- ESETがPromptLockを発見、悪意あるスクリプトを動的に生成する初のAI駆動型ランサムウェア
- PromptLockはシステムをスキャンし、AIの判断に基づいてデータの流出、暗号化、または破壊を行う
- NFCマルウェアも増加中;専門家はアップデート、バックアップ、ファイル/ツールの慎重な取り扱いを呼びかけ
研究者によると、生成AI(GenAI)がランサムウェアの暗号化プログラムのコーディングに使われるようになっており、この技術がもはやフィッシングや詐欺コンテンツの作成だけに用いられているわけではないことが明らかになった。
ESET Researchの最新脅威レポートでは、既知としては初のAI駆動型ランサムウェア「PromptLock」について詳述している。PromptLockは「その場で悪意あるスクリプトを生成できる」もので、Ollama API経由でOpenAIモデルを用いて悪意あるスクリプトを生成し、その後それを実行する。
これには主に2つのコンポーネントが含まれる。AIモデルを動かすサーバーとの通信を担い、ハードコードされたプロンプトを保持する静的なメインモジュールと、プロンプトを通じてモデルが動的に生成するクロスプラットフォームのLuaスクリプトだ。
安全を保つ方法
ESETは、これらのスクリプトがローカルファイルシステムの列挙からデータの流出、暗号化の実行まで、複数の機能を果たすことを確認した。つまりPromptLockは被害者のシステムを自律的にスキャンし、特定したデータを流出させるべきか、暗号化すべきか、あるいは単に破壊すべきかを判断できるということでもある。
現時点でPromptLockは概念実証(PoC)であり、野放しの環境で遭遇するリスクは比較的低いとESETは付け加えた。しかし、その存在自体が懸念材料である。
「PromptLockのようなツールの出現は、サイバー脅威の状況における大きな変化を浮き彫りにしています」と、ESETのシニア・マルウェア研究者であるAnton Cherepanov氏は述べた。
「AIの助けにより、高度な攻撃の立ち上げは劇的に容易になり、熟練した開発者チームの必要性がなくなりました。適切に設定されたAIモデルがあれば、複雑で自己適応するマルウェアを作成するのに十分です。適切に実装されれば、こうした脅威は検知を著しく複雑化させ、サイバーセキュリティ防御側の作業を大幅に困難にする可能性があります。」
ランサムウェアに加えて、NFCの脅威も規模と巧妙さの両面で拡大しているとESETは警告した。年後半には、研究者はテレメトリが87%増加したことに加え、「いくつか」の注目すべきアップグレードも確認した。たとえば、NFC対応マルウェアの初期例の一つであるNGateは、連絡先も盗むようにアップグレードされた。
AI搭載の脅威が出現する中で安全を保つには、ユーザーと組織は依然として有効な基本に注力すべきだ。
攻撃対象領域を減らすためにOS、ブラウザ、セキュリティツールを完全に最新の状態に保ち、信頼できるエンドポイント保護を使用し、シグネチャベースのスキャンだけでなく振る舞い検知も有効にすること。
また、予期しないファイル、インストーラー、「ツール」は慎重に扱うべきで、特に生産性やAIの利点をうたうものには注意が必要だ。さらに、マルウェアが容易にデータを暗号化したり破壊したりできないよう管理者権限を制限する。ランサムウェアへの耐性には定期的なオフラインバックアップも引き続き重要であり、従業員教育も同様に重要だ。
