティ基盤は依然として主要な攻撃面だ。防御側は、メールセキュリティ、ユーザー行動分析、認証の強靭性に注力すべきである。
- ボリュームとノイズ。より多くのアクターが「十分に使える」マルウェアを生成できるようになり、質は低くとも運用上は利用可能な脅威の数が増加している。SOCオペレーションにおける自動化と優先順位付けは、対応チームがノイズに圧倒され、燃え尽きるのを防ぐために、これまで以上に重要になっている。
- ベンダーへの懐疑心。AI特化の保護をうたうマーケティング主張が、必ずしも優れた検知性能を保証するわけではない。CISOは、透明性のあるテスト、実環境に即したデータセット、検証された誤検知率、「革新的」とされる製品の防御機能がラボ環境を超えて有効であることの証拠を求めるべきだ。
AIはサイバー犯罪の姿を変えつつあるが、それは一部のベンダーが示唆するような映画的な形ではない。そのインパクトは、既存の防御を打ち破る自己変更マルウェアではなく、スピード、スケール、アクセス性にある。成熟した脅威アクターはいまだに実績ある手法に依存している。多形化は新しいものではなく、振る舞い検知はいまも有効であり、アイデンティティは依然として攻撃者の主要な侵入口だ。今日の「AIマルウェア」は、自律的なイノベーションというより、AI支援による開発と理解したほうがよい。
CISOにとっての重要なポイントは、攻撃者側の時間と労力の圧縮だ。優位性は、自動化し、より速く反復し、可視性とコントロールを維持できる者へと移りつつある。この現実に備えるということは、振る舞いモニタリング、アイデンティティセキュリティ、レスポンス自動化を一層強化することを意味する。
現時点で、自己認識を持つとされるマルウェアのリスクは、攻撃者にもたらされるAIの現実的な効率向上、すなわちキャンペーンテンポの加速、スケール拡大、有能な悪用者にとっての参入障壁の低下ほど大きくはない。誇大広告のほうが目立つが、その加速がもたらす運用上のインパクトこそが、いまリーダーシップの判断力が最も問われる領域である。
