2025年後半、AI搭載マルウェアが理論上の脅威から現実の脅威へと移行する一方で、RaaS(ランサムウェア・アズ・ア・サービス)経済が前例のないペースで拡大し、サイバーセキュリティの状況は重大な新時代に突入しました。
ESET Researchの最新の脅威レポートによると、これら2つの力が、組織がサイバー防御に取り組む方法を再構築しています。
ESETは発見により、初の既知のAI搭載ランサムウェアであるPromptLockを特定し、脅威の進化における画期的な転換点となりました。
静的コードを持つ従来型マルウェアとは異なり、PromptLockはOllama APIを介してOpenAIモデルを利用し、実行中に悪意のあるLuaスクリプトを動的に生成します。
この手法は検知の前提を根本から変えます。各亜種が一意であるため、シグネチャベースの防御はますます効果を失います。
このマルウェアは2コンポーネント構成で動作します。AIサーバーおよびハードコードされたプロンプトと通信する静的なGoモジュールと、ファイルシステムの列挙、データの持ち出し、暗号化、削除を実行できる、動的に生成されるクロスプラットフォームLuaスクリプトの組み合わせです。
特に危険なのは、PromptLockに組み込まれた検証ループです。AIモデルが動作しないコード(大規模言語モデルの既知の制約)を生成した場合、マルウェアは実行ログをモデルにフィードバックして修正させ、実質的に自己改善する脅威を作り出します。
「PromptLockのようなツールの出現は、サイバー脅威の状況における大きな変化を浮き彫りにしています」と、ESETのシニア・マルウェア研究者であるAnton Cherepanov氏は述べました。
「AIの助けにより、高度な攻撃の立ち上げが劇的に容易になり、熟練した開発者チームの必要性がなくなりました。」
セキュリティ研究者は当初、PromptLockを概念実証(PoC)と評価していましたが、ESETは実環境でさらに3つのAI搭載脅威(PromptFlux、PromptSteal(LameHug)、QuietVault)を確認しました。
Lumma Stealerの検知は次第に頻繁に見られるようになり、まもなくテイクダウン前に記録されていた水準と同程度に達しました。
後者2つは、ロシア寄りのSednitおよび中国寄りの脅威アクターに帰属される諜報キャンペーンですでに武器化されており、AI搭載マルウェアが実験段階を超えたことを示しています。
ランサムウェアの爆発的拡大
ランサムウェア経済の拡大は、AI脅威の急増と並行して進んでいます。ESETの分析では、ランサムウェア被害者数が前年比40%増となる見通しで、2025年の累計はすでに2024年を1,700件以上上回っています。
ランサムウェア集団のリークサイトにある公開データでは、2025年の既知の被害者は6,937件で、製造、建設、小売、医療、テクノロジー分野が攻撃の矢面に立たされています。
QilinとAkiraが現在、RaaS(ランサムウェア・アズ・ア・サービス)市場を支配しており、いずれも分析対象の攻撃の約10%に関与しています。
しかし、Warlockと呼ばれる新興グループが、ToolShell脆弱性の悪用や、VelociraptorやVS Codeのような正規ツールの悪用を含む、特に高度な回避手法を伴って台頭しています。
Jaguar Land Roverのランサムウェア事案は、脅威のエスカレーションを象徴しています。Scattered Spider、Lapsus、ShinyHuntersのメンバーが関与した協調攻撃により世界規模の停止に追い込まれ、被害額は約25億ドルに達しました。これは現在、英国史上最も高額なサイバー攻撃となっています。
EDRキラーが増殖
懸念すべき並行トレンドとして、EDR(エンドポイント検知・対応)キラーツールの急増があります。
2025年後半には10種類以上の新たなEDR無効化亜種が出現し、BYOVD(Bring Your Own Vulnerable Driver:脆弱なドライバーの持ち込み)手法が主流でした。これは、ランサムウェア運用者がEDRソリューションを成功の主要な障害と見なしていることを示しています。
攻撃者がAIを活用して偵察、悪用、持ち出しを前例のない速度と規模で自動化する中、組織は従来のシグネチャベース検知を超えて進化する必要があります。
AI生成マルウェアと活況なランサムウェア経済の組み合わせは、行動分析、脅威インテリジェンス、ゼロトラスト・アーキテクチャへの即時の戦略的投資を求める転換点を示しています。
翻訳元: https://gbhackers.com/eset-flags-rising/
