LLMを利用した新たなマルウェア攻撃・LAMEHUGとは

2025年7月、ウクライナの情報セキュリティ組織・CERT-UAは、大規模言語モデル（LLM）を利用した新種のマルウェア「LAMEHUG（レイムハグ）」により、同国の政府機関が攻撃を受けたと発表した。

LAMEHUGについて、Blue Planet-works　取締役の鴫原祐輔氏は「セキュリティ関係者の間では、攻撃の実行フェーズでAIに攻撃コードをリアルタイムに生成させて展開する攻撃手法が登場すると言われていたが、今回が初めてではないか」と話す。

LAMEHUGにはどのような特徴があるのか。また、どのような対策を講じればよいのか。同氏に伺った。

• 

  Blue Planet-works　取締役の鴫原祐輔氏

LAMEHUGとは

LAMEHUGは、2025年7月にCERT-UAによって報告された、LLMを用いたマルウェアである。鴫原氏は「全く新しいマルウェアというわけではなく、新しい仕組み、より効率化された手法を採用した1つのモデルだと認識している」と話す。

CERT-UAの報告では、LAMEHUGを用いた攻撃は中程度の信頼度で「APT28」に関連付けられている。APT28はロシアの軍事諜報機関に関連するグループとして知られており、情報収集や影響力工作を専門としているグループだ。2022年以降、 ウクライナの政府機関や重要インフラを狙った攻撃を繰り返しているグループの1つとして考えられている。

LAMEHUGの攻撃手法と特徴

今回報告されたLAMEHUGによる攻撃の発端は、ウクライナ関係省庁の担当者の名をかたって送られた、行政関係者への電子メールである。このメールにはファイルが添付されており、それを開くと、LAMEHUGが起動する。

• 

  LAMEHUGによる攻撃の手順

添付ファイルは3種類

CERT-UAの報告によると添付ファイルには3つの種類がある。

1つ目はEXEファイルだ。ファイル名に「AI generator」とあることから、「業務で使用する画像生成AIのツールをインストールさせるようなイメージで送付されているのではないか」と同氏は言う。2つ目はPIFファイルだ。これはショートカットファイルのかたちで添付されている。3つ目はPythonスクリプトで利用されるPYファイルだ。

LAMEHUGが起動されると、オープンソースのLLMを実行するためのプラットフォーム「Hugging Face」上にある「Qwen（Alibaba Cloudが開発）」へ指示文（プロンプト）が送られる。そこに書かれているのは、「情報を窃取するためのコードを書き、特定のファイルやシステムの情報を収集して、指定した先へ送り返せ」という指示だ。ここにLAMEHUGの1つ目の特徴があると同氏は指摘する。それはLAMEHUGが攻撃コード生成に利用するプラットフォームやLLMが正規のものであるため、一見すると悪意のある活動に見えない点だ。

画像生成AIを使っている間に情報を窃取する場合も

では実際、どのような情報が窃取されるのか。鴫原氏の検証環境では、PCのコンピューター情報や接続しているネットワーク、適用されたセキュリティパッチの内容など、PC内のさまざまな情報が窃取されることが確認できている。APT28の目的が諜報活動であれば、これらの情報から相手の環境を理解し、「次の攻め手を考えることもできるのではないか」と同氏は推測する。また、デスクトップ、マイドキュメントやダウンロードフォルダ内のオフィス文書やPDFファイルなども複製されて攻撃者に送信されるという。

これらの処理が行われている間、添付ファイルを開いたユーザー側は、どのような状況なのか。検証環境で確認された動作は次の2つだ。

1つは、「デコイファイル（おとりファイル）」が展開されるパターンである。このパターンでは、ユーザーが開かれたファイルを読んでいる間に情報が窃取される。同氏の感覚では“ドキュメントを読むほんの数分”の間に情報窃取が行われたという。

もう1つは、前述の「AI generator」がインストールされるパターンだ。このインストーラーからは、Hugging Face上にある画像生成AIツールが起動され、実際に使用できるようになっている。

「画像生成AIツールで遊んでいる間に、情報を盗んでいました」（鴫原氏）

身元特定がされないよう、複雑な仕組みを採用

プロンプトのサンプルを検証した鴫原氏によると、LAMEHUGの攻撃フローは、複数の正規サービスを段階的に、かつ国を跨いで悪用する巧妙なものだという。

まずLAMEHUGが起動されると、最初のステップとして「webhook.site」にステータスが通知される。これは本来、開発者がHTTPリクエストを手軽にテストするための正規サービスだが、登録不要で匿名性が高く、使い捨てできるため、攻撃者が「LAMEHUGが無事に起動した」ことを把握するための簡易的な通知先として悪用された可能性がある。

