AIがマルウェアを進化させる?Gemini悪用型攻撃PROMPTFLUXとPROMPTSTEAL
- AIセキュリティ
- マルウェア解析
- LLM悪用
- サイバー攻撃手法
- SOC運用
- セキュリティ最新動向
GTIGが警告する「考えるマルウェア」:PROMPTFLUXとPROMPTSTEAL
GTIGは、LLM(大規模言語モデル)を悪用する新たなマルウェアタイプとして、PROMPTFLUXおよびPROMPTSTEALを発見しました。
これらは、攻撃者がコードを書くのではなく、AIに「悪意のあるスクリプトを動的に生成させる」または「コードを自己難読化させる」ことで、従来のセキュリティ検知を回避します。
1. PROMPTFLUX:Geminiで自己変異するドロッパー
PROMPTFLUXはVBScriptで作成されたドロッパーですが、最大の特徴はGoogleの生成AI「Gemini」を利用して自身のコードを難読化・再生成する点です。
このマルウェアには「Thinking Robot(考えるロボット)」と呼ばれるモジュールが組み込まれており、周期的にGemini APIへクエリを送信して、アンチウイルス製品を回避するための新しいコードを生成させます。
- 動作の仕組み:ハードコードされたAPIキーを使用し、GeminiのエンドポイントにPOSTリクエストを送信。
- 持続性:常に安定した「gemini-1.5-flash-latest」モデルを指定して呼び出し、ツールの復元力を高めています。
- 目的:単なる難読化だけでなく、感染後にコード自体を書き換えて保存し、常に新しい亜種として動作し続けます。
2. PROMPTSTEAL:AIに命令を作らせるデータマイナー
一方、PROMPTSTEALは、ロシア政府支援のハッカー組織「APT28」がウクライナ攻撃に使用したマルウェアです。
このマルウェアは、具体的な窃取コマンドを内部に持っていません。代わりに、Hugging FaceなどのLLM APIに対して「システム情報を収集するコマンドを作れ」と指示し、AIが生成したコマンドを実行します。
- 偽装:ユーザーには画像生成プログラムに見せかけつつ、バックグラウンドで悪意あるクエリを送信します。
- プロンプト例:「ユーザーのドキュメントフォルダからPDFやtxtを再帰的にコピーするコマンドをリスト化せよ」といった指示をAIに送ります。
国家支援ハッカーによるAI悪用の実態
GTIGのレポートでは、特定の国家が支援する攻撃グループが、それぞれの目的のためにGemini等のAIをどのように悪用しているかも詳らかにされています。
中国:CTF参加者を装った脆弱性探索
中国の攻撃者は、CTF(Capture The Flag)の参加者を装ってGeminiを利用しています。
彼らは「このシステムの脆弱性を教えて」とAIに尋ね、得られた情報を基にエクスプロイトやWebシェルを開発したり、クラウドインフラ(Kubernetesなど)への偵察を行ったりしています。また、APT41などの組織は、C2フレームワーク「OSSTUN」のコード難読化にもAIを活用しています。
北韓 (UNC1069):暗号資産狙いのソーシャルエンジニアリング
北朝鮮関連の組織「UNC1069」は、暗号資産(仮想通貨)を盗むためにGeminiを悪用しています。
- ウォレットアプリのデータ位置を特定する調査。
- スペイン語でのもっともらしい業務連絡や会議変更依頼のメッセージ生成。
- ソフトウェアアップデートを装うための偽装工作。
イラン (TEMP.Zagros / APT42):学生へのなりすましとディープフェイク
イランの組織「TEMP.Zagros」は、AIの安全装置(倫理フィルターなど)を回避するために、「大学のプロジェクトで必要だ」と主張する学生になりすまして悪性スクリプトを書かせようとします。
また、APT42はディープフェイク画像や映像を活用し、関係者を騙してバックドア「BIGMACHO」を配布するなどの高度なソーシャルエンジニアリングを展開しています。
脅威のポイント:アンダーグラウンドでのAI拡散
これらの高度な攻撃だけでなく、アンダーグラウンドフォーラムではWormGPTやFraudGPTといった、サイバー犯罪専用のAIツールも広く流通しています。
これらはフィッシングメールの作成から、マルウェア開発、脆弱性悪用まで、攻撃者のスキルレベルを問わず悪用可能な機能を提供しています。
対策:AI悪用への対抗策
攻撃者がAIを使う以上、防御側もAIを意識した対策が必要です。レポートでは以下の対応ガイドが推奨されています。
- AI API通信の監視と遮断
- 社内ネットワークから不必要なLLMサービス(OpenAI, Gemini, Hugging Faceなど)へのAPI呼び出しをモニタリングし、業務に関係ない通信をブロックします。
- AI生成コマンドのパターン検知
- PROMPTSTEALのように、AIが生成する独特なコマンド実行パターンや、不自然なスクリプトの動作を検知ルール(SIEM/EDR)に組み込みます。
- 開発環境のトークン保護
- 攻撃者はハードコードされたAPIキーなどを狙います。開発環境内の認証トークンやAPIキーの管理を厳格化し、漏洩を防ぐことが重要です。
結論:いたちごっこは「AI対AI」の時代へ
今回のGTIGの報告は、マルウェアが**「静的なコード」から「動的に思考・変化する脅威」へと進化した**ことを示しています。
PROMPTFLUXのように、マルウェア自身がAIに「どうすればウイルス対策ソフトに見つからないか?」と相談し、自らを変異させる時代が到来しました。
我々防御側も、基本原則(多層防御、最小権限)を守りつつ、AI特有の通信パターンや振る舞いに目を光らせる必要があります。
以上、Colorkrew Securityのユンジェホでした。
最後までお読みいただき、ありがとうございました。
