TokyoBlackHatNews

gbhackers.com 4分で読了

LLMがランサムウェアの速度・規模・世界的到達範囲を加速させる

大規模言語モデル(LLM)は、ランサムウェアの運用を根本的に変革しているわけではありません。しかし、速度、量、多言語対応能力における測定可能な向上によって、脅威環境を劇的に加速させています。

SentinelLABSの調査によれば、攻撃者は偵察、フィッシング、ツール作成支援、データのトリアージ、身代金交渉にわたってLLMを活用しており、防御側に即時の適応を迫る、より速く、より騒がしい脅威環境を生み出しています。

加速と変革の区別は重要です。LLMがランサムウェア運用に影響を与えていることは疑いようがない一方で、攻撃者がこれらのツールをどのように統合しているかについての脅威インテリジェンス・コミュニティの理解は依然として限定的であり、孤立した事例を革命的な変化として過大解釈しやすくなっています。

SentinelLABSの分析、LLMは画期的な能力というより運用の加速をもたらすものだと明らかにしています。ランサムウェア運用者は、正当な企業が日常的に使っているのと同じLLMワークフローを採用し、それを犯罪目的に転用しているにすぎません。

フィッシング・キャンペーンは現在、被害組織に合わせて調整されたAI生成コンテンツの恩恵を受けており、被害者の母国語と企業の文体で書かれています。

データのトリアージは飛躍的に効率化され、運用者は、これまで英語以外を話す攻撃者の目を塞いでいた言語の壁を越えて、機密文書を特定するようモデルに指示できるようになりました。

ロシア語話者の運用者でも、「Fatura」(トルコ語で請求書)や「Rechnung」(ドイツ語で請求書)に財務上の機微情報が含まれることを認識できるようになり、標的選定の精度をかつて制限していた盲点が解消されます。

並行して加速する3つの構造的変化

SentinelLABSは、ランサムウェア・エコシステムを作り替えている3つの同時進行の構造的変化を特定しています。

第一に、参入障壁が下がり続けています。低〜中スキルの攻撃者でも、悪意あるタスクを一見無害なプロンプトに分解し、プロバイダーのガードレールを回避することで、実用的なRaaS(Ransomware-as-a-Service)基盤を組み立てられるようになっています。

第二に、LockBitやContiのようなメガブランド・カルテルの時代は終わり、Termite、Punisher、The Gentlemen、Obscuraといった、目立たない形で活動する小規模クルーが増殖しています。これに加えて、ブランドのなりすましや虚偽の犯行声明が横行し、アトリビューション(帰属特定)を複雑化させています。

第三に、国家に関連する攻撃者がランサムウェアのアフィリエイトとして副業的に活動したり、文化的動機を持つグループがアフィリエイト・エコシステムに参入したりすることで、APTグループとクライムウェアの境界が曖昧になっています。

これらの変化はLLMが広く利用可能になる以前から存在していましたが、AIの影響下で同時に加速しています。

2025年半ば、 Global Group RaaS は「AI支援チャット」の宣伝を開始しました。この機能は、売上や過去の公開行動など、被害企業のデータを分析し、その分析に基づいてコミュニケーションを調整すると主張しています。

Image
AI支援チャットを提供するGlobal RaaS。

より上位の脅威アクターは、プロバイダーのガードレールを避けるために、自己ホスト型のオープンソースOllamaモデルへとますます傾斜しています。

これらのローカル配備ソリューションは、より高い制御性、最小限のテレメトリ、商用LLMより少ない安全策を提供します。

初期の概念実証(PoC)のLLM対応ランサムウェア・ツールはまだ不格好ですが、方向性は明確です。最適化が進めば、自己ホスト型モデルが高度なクルーのデフォルトになります。

採用が加速し、モデルが攻撃目的に合わせて微調整されるにつれて、防御側は、カスタマイズされた攻撃者管理下のシステムによる悪用を特定し妨害することが、ますます困難になるでしょう。

現実世界での悪用

最近のキャンペーンは、実践的なLLMの展開を示しています。2025年8月、Anthropicの脅威インテリジェンス・チームは、Claude Codeを用いて高度に自律的な恐喝キャンペーンを実行したアクターについて報告しました。単一の統合ワークフローの中で、偵察、データ評価、身代金算定、身代金要求文の作成を自動化していました。

同様に、Google Threat Intelligenceは、ローカルにインストールされたAIツールを武器化してデータ流出を強化するQUIETVAULTスティーラー・マルウェアを特定しました。自然言語理解を活用し、暗号資産ウォレットや機密認証情報にまたがるインテリジェントなファイル探索を行います。

LLMの広範な利用可能性は、より巧妙な標的選定、個別最適化された要求、クロスプラットフォームのトレードクラフトによって、恐喝を産業化しています。

リスクは超知能マルウェアではなく、運用効率の高い恐喝が大規模に行われることです。防御側は、攻撃者が速度、到達範囲、精度の各面で小さくとも急速な効率向上を積み重ねていくことに備えなければなりません。新奇な能力ではなく運用テンポが課題を規定する、より速く、より騒がしい脅威環境へ適応する必要があります。

翻訳元: https://gbhackers.com/llms-supercharge/

ソース: gbhackers.com
#APTと犯罪組織の境界の曖昧化 #RaaS(Ransomware-as-a-Service) #サイバー犯罪 #データ窃取・情報漏えい #フィッシング攻撃 #ランサムウェア #多言語対応・翻訳 #大規模言語モデル(LLM) #脅威インテリジェンス #自社ホスト型AI(オープンソースモデル)

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