2025年7月下旬、サイバーセキュリティ業界に衝撃が走った。一見無害なパンダの画像に隠れた新型マルウェア「Koske」の発見である。このマルウェアの最大の特徴は、開発過程でAI技術が活用されていることだ。従来の脅威とは一線を画す巧妙な手口により、Linux環境への新たな脅威として急速に注目を集めている。特にLinuxシステムに大きく依存するタイの企業にとって、この脅威への理解と対策は急務となっている。
Linuxマルウェアの長期的進化
かつてLinuxは本質的に安全とされ、マルウェアの標的になることは稀だった。1996年のStaogのような初期のLinuxマルウェアは影響力が限定的で、企業が深刻に懸念する必要はなかった。しかし現在の状況は全く異なる。
パブリッククラウドのワークロードの90%以上がLinux上で稼働している。ウェブサイトの81%もLinuxベースだ。この圧倒的な市場支配により、Linuxサーバーはデジタル経済のバックボーンとなった。同時に、サイバー犯罪者にとって最も収益性の高い標的にもなっている。
現代のLinuxマルウェアは、単純なブルートフォース攻撃から、複雑でモジュール化された脅威へと進化した。ファイルレス実行、コンテナ環境への攻撃など、その手口は年々高度化している。Koskeはこの進化の系譜上に現れた最新の脅威である。
AI技術の悪用という新潮流
サイバー攻撃におけるAI利用は、理論段階から実用段階へと移行している。大規模言語モデル(LLM)は、技術力の低い攻撃者でも機能的な悪意のあるコードを生成できるよう支援している。一方で熟練した攻撃者にとっては、能力を増幅させるアクセラレーターとして機能する。
BlackMambaやEyeSpyといった概念実証が可能性を示した後、Koskeは現実世界で活動する初の主要なAI支援マルウェアの一つとなった。これは単なる技術的な進歩ではなく、サイバー脅威の根本的な変化を意味している。
「Koske」の技術的特徴と攻撃手法
Aqua Security社の脅威分析チームが2025年7月28日に発表した詳細な分析によると、Koskeは極めて巧妙な攻撃手法を用いている。名称は、マルウェアが自身の永続化のために作成するsystemdサービス名「shellkoske.service」に由来する。
攻撃の最初の段階では、設定不備のあるJupyterLabインスタンスを悪用して初期侵入を果たす。JupyterLabはデータサイエンスや開発環境で広く利用されているため、多くの企業が潜在的な標的となりうる。
次に攻撃者は短縮URLサービスを利用して、一見無害な2つのパンダのJPEG画像をダウンロードさせる。ここが最も革新的な部分だ。これらの画像は「ポリグロットファイル」と呼ばれる技術を使用している。
ポリグロットファイルは、一つのファイルが2つ以上の異なるファイル形式として同時に有効である状態を指す。画像ビューアで開けば正常なJPEG画像として表示されるが、コマンドインタプリタで実行すれば有効なシェルスクリプトとして動作する。従来のステガノグラフィとは異なり、ファイル自体が複数の形式を併せ持つ点が特徴だ。
この技術により、セキュリティスキャナは無害なJPEGと判断してスキャンを終了してしまう。ファイル末尾の悪意のあるスクリプトを見逃してしまうのだ。
高度な永続化と隠蔽メカニズム
Koskeは一度侵入したシステムから駆除されることを避けるため、複数の永続化・隠蔽技術を実装している。
最も重要なのは「ユーザーランド・ルートキット」の機能だ。LinuxのLD_PRELOAD環境変数を悪用し、自身の悪意のある共有オブジェクトファイル「hideproc.so」を他のライブラリより先に読み込ませる。これによりreaddir()のような標準的なシステムコールを乗っ取る。
管理者がpsやlsコマンドでプロセスやファイル一覧を表示しようとすると、乗っ取られた関数が介入し、「koske」や「hideproc」といった文字列を含むエントリを結果から除外する。マルウェアはシステム管理者から完全に見えなくなる。
さらにKoskeは、systemdサービス、cronジョブ、起動スクリプトの改ざんなど複数の永続化メカニズムを確立する。iptablesのルールをフラッシュし、/etc/resolv.confを公共のDNSサーバーを使用するよう書き換えることで、自身の通信を積極的に確保する。
AI開発の痕跡と攻撃者の匿名化
Koskeのコードには、開発過程で大規模言語モデルが関与したことを示す複数の痕跡が見られる。冗長で構造化されたコメント、クリーンなモジュール性、ベストプラクティスに則った論理フローは、広範な公開コードベースでトレーニングされたLLMが生成するコードの典型的な特徴だ。
