- MalTerminalはGPT-4を利用してランサムウェアやリバースシェルのコードを実行時に生成
- LLM対応マルウェアは、悪意あるロジックを実行時にのみ生成することで検出を回避
- 研究者は実際の展開の証拠を発見せず、概念実証またはテストツールの可能性が高い
SentinelOneのサイバーセキュリティ研究者は、OpenAIのChatGPT-4を利用してリアルタイムで悪意あるコードを生成する新たなマルウェアを発見しました。
研究者によれば、MalTerminalは脅威アクターが悪意あるコードを作成・展開する方法に大きな変化をもたらしており、「LLMのマルウェアへの組み込みは、攻撃者の手法に質的な変化をもたらしている」と指摘しています。
「実行時に悪意あるロジックやコマンドを生成できることで、LLM対応マルウェアは防御側に新たな課題をもたらします。」
政府を装う
この発見により、サイバーセキュリティ業界は全く新しいマルウェアのカテゴリ、すなわちLLM対応マルウェア、つまり大規模言語モデルを直接機能に組み込んだマルウェアと戦う必要が出てきました。
本質的に、MalTerminalはマルウェアジェネレーターです。攻撃者が起動すると、ランサムウェアの暗号化ツールかリバースシェルを作成するかを尋ねます。そのプロンプトがGPT-4 AIに送信され、選択された形式に合わせたPythonコードが返されます。
SentinelOneによると、そのコードはマルウェアファイル内には実行時まで存在せず、動的に生成されるとのことです。これにより、従来のセキュリティツールでは静的な悪意あるコードが存在しないため、検出が非常に困難になります。
さらに、研究者はハードコードされたAPIキーやプロンプト構造を持つPythonスクリプトやWindows実行ファイルを発見したことで、GPT-4の統合を特定しました。
また、使用されていたAPIエンドポイントは2023年後半に停止されていたため、SentinelOneはMalTerminalがそれ以前のものであり、AI搭載マルウェアとしては最も初期の例であると結論付けました。
幸いなことに、このマルウェアが実際に野放しで展開された証拠はなく、単なる概念実証やレッドチーミングツールだった可能性があります。SentinelOneはMalTerminalが今後の兆候であると考え、サイバーセキュリティ業界に対し準備を呼びかけています:
「LLM対応マルウェアの利用はまだ限定的で主に実験段階にありますが、この開発初期段階は、防御側が攻撃者の失敗から学び、アプローチを調整する機会を与えてくれます」とレポートは付け加えています。
「攻撃者が戦略を適応させることが予想されるため、今後の研究が今回の成果をさらに発展させることを期待しています。」