次に、攻撃の中核として米国に拠点を置くとみられるHugging Face上のLLMにアクセスして情報窃取用のコードをその場で生成させる。そして最終的に、検証した検体では窃取したデータを英国にある別のクラウドサーバへと送信していた。

「国を跨ぎ、複数の正規クラウドサービスを間に挟むことで、身元を特定されないような仕掛けにしているのでしょう」（鴫原氏）

生成したコードがうまく動作しない場合は?

では仮に、Qwenが出力したプロンプトに何らかの誤りがあり、攻撃がうまくいかなかったら、どうなるのか。鴫原氏によると、入手できた検体に記述されたプロンプトに「失敗した場合、成功するまで実行せよ」という記載指示はなく、「おそらく1回きりの攻撃ではないか」ということだ。その理由として、生成されたコードの問題点を特定してその場で修正することができない、何度も攻撃をすることで発覚のリスクが高まるといったことが考えられる。

LAMEHUG発見による2つの懸念

鴫原氏は今回のLAMEHUG発見を受け、2つのことを懸念していると話す。1つは、AIを用いることで、高度な専門知識がなくても、誰でもサイバー攻撃ができてしまうという点だ。もう1つは、LAMEHUGのプロンプトを参考に、他のOSへの攻撃を行うプロンプトを作成することができるという点である。

「攻撃への参入障壁が下がり、攻撃サイクルのスピードがさらに速くなる危険性があるでしょう。また、専門知識が不要になることで、攻撃者の参入障壁が低くなり低年齢化が起こる可能性も危惧しています」（鴫原氏）

シグネチャーベースの対策では限界

LAMEHUGへの対策について、鴫原氏は「AIによって生成されるコードは毎回必ず同じになるわけではない」という前提を基に、従来のようなシグネチャーベースの検知は難しいと話す。ウイルス対策ソフトやEDR（Endpoint Detection and Response）は、既知の脅威情報があって、検知ができるからだ。

また、LAMEHUG自体に攻撃命令が入っているわけではないため、検体を取得できていない状況ではこれをスキャンしても、悪性だと検出することは非常に難しい。さらに、その動作も1つ1つを見れば、確実に“黒”というものではない。どの動作も、システム管理者のような立場の人であれば、行うかもしれないものなのだ。つまり、1つの動作だけを見て、白か黒かを判断するのではなく、複数の点を結び付け、一連の流れを見て判断ができるような仕組みが必要になる。

「悪いものを検知するという従来のアプローチが限界であることを実感します。『悪くないものが、悪いことをする』という振る舞いに焦点を当てたアプローチをしないと、LAMEHUGのような攻撃は見つけられなくなるのです」（鴫原氏）

LAMEHUG“だけ”への対策の例

そのうえで、鴫原氏はいくつかの打ち手を提示した。例えば、通信に対するアプローチとしては、業務では使用しないのであればHugging Faceやwebhook.siteといったサイトや集めた情報を転送するサーバへの接続をファイアウォールなどで遮断するという方法が考えられる。エンドポイントに対するアプローチでは、デバイスやOS情報を広範囲に収集するコマンドが短時間に何度も実行されていたり、複数のユーザーディレクトリから大量のファイルコピーが実行されていたりといった通常では起こらない異常な動きを検知するという方法がある。

しかし、これらの打ち手は今回発見されたLAMEHUGには有効だが、通信先や通信方法を少しでも変えられた場合、無効になる。情報収集行為も間隔を空けてゆっくり実行されると異常な動きとして特定が難しくなる。新たな手段が出てくるたびに都度、対応を行えるほど潤沢なリソースがある企業はそれほど多くはないだろう。

平時からできる「3つの対策」

そこで、鴫原氏が平時からできる対策として挙げるのが、「ファイル拡張子に対する例外ポリシー」「外部LLMへのアクセス制御」「ユーザーに対する教育」の3つだ。

ファイル拡張子に対する例外ポリシー

LAMEHUGなどのマルウエアの攻撃の入り口にはメールが利用されることが多い。マルウェアを侵入させるには、何らかの方法でユーザーの手元にマルウェアもしくはマルウェアを呼び込むファイルを送り込み、実行させる必要がある。そして、ファイルをやり取りする方法として最も日常的に使われている手段の1つがメールだからだ。メールに添付されるファイルに使われる拡張子はある程度決まっているため、添付ファイルおよびZIPファイル内に格納されたファイルの拡張子にフィルターをかける方法が有効だという。

