AI搭載ランサムウェアはすでに登場していますが、それは最近発見されたPromptLockではありません。PromptLockはニューヨーク大学タンデン工学部の研究者によって作成されたプロトタイプであることが判明しています。
PromptLockのサンプルは8月下旬にVirusTotalで発見され、ESETはそれがOpenAIのGPT-OSS:20bに依存し、ハードコーディングされたプロンプトを使ってLuaスクリプトを即座に生成し、標的となるシステム上でさまざまなアクションを実行していることを明らかにしました。
先週、PromptLockが実際には概念実証(PoC)に過ぎないことが確認されました。NYUの研究者がESETに連絡し、Ransomware 3.0(PDF)について詳述した新しい研究論文を指摘しました。彼らはこれを「LLMによって指揮されるランサムウェアの最初の脅威モデルおよび研究プロトタイプ」と呼んでいます。
研究者によれば、Ransomware 3.0は攻撃チェーンのすべての段階をLLM(大規模言語モデル)によって指揮し、環境に適応し、カスタマイズされたペイロードを展開します。
「このシステムは偵察、ペイロード生成、個別化された恐喝を、人間の関与なしにクローズドループの攻撃キャンペーンとして実行します」と研究者は説明しています。
このプロトタイプは、一見無害なLLM支援ツールとして展開でき、悪意のある指示を埋め込むことができます。実行されると、AIを利用して環境を調査し、機密情報を特定し、ファイル暗号化などの攻撃ベクトルを考案・実行し、個別化された恐喝メモを生成します。
「正当なLLMユーティリティと、隠れた悪意のある指示を含むパッケージを区別することは、ますます困難になるでしょう。一度展開されると、このようなマルウェアはローカルのLLMエンドポイントを発見したり、商用APIキーを収集したり、独自のコマンド&コントロール(C&C)サーバーに接続したりして、LLMに実行時に悪意のあるコードを生成させることができます」と研究者は説明しています。
しかし、Anthropicの2025年8月の脅威インテリジェンスレポート(PDF)によれば、このようなランサムウェア攻撃は現実に存在しており、同社はClaude Codeのエージェンティックコーディングツールを利用してRansomware 3.0が想定したすべての活動を実行する野生の活動を阻止したとしています。
広告。スクロールして読み続けてください。
脅威アクターはオープンソースインテリジェンスツールやインターネット接続デバイスのスキャンを利用して標的を特定し、その後Claude Codeを「偵察、エクスプロイト、ラテラルムーブメント、データ流出」に使用しました。
攻撃者は、好みのTTP(戦術・技術・手順)をCLAUDE.mdファイルに含め、Claude Codeがユーザーの好みに応じてプロンプトに応答できるようにし、アシスタントを使ってネットワークへの侵入方法、流出させるデータの特定、心理的にターゲットを絞った身代金メモの作成方法を決定しました。
「攻撃者の体系的なアプローチにより、個人記録(医療データ、金融情報、政府の資格情報、その他の機密情報)が侵害され、直接的な身代金要求が50万ドルを超えることもありました」とAnthropicのレポートは示しています。
また、攻撃者はClaude Codeを利用してマルウェアを作成し、検知回避機能を持たせ、流出データを分析して適切な身代金額(ビットコイン)を決定しました。
「Claude Codeは複数の被害組織にわたる包括的なデータ抽出と分析を支援しました。防衛請負業者、医療提供者、金融機関など、さまざまな組織からデータを体系的に抽出・分析し、社会保障番号、銀行口座情報、患者情報、ITAR管理文書などの機密情報を抽出しました」とAnthropicは述べています。
同社は観測された活動に関連するアカウントを禁止し、同様の行動を防ぐための検知機能の開発を開始しましたが、「このオペレーションはAI支援サイバー犯罪の懸念すべき進化を示しており、AIが技術コンサルタントと積極的なオペレーターの両方を担っています」とAnthropicは指摘しています。
「実際には、脅威アクターはすでに何年も前から基盤モデルを使ってサイバー犯罪を実行しています。現代のLLMがランサムウェアキャンペーンのすべての部分を指揮できるというのは衝撃的に聞こえますが、実際には攻撃を小さなタスクベースの部分に分割すれば、これを実行するのは難しくありません」とExabeamのセキュリティリサーチ部門シニアディレクター、スティーブ・ポヴォルニー氏は述べています。
「攻撃者が大規模で特定かつ複雑な攻撃シナリオを、これまでよりもはるかに速く、簡単に、安価に構築できると単純に考えなければなりません。ちょうどノンコーダーがほとんど知識なしにエンタープライズアプリケーションやサービスを作れるようになったのと同じです。実際、攻撃手法自体は本質的に大きく変わっていません。ただ、攻撃者にとってははるかに簡単で、速く、安くなっただけです」とポヴォルニー氏は付け加えました。
関連記事: 今すぐ視聴: サイバーAI&オートメーションサミット – 全セッションオンデマンド配信中
関連記事: AI – 適切なユースケースに適切な技術を導入するには
翻訳元: https://www.securityweek.com/promptlock-only-poc-but-ai-powered-ransomware-is-real/