「今後流行は確実」 生成AIモデルを使う新型ランサムウェアを解析：セキュリティニュースアラート

ESETはAIを利用した新種ランサムウェア「PromptLock」を発見したと発表した。「gpt-oss-20b」モデルを使って「Lua」スクリプトを動的生成することが確認されているという。一体どのように悪用しているのだろうか。

[後藤大地，有限会社オングス]

　ESETは2025年8月26日（現地時間）、生成AIを悪用した新種のランサムウェア「PromptLock」を発見したと発表した。

　PromptLockは情報窃取や暗号化機能を備えている。設計上、データ破壊機能が含まれている可能性があるが、現時点では未実装とされている。ESETの調査によると、このマルウェアは実際の攻撃で使われた痕跡はなく、PoC（概念実証）段階または開発途中のサンプルの可能性が高いとみられているが、一体どこで生成AIを使っているのか。

AI駆動型マルウェア時代の到来、PromptLockの脅威

　PromptLockはOpenAIの「gpt-oss-20b」モデルをOllama API経由でローカルに利用し、動的に悪意ある「Lua」スクリプトを生成して実行する仕組みを持つ。具体的にハードコードされているプロンプトでローカルファイルシステムの列挙や標的ファイルの確認、データの窃取、暗号化といった処理を実行する。暗号化にはSPECK 128bit暗号アルゴリズムが利用されていると推定されている。

　PromptLockはGo言語で記述されており、「Windows」版と「Linux」版の両方が「VirusTotal」にアップロードされていることが確認されている。Go言語はクロスプラットフォームでの利用が容易なため、マルウェア開発者の間で採用が増えている。

　今回の発見は、AIが不正利用されることでランサムウェアの高度化や拡散の加速につながる可能性を示している。近年、AIはフィッシングメールの自動生成や、ディープフェイク画像や音声、映像の作成にも利用されており、攻撃者にとって参入障壁を下げる要因となっている。これにより、専門知識に乏しい攻撃者であっても高度な攻撃を実行できる環境が整いつつある。

　ESETの研究者はPromptLockが埋め込まれたプロンプトを解析することでその挙動を明らかにしている。生成されるLuaスクリプトは実行ごとに異なり、非決定的な挙動を示す可能性がある。この特性は従来型のマルウェアに比べ検知を困難にする要因となり得る。

　現時点の実装は深刻な脅威とは言えないものの、今後AIを組み込んだランサムウェアが進化すれば、これまで想定されなかった速度と規模での攻撃が発生する可能性がある。環境に応じて動的に戦術を変更するAI駆動型のマルウェアは、従来のセキュリティ対策の有効性を揺るがす存在となりかねない。

　ESETは、生成されるLuaスクリプトが実行ごとに変化しても、それを生成する実行ファイル自体は一貫しているため、適切なセキュリティ製品によって検出・阻止できると説明している。しかし将来的には、検知回避のためにより巧妙な手法が組み込まれる可能性もある。

　研究者は今後の展望について、AIを利用した新たなランサムウェアファミリーが登場するのはほぼ確実との見解を示している。攻撃の対象は大規模組織にとどまらず、個人や小規模事業者、重要インフラにまで広がる恐れがある。一般利用者にとっても、データ窃取や金銭的被害、サービス停止といったリスクが増大するため、バックアップの実施やセキュリティ意識の向上が求められている。