「添付されたファイルの安全性をユーザーに判断させるのは賢明ではありません。ユーザーがメールを受け取る前にEXE、PIF、PYなどの悪用される可能性が高いファイルを拡張子でフィルタリングし、そもそも受け取れないようにしておくのが良いでしょう」（鴫原氏）

外部LLMへのアクセス制御

生成AIを業務に使用していない企業や、使用している生成AIを特定できている企業の場合、それ以外の外部LLMへのアクセスを制御するという方法も一定の効果がある。

ユーザーに対する教育

鴫原氏は「ユーザーのリテラシーを一定水準まで底上げする教育をすべき」だと力を込める。例えばと同氏が示したのは以下の8つのメールチェック項目だ。

・本文中で名乗っている人物と差出人のメールアドレスの整合性を確認

・本文の内容が自身に関係のある内容であるか確認

・使用する単語や全体の文脈に違和感がないか確認

・過去にやり取りした相手であれば署名欄に差異がないか確認

・添付ファイルは実行する前に拡張子を確認（危険な拡張子や二重拡張子の確認）

・外部サイトへのリンクを不用意に押さない

・リンクをクリックする前に見た目の誘導先と本当の誘導先の差異を確認

・クラウドストレージだからといって置かれたファイルが安全だと過信しない

• 

  ユーザー向けのメールチェック項目

LAMEHUGだけではなく、メールを介した攻撃への対策として、「このうち何項目に当てはまったら、管理者に連絡や相談をする」といったルールを制定するとともに、ユーザー自身のセキュリティ意識を高め、日ごろからセルフチェックを行えるようにしていくことが大切なのだ。

攻撃を受けた場合の対応策とは

では仮に、LAMEHUGの攻撃を受けた場合、どう対応すべきか。鴫原氏は「ユーザーが気が付いたときにはすでに情報は窃取されていると考えられるため、情報漏えいが起こったときと同様の対応をとるべき」だと話す。具体的には、何の情報が漏れたのか、他社の情報や個人情報は含まれているのかといったことを把握し、どう悪用される可能性があるのかを踏まえつつ、関係者とコミュニケーションをとっていく対応だ。一方で、今回検証したLAMEHUGの検体はシステムを改ざんや他PCへ拡散するような動作は確認できなかったので、LAMEHUGを削除できればPCの初期化やネットワークの切断などは不要だという。

しかし、多くの場合、外部から攻撃を受けた際、すぐにLAMEHUGだと判断することは難しいだろう。そのため、特定できない場合は通常のインシデント発生時と同様に、PCの初期化やネットワークの切断などを実施することが推奨される。

今後、LLMを用いた攻撃はどうなるのか

今後、LAMEHUGのようなLLMを利用したマルウェアが増加する可能性はどのくらいあるのだろうか。現時点では、LLMが必ずしも攻撃者の意図するコードを生成するわけではなく、不確実性が高いことから「すぐに普及はしない」というのが鴫原氏の見立てだ。

「マルウェアに感染させるというプロセスでは、まだAIに全てを任せる段階ではないでしょう。しかし今後、生成されるコードの不確実性を解消するAIが出てくれば、一気に状況が変わる可能性もあります」（鴫原氏）

一方で、「AIが攻撃の手口に組み込まれるケースは今後さらに増えていくだろう」と同氏は予測する。とくにユーザーを“だます”入り口の部分では、メールで知人を装ったり、AIで生成した偽の音声や映像（ディープフェイク）で本人になりすまして接触してきたりといった具合にこれまで以上にAIの技術が悪用される可能性が高い。

「AIの著しい性能向上が、サイバー攻撃のハードルを劇的に下げています。専門知識がなくとも悪意を持って攻撃を試すことができてしまうのはもちろん、それが犯罪であるという認識が薄いまま、興味本位でマルウェアのような機能を持つプログラムを生成してしまう危険性も無視できません。結果として、攻撃者の低年齢化が加速することも十分に考えられます。私たちは技術的なガードレールを設けることと同時に、AIの倫理観やリテラシー教育といったことを、社会全体で議論していく必要があるのです」（鴫原氏）

•