興味深いことに、コード内にはセルビア語のフレーズが含まれているが、これは攻撃者の属性特定を誤誘導するための意図的な偽装工作と分析されている。AIは単なるコーディング支援ではなく、攻撃者の特定を困難にする高度な作戦保全ツールとして活用されている。
タイ企業への深刻な影響
タイの社会・経済基盤は、Koskeのような脅威に対して特に脆弱な状況にある。国家デジタル決済システム「PromptPay」の年間230億件以上の取引処理や、政府貯蓄銀行の基幹システムがLinuxベースのプラットフォームを活用している。
さらに深刻なのは、2023年に発見されたLinuxマルウェア「Krasue」がタイの通信セクターを標的としていた事実だ。これは攻撃者がタイ環境に特化した高度なLinuxマルウェアを開発・展開する意図と能力をすでに持っていることを証明している。Koskeは世界的な脅威ではなく、タイにとって直接的かつ差し迫ったリスクと捉えるべきだ。
サイバーセキュリティ人材不足という増幅要因
タイの脆弱性は、サイバーセキュリティ専門家の深刻な不足によって致命的なレベルまで増幅されている。タイ組織の68%がスキル不足に起因するセキュリティ侵害を経験し、72%が運用リスクの増大を報告している。
サイバー攻撃からの回復時間は平均4.3ヶ月で、世界平均の2.7ヶ月を大幅に上回る。政府職員のうちIT分野従事者はわずか0.5%で、サイバーセキュリティ専門家はさらに少ない。この人材不足は、高度な脅威に対する防御能力を根本的に制約している。
今後の展望と脅威の進化
BKK IT Newsとして予想する今後の展開は、AI支援マルウェアの急速な普及だ。Koskeは一過性の現象ではなく、未来のサイバー脅威の到来を告げる前触れである。マルウェアはAI活用により、ますます自動化され、適応性を持ち、回避能力を高めていく。
攻撃者はコード生成の自動化だけでなく、攻撃対象の環境に応じた最適化、セキュリティツールの回避パターンの学習、さらには攻撃者自身の匿名化まで、AIを包括的に活用するようになる。従来のシグネチャベースの防御は、このような適応型の脅威に対してはほぼ無力となる。
企業が取るべき対応策
Koskeのような脅威から防御するには、従来のアンチウイルスソフトを超えた多層的戦略が不可欠だ。
まずシステムの堅牢化から始める。JupyterLabのようなサービスを適切に設定し、外部公開を最小限に抑える。最小権限の原則を徹底し、攻撃対象領域を削減する。
監視と検知では、シェル設定ファイル、cronジョブ、systemdサービスの不正な変更を継続的に監視する。/etc/resolv.confの予期せぬ書き換えや、重要なシステムファイルに対するchattコマンドの使用を警告対象とする。
特に重要なのは、AI駆動型防御の採用だ。機械学習を用いた振る舞い検知や異常分析を行うセキュリティソリューションは、AI支援型マルウェアが示す未知で回避的なパターンを特定する上で、従来のツールより優れた能力を発揮する。
人材育成も急務だ。政府がISC2と提携して2026年までに1万人の専門家育成を目指す取り組みを、Linux、クラウド、コンテナセキュリティに重点を置いて加速・拡大する必要がある。
Koskeの出現は、戦略的な戦いの主戦場が既知の悪意あるシグネチャの検出から、未知の異常な振る舞いの特定へ移行していることを明確に示している。高度な技術、熟練した人材、協調的なプロセスへの投資なくして、この新たな脅威ランドスケープを乗り越えることはできない。
参考記事リンク
- AI-Generated Malware in Panda Image Hides Persistent Linux Threat – Aqua Security
- New Koske Linux malware hides in cute panda images – Bleeping Computer
- Sophisticated Koske Linux Malware Developed With AI Aid – SecurityWeek
- Koske, a new AI-Generated Linux malware appears in the threat landscape – Security Affairs
- Group-IB uncovers new Linux RAT targeting Thai company networks – IT Brief Asia
