Googleは2025年11月6日(米国時間)、「GTIG AI Threat Tracker: Advances in Threat Actor Usage of AI Tools|Google Cloud Blog」において、脅威アクターが「AIを活用する新たなマルウェア」を実際の攻撃活動に展開していると報じた。AIを悪用する攻撃が新たなステージに移行したと述べ警鐘を鳴らしている。
-
GTIG AI Threat Tracker: Advances in Threat Actor Usage of AI Tools|Google Cloud Blog
マルウェアがAIを悪用する
Google脅威インテリジェンスチーム(GTIG: Google Threat Intelligence Group)は過去1年間の脅威変化を分析することで、AIを悪用する新しい攻撃活動を特定した。発表によると、攻撃時に大規模言語モデル(LLM: Large Language Model)を悪用する新しいマルウェア「PROMPTFLUX」および「PROMPTSTEAL」などが特定され、オンデマンドでコードを生成する新時代の攻撃手法が確認されたという。
PROMPTFLUXはGeminiのAPIを悪用して検出回避機能を持つ難読化されたVBScriptを生成する。分析により、開発段階またはテスト段階にあることが推定されており、未完成のマルウェアと評価されている。コメントアウトされたコードからは自己修正機能が発見されており、自己進化を続けるマルウェアを開発する意図が確認されている。
この自己進化が正常に動作すると、被害環境に新しい亜種が存在し続けることになる。従来のシグネチャーベースの検出は無力化され、駆除が困難になることが予想される。
PROMPTSTEALはロシアの国家支援を受けているとみられる脅威グループ「APT28(別名: FROZENLAKE)」がウクライナへの攻撃に使用したマルウェアとされる。機械学習プラットフォーム「Hugging Face」のAPIを悪用して、動的にコマンドを生成する機能を持つ。このマルウェアも開発段階にあると推定され、新しいサンプルからは難読化やメソッドの変更が確認できるという。
生成AIを悪用する手法
Googleは生成AIサービスとしてGeminiを展開している。Geminiには堅牢なセキュリティ保護が実装されており、通常の利用では悪意のある指示は拒否される。しかしながら、攻撃者は何かしらの方法で保護を突破し、悪意のあるコードの生成に成功している。
Googleは脅威アクターが使用したプロンプトの一部や、悪用手法の概要を公開。脅威アクターはAIに対して「セキュリティ演習の一環だ」と言葉巧みに説得し、本来であれば拒否される指示を実行させたという。AIを説得するという冗談のような攻撃手法だが、実際に確認されている。
Googleはこの攻撃手法を特定することで、同様の手法に対するガードレールの強化を講じた。しかしながら、この強化策を無条件で適用すると善意による利用者も拒否する可能性があることから、今後は善悪の差別化要因を分析して改善を続けるとしている。
そのほか、マルウェア開発に悪用する事例や、AI機能を持つ攻撃ツールの調査概要なども報告されている。また、北朝鮮、イラン、中国の国家支援を受けている脅威アクターのAI利用は増加すると指摘。これまでにさまざまな活動を阻止してきたが、新たに得られた知見をフィードバックし、これら脅威アクターによるAIのさらなる悪用を阻止する方針を伝えている。
