SentinelOneは9月19日(米国時間)、「Prompts as Code & Embedded Keys|The Hunt for LLM-Enabled Malware|SentinelOne」において、脅威情報と脆弱性研究のカンファレンス「LABScon 2025」で発表された「LLM-Enabled Malware In the Wild」と題する研究発表を公開した。

発表では、大規模言語モデル(LLM)がマルウェアに組み込まれることで、従来型の検知や追跡を困難にする新たな脅威の実態を明らかにした。具体的には、コードの実行時生成によって静的シグネチャ検知を無効化し得る事例や、未知のサンプルの発見について詳細が述べられた。この研究は、セキュリティ防御側にとって対応の必要性が急速に増していることを示している。

  • Prompts as Code & Embedded Keys|The Hunt for LLM-Enabled Malware|SentinelOne

    Prompts as Code & Embedded Keys|The Hunt for LLM-Enabled Malware|SentinelOne

偽AIアシスタントから侵入

LLMは柔軟な生成能力を備えており、攻撃者にとって多用途の支援ツールとなり得る。観測された事例には、偽のAIアシスタントを用いて利用者を誘引する手口、LLMを統合したアプリケーションに対するプロンプトインジェクション攻撃、マルウェア開発補助としての利用、フィッシングや情報整理を支援する「サイドキック」としての活用が含まれる。中でも、攻撃者がLLMを直接組み込んで操作優位を得る「LLM埋め込み型マルウェア」は、防御の観点からとくに難度が高い対象となっている。

実際に確認されたLLM活用型マルウェアには「PromptLock」と「LameHug (PROMPTSTEAL)」がある。PromptLockは概念実証の域にとどまるが、複数プラットフォームで動作し、LLMを通じたシステム情報収集やファイル送信を可能にする設計が見られた。一方、APT28に関連付けられたLameHugは、数百件のAPIキーを埋め込み、シェルコマンドを動的生成することで情報窃取を行うものだ。これらのサンプルは、防御側に新たな視点を提供している。

これらの事例から、マルウェアの挙動が実行時に変化し、ネットワーク通信も正規利用と混在するため、従来の検知手法では対応が難しいことが示された。他方で、APIキーやプロンプトといった依存要素をコード内に含む必要があるため、これらを探索対象とすることで新規サンプルを発見できる可能性がある。脆弱性と機会が同時に存在する構造が明らかとなった。

GPT-4を悪用し、ランサムウェアやリバースシェルを生成する機能も

研究チームは、YARAルールを用いた大規模APIキー検知と、バイナリやスクリプト中のプロンプト探索を併用するアプローチを構築した。APIキー探索では数千件のサンプルを精査し、クラスタリングによって効率を高めた。プロンプト探索では、埋め込みテキストから開発者の意図を読み取り、軽量な分類器で悪用可能性を判定する方法を実証した。この2段階の手法により、既知未報告のサンプル群を発見するに至った。

その成果として「MalTerminal」と呼称された一連のサンプルが明らかになった。これはGPT-4を悪用し、ランサムウェアやリバースシェルを生成する機能を備えていた。また、防御用ツールを併せ持つなど、意図が曖昧な設計も含まれていた。加えて、脆弱性挿入やネットワーク侵入支援など攻撃的利用を示すプロンプト群も多数確認された。研究は、現段階では事例が限定的である一方、防御側にとって学習と戦術調整の好機であることを指摘し、今後の適応進化への警戒を促している。