Googleが、AIを使って自らのコードを書き換えるマルウェアの出現を警告した。PROMPTFLUXとPROMPTSTEALと呼ばれるこのマルウェアは、実行中にAIに接続し、検出を回避するために自身を変化させる。従来のウイルス対策ソフトが無力化される可能性があり、企業は防御戦略の見直しを迫られている。
マルウェアがAIで自己進化する時代
Google脅威インテリジェンスグループは、AIを実行中に利用するマルウェアの存在を確認した。これまでAIは攻撃者がマルウェアを作成する際の支援ツールとして使われてきたが、今回のマルウェアは異なる。AIをマルウェア自体に組み込み、実行中に自らを進化させる仕組みを持っている。
PROMPTFLUXは、GoogleのGemini APIに接続し、定期的にコードの書き換えを要求する。マルウェアは「思考ロボット」と呼ばれる機能を持ち、「検出を回避するコードを生成してください」とAIに指示を出す。AIは指示に従って新しいコードを生成し、マルウェアは自身を書き換える。この仕組みにより、マルウェアは検出システムの進化に対応して、常に新しい姿に変化し続ける。
PROMPTSTEALは、ロシアの国家支援型アクターAPT28が運用するマルウェアだ。Hugging Face APIを通じてAIに接続し、データ収集と外部送信のための悪意あるコマンドを動的に生成する。国家レベルのアクターが既にAIマルウェアを実戦投入している事実は、この脅威が理論上のものではなく、現実の危険であることを示している。
ウイルス対策ソフトが効かなくなる理由
従来のマルウェアは、暗号化キーを変えることでファイルの見た目を変えていた。しかし、コアとなるコード構造は維持されるため、ウイルス対策ソフトは「パターン」を検出できた。これは、犯人が変装しても体格や歩き方で識別できるのと似ている。
AIマルウェアは、この前提を覆す。AIを使ってコード全体を完全に書き換えるため、毎回異なる「指紋」を持つ。ウイルス対策ソフトが「既知のパターン」を探しても、マルウェアは常に新しい姿をしているため、検出できない。しかも、コードの書き換えをクラウド上のAIに任せることで、マルウェア本体は軽量化され、検出がさらに困難になる。
この仕組みは「変装の達人」に例えられる。従来のマルウェアが同じ衣装を着替えるだけだったのに対し、AIマルウェアは顔の形から体格まで変えてしまう。ウイルス対策ソフトが「指名手配書」を見ても、犯人を特定できない状況だ。
犯罪市場で技術が拡散する懸念
APT28によるPROMPTSTEALの運用は、AIマルウェアが国家レベルのサイバー作戦で既に使われていることを示している。2025年には「AIツールを目的としたサイバー犯罪市場」が成熟し、悪意あるプロンプトやAI APIキーが安定して供給される状況が生まれつつある。
高度な国家アクターがAIマルウェアを運用している事実と、AI APIへのアクセスが容易になっている状況が重なることで、この技術の急速な拡散が懸念される。2026年以降、AIマルウェアがサービス化され、技術力の低い攻撃者でも利用できるようになる可能性が高い。
QUIETVAULTは、感染したシステム上のAIツールを悪用するマルウェアだ。従来のマルウェアが「決まったファイル」を探すだけだったのに対し、QUIETVAULTはAIを使って「価値のある情報」をインテリジェントに探索する。データ窃取が、固定リストの確認からAI駆動の探索へと進化したことを意味する。
FRUITSHELLは、AIセキュリティシステムを回避するために設計されたマルウェアだ。攻撃者は防御側のAIシステムを研究し、その弱点を突く技術を開発している。サイバーセキュリティの競争が、人間同士の戦いからAI対AIの戦いへと移行している。
企業が取るべき対策
防御の焦点を「コードの見た目」から「コードの動作」へ移す必要がある。ユーザー行動分析と機械学習を活用し、異常なシステム動作やプロセスの実行を検出するシステムを導入する。ファイルの指紋に関係なく、悪意ある振る舞いを特定することが重要だ。
EDR(エンドポイント検出・対応)ソリューションは、実行ファイルの振る舞いを分析するためにAIを組み込む必要がある。PROMPTFLUXが生成するthinking_robot_log.txtのような一時ファイルの作成を監視することは、攻撃の進行を示す重要な指標となる。
組織は、内部システムから外部のAI API(Gemini、Hugging Face、OpenAI)への不審な接続を検出する仕組みを導入する必要がある。既知のAIエンドポイントへの高頻度接続や、予期せぬシステムからの接続は、攻撃者がAIをインフラの一部として利用している兆候だ。
ゼロトラスト原則を徹底し、侵害後の被害拡大を防ぐことも重要だ。厳格なアクセス制御と最小権限の原則を導入し、マルウェアが高価値情報を探索してネットワークを横断することを防ぐ。
AIベンダーの役割
AIの悪用が明確になった今、AIベンダー(Google、Hugging Faceなど)には、不正なAPI利用を監視し検出する責任がある。事後的な対応から、リアルタイムのAPI使用異常検出へと移行することが求められている。これは、AIマルウェアのコード生成を根本から遮断するために不可欠だ。
攻撃者は、AIの安全機能を回避するために「ソーシャルエンジニアリング」をプロンプトで利用している。「デバッグ目的」や「メンテナンス」という口実で、AIに悪意あるコードを生成させる。AIベンダーは、こうした悪用パターンを検出し、ブロックする仕組みを強化する必要がある。
AI対AIの競争時代へ
BKK IT Newsは、AIマルウェアの出現が、サイバーセキュリティをAI対AIの戦場へと押し上げたと考えている。AIの統合により、攻撃開発のスピードが劇的に加速した。かつて数ヶ月を要した高度なマルウェア開発が、AIを使えば短期間で実現できる。
防御側は、この加速に対応しなければならない。大規模なデータを処理し、異常を検出するAIモデルを迅速に展開することが必要だ。AIマルウェアが一般化する前に、防御側はイノベーションのスピードを上げる必要がある。
従来の防御への固執は、組織を容認できないリスクに晒す。防御側は、シグネチャ型ウイルス対策ソフトの優先順位を下げ、行動分析型のEDR/XDRソリューションに投資する必要がある。ネットワーク内のAI APIトラフィックを監視し、ゼロトラスト原則を徹底することが求められる。
参考記事リンク
- GTIG AI Threat Tracker: Advances in Threat Actor Usage of AI Tools | Google Cloud Blog
- PROMPTFLUX: The First AI-Evolving Malware — and What It Really Means for Cybersecurity
- Google発表:LLM活用マルウェア「PromptFlux」が検出回避技術で新脅威 – Bignite – ONEWORD
- Google Uncovers PROMPTFLUX Malware That Uses Gemini AI to Rewrite Its Code Hourly
- Google uncovers malware using LLMs to operate and evade detection – Help Net Security
