ESET、「初のAI駆動型ランサムウェア」として「PromptLock」を発見、マルウェアがAIを使って悪意あるスクリプトを生成

　ESETは8月28日、生成AIを利用して悪意あるスクリプトを生成するマルウェア「PromptLock」を発見したと発表した。AIがリアルタイムで悪意あるスクリプトを生成し、感染時には、AIが自律的にファイルを検索・コピー・暗号化する対象を判断するというこれまでにない手法が確認されたといい、同社では、これを「初のAI駆動型ランサムウェア」であり、サイバー攻撃における新たなフェーズの到来を示すものだとしている。

　同社の分析によれば、PromptLockは、ローカル環境で生成AIを動作させるOllama APIを通じてOpenAIのLLM「gpt-oss-20b」を使用し、リアルタイムで悪意のあるLua（組み込み用スクリプト言語）スクリプトを生成する。

　PromptLock自体はGolang（Go言語）で作成されており、標的となる端末に感染すると、端末のローカルファイルをスキャン・分析し、あらかじめ定義されたプロンプトに基づいて、前述のようにLuaスクリプトを生成する。スクリプトは感染端末に配信され、動作して、データの窃取または暗号化を行う。破壊機能もコード内に含まれているが、現時点では無効化されているという。

　Luaスクリプトの生成を指示するプロンプトは静的な内容だが、生成のスクリプトは実行のたびに変わる可能性があることから、検知や動作の阻止が難しくなる可能性がある。ESETでは、生成させるPromptLockそのものは変わらないため、それに対するフラグ付けは可能であるとしている。

　同社は、今回発見されたPromptLockはPoC（概念実証）、つまり実験的なものだと位置づけているが、今後さらに洗練され、検出が困難になる可能性もあることから、現実的かつ深刻な脅威であるとの評価も示している。

　ESETのシニアマルウェアリサーチャーAnton Cherepanov氏は、「適切に構成されたAIモデルさえあれば、複雑かつ自己適応型のマルウェアを作成できる。実際に攻撃に使われた場合、検知が非常に困難になり、サイバーセキュリティ防御側の対応は一層厳しいものとなるだろう」とコメントしている。