Googleが新たなサイバー犯罪者による形態変化型マルウェアを警告
GoogleのGTIG(脅威インテリジェンスグループ)は、AI(人工知能)を駆使した新たなサイバー攻撃の波を報告し、犯罪ネットワークと国家支援を受けたハッカー集団の両方が、自己書き換え・適応型マルウェアを展開していることが明らかになった。
サイバー犯罪者や国家支援を受けたグループは、大規模言語モデルを用いて、攻撃中に自己書き換え・適応するマルウェアを作成。これらのAI搭載マルウェアは、既に技術的なエクスプロイトや高度なフィッシング攻撃を通じて、高額な仮想通貨をターゲットにしているという。これにより、Googleはリンクされたアカウントを閉鎖し、安全対策を強化しているものの、AIを駆使したサイバー脅威は急速に進化していると警告している。
Googleの報告書では、GoogleのGeminiやAlibabaのQwen2.5-CoderなどのLLMと直接相互作用し、実行中に新しいコード、新しいコマンドシーケンス、または難読化技術を要求する5つの異なるマルウェアファミリーについて概説。この手法により、マルウェアは外観や動作を迅速に変更できるため、パターン認識や既知のコードシグネチャーに基づく検出ツールの回避が可能だ。
仮想通貨保有者を狙ったAI駆動型攻撃
同報告書は、これらの攻撃が仮説的なものではないことを強調しており、AIツールはすでに導入され、仮想通貨ユーザーが主な標的となっているという。
北朝鮮のハッカー集団「UNC1069」(※別名:Masan)は、AIツールを使用して脆弱な仮想通貨ウォレットを見つけ出し、より説得力のあるフィッシングサイトを開発。疑いを回避できるよう高度にターゲットを絞った詐欺メッセージを作成している。GTIGによるさらに別のレポートによると、このグループは米国以外のブロックチェーン企業への侵入を拡大し、現在は英国とヨーロッパの企業をターゲットにしているとみられている。
Googleが新たな安全対策で対応
これを受けて、Googleは悪意のあるLLM活動に関連するアカウントを停止し、APIに関する制限を強化し、攻撃者がAI生成ツールを悪用することを困難にするため、追加の監視システムとプロンプトフィルタリングシステムも導入した。
しかし、GTIGは、AIの機能が拡大し、オープンソースモデルが広く、アクセス可能になるにつれて、適応型の自己書き換えマルウェアの脅威は増大し続ける可能性が高いと警告している。
