大規模言語モデルはランサムウェア運用を根本的に作り替え、参入障壁を下げるとともに、脅威アクターが前例のない速度と効率で活動できるようにしている。
LLMはサイバー犯罪エコシステムにおいて、同時進行する3つの構造変化を促している。すなわち、低スキルのアクターに対する参入障壁の低下、巨大ギャングの運用がより小規模なクルーへと分裂すること、そして国家支援のAPTグループと犯罪系ランサムウェア・アフィリエイトの境界が曖昧になることだ。
最も即時的な影響は、企業のワークフローが直接置き換えられる点にある。ランサムウェア運用者は、正当な企業が日常的に使っているのと同じLLMの能力を、犯罪目的に転用して活用している。
脅威アクターはLLMを用いて、ローカライズされたフィッシングメールの文面を作成し、被害企業の言語に合わせたカスタマイズされた身代金要求文を生成し、流出データをトリアージして収益性の高い標的を特定する。重要なのは、LLMが、これまで国際的な運用者を制約していた言語の壁を取り払うことだ。
ロシア語話者の攻撃者でも、従来のパターンマッチング型ツールよりもはるかに高い精度で、アラビア語、ヒンディー語、スペイン語、または日本語の中から財務上機微な文書を特定するようモデルに指示できるようになった。
直接的な置換にとどまらず、脅威アクターは悪意あるタスクを一見無害に見えるプロンプトへと分解し、複数のセッションやモデルに分散させたうえで、オフラインでコードを組み立てている。
この「プロンプト密輸」手法は、プロバイダーのガードレールや安全フィルターを回避する。同時に、アクターはOllamaのような検閲のないオープンソースモデルへ移行する傾向を強めており、これらはテレメトリが最小限で、商用LLMに備わるセキュリティ制御を欠いている。
最近の記録された事例は、この進化を示している。2025年8月、Anthropicの脅威インテリジェンスチームは、脅威アクターがClaude Codeを用いてランサムウェア・キャンペーンを自動化し、偵察、データ評価、身代金算定、多言語の身代金要求文生成を、最小限の人手介入で処理していたと報告した。
Googleの研究者は、ローカルにインストールされたLLMを武器化し、被害者システム内から暗号資産ウォレットや機微な認証情報を検索するQUIETVAULTスティーラーマルウェアを特定した。
2025年12月のキャンペーンでは、LLM生成コンテンツとSEOポイズニングを組み合わせ、正規のAIプロバイダーのドメインを装ってmacOS向けAmos Stealerを配布した。
大規模言語モデルが可能にしているのは、より鋭い被害者選定を伴う、より効率的でスケーラブルな恐喝運用であり、自律的または高度に知能的なマルウェア株の出現ではない。
脅威アクターが自己ホスト型モデルへ移行するにつれ、防御側は重要な可視性の優位性を失う。今後の課題は、新奇な攻撃能力ではなく、運用テンポとノイズによって規定される。
翻訳元: https://cyberpress.org/llms-accelerating-ransomware-lifecycle/