ランサムウェア攻撃増加の一因？ AIを使った「バイブハッキング」とは何か、その手法を紹介：小林啓倫のエマージング・テクノロジー論考（2/3 ページ）

日本企業に対する、大規模なランサムウェア攻撃が相次いでいる。こうした攻撃増加の一因とみられる「バイブハッキング」とは何か、その手法を紹介する。

[小林啓倫，ITmedia]

　データ恐喝とは、ターゲットとする組織から秘密裏に機密データを窃取して「このデータを公開されたくなければ金を払え」と脅す行為を指す。ランサムウェア攻撃でも、被害者のシステムを暗号化して利用不能に追い込む際、同時にデータも盗み出して恐喝する「二重脅迫」（double extortion）が行われることがあるが、データ恐喝は暗号化はせず、手っ取り早く「公開」のみで脅しをかけるわけだ。

　この手法は「ノーウェアランサム」とも呼ばれ、二重脅迫と共に、発生件数が増加傾向にあるという。

　サイバーセキュリティ企業の英Sophosが6月に発表したレポートによれば、25年に発生したランサムウェア攻撃のうち、データの暗号化を伴うものは全体の50％で、24年の70％から大幅に減少しているという。それだけ「機密データを公にされてしまうこと」がもたらす経済的・法的リスクが大きく、被害者へのプレッシャーも大きいといえるだろう。

　話を戻すと、GTG-2002はこのノーウェアランサムに該当する事例だが、一般的なランサムウェア攻撃と同じステップで行われ、その各所でAIの利用を確認したという。以下がその利用例だ。（いずれも前述のAnthropicのレポート「Threat Intelligence Report」から抜粋）。

フェーズ1：偵察と標的発見

• Claude Codeが数千のVPNエンドポイントを自動スキャン
• 脆弱なシステムを高い成功率で特定

フェーズ2：初期アクセスと認証情報の悪用

• 侵入中にClaude Codeがリアルタイムで支援
• ドメインコントローラーとSQLサーバを特定
• 複数の認証情報セットを抽出

フェーズ3：マルウェア開発と検出回避

• Windows Defenderを回避するためChiselトンネリングツールを難読化
• 検出回避のため完全に新しいTCPプロキシコードを開発
• 正規のMicrosoftツールに偽装

フェーズ4：データ抜き取りと分析

• 社会保障番号、銀行口座情報、患者情報、ITAR管理文書などを抽出
• 収益化に向け、数千件の個人記録を整理

フェーズ5：恐喝分析と身代金要求書作成

• 抜き取った財務データを分析し、適切な身代金額を決定
• 被害者ごとにカスタマイズされ、心理的にも標的に合わせた身代金要求書（段階的なペナルティー構造を含む）を生成

　これを見ると、犯罪者がマルウェア開発や脅迫文書作成（翻訳を含む）のような単発のタスクでAIを利用するというより、AIが攻撃プロセス全体に深く関わっていることが分かるだろう。

　Anthropicは「1人の操作者が、AI支援により、犯罪組織チーム全体と同等の影響を達成できるようになった」と結論付けている。つまり、1人の犯罪者＋AI＝従来の犯罪組織チーム全体に相当する能力を得るようになったわけだ。