マルウェアの開発能力を考える:AI が人間を凌駕する状況を “Koske” が証明

AI-Generated Linux Miner ‘Koske’ Beats Human Malware

2025/07/25 DarkReading — 新たに発見されたクリプトマイナーが示すのは、人工知能 (AI) を駆使して開発されるマルウェアは完全に新しいものであり、人間が作成するマルウェアを超えるコードを生成しているという事実である。Aqua Nautilus の研究者たちは、ハニーポットから新たな Linux マルウェアを発見し、それを Koske と命名した。このマルウェアは、本質的にクリプトマイナーであり、感染させたコンピュータの能力を特定し、Monero/Ravencoin などの 18種類の暗号通貨を獲得するために最適化された、マイナーを実行するように設計されている。

Aqua Nautilus の Director of Threat Intelligence である Assaf Morag によると、Koske を AI 検出ツールで解析して判明したのは、実質的に 100% のコードが AI により生成されたものだという点だ。コードの各部分の挙動を説明する、AI 風のコメントが随所に埋め込まれ、コードの構造全体にも人工的な特徴が顕著に表れているという。したがって、それらのコードを概観するだけで、この結論は明白であると、彼は指摘している。

2025年において、AI によるマルウェアは、もはや特異な存在ではないが、Koske の特徴は、その高度化にある。ある意味で、人間が作成する最も高度な部類に入るマルウェアを除けば、その他のすべてを凌駕しているようだ。

Assaf Morag は、「防御側として、驚くべきことが起こっている。かつてはスクリプトキディによる不完全なコードが大量に観測されたが、現在では。より高度なコードが登場しており、今後の攻撃の成功率はさらに高まると思われる」と述べている。

AI を悪用する初期感染の手口

Koske は、インターネットに公開されているサーバのミスコンフィグを通じて、被害者のネットワークへの侵入を試みる。Aqua Nautilus が観測したのは、JupyterLab インスタンスを悪用する攻撃である。Koske は、正体を隠蔽するために短縮 URL を持つ Web サイトから展開される。

さらに注目すべきは、AI により生成されたパンダの画像を用いて、このマルウェアがシステムへ侵入する点である。ただし、この手口はステガノグラフィとは異なるものであり、有効な JPEG 画像の末尾に悪意の実行ファイルが、ポリグロット・ファイルとして付加されるものだ。この画像群の目的は、ソーシャル・エンジニアリングのための機能というよりも、セキュリティ・ソフトウェアの回避にある。一般的なセキュリティ・ソフトウェアは、JPEG 画像内のマルウェアの存在について、通常の実行ファイルのようにはスキャンしないと考えられる。

Source: Aqua Nautilus

Koske マルウェアが動き出す前から、Morag は AI の影響を感じ取っていた。その理由は、配信メカニズムが非常に緻密に設計されており、人間の攻撃者に多見される奇抜さやミスが観測されなかったところにある。彼は、「攻撃全体の設計において。AI が関与している可能性がある。それは恐ろしいことである」と語っている。

Koske の仕組み

Koske は、複数のトリックを活用して、標的システムに対する永続性と隠蔽性を確保する。さらに、ルートキットのインストール/cron ジョブのスケジューリング/Linux のスタート・アップファイルの改竄などを通じて、システム再起動される時にも、Koske が生存するように設計されている。

とりわけ注目すべき点は、Koske が Command and Control (C2) インフラへの接続を、執拗に試みる手法である。Koske は複数のツールを用いて、アップデートやコマンドの確認を行うが、このプロセスが何らかの理由により阻止された場合であっても、人間の介入は不要である。その代わりに、プロキシ/DNS の設定をリセット/変更し、ファイアウォール・ルールを削除するなどの、一連のトラブル・シューティング手順を実行するという。これらの手順が失敗した場合においても、Web 上のプロキシ候補のリストを自動的に検索する Koske は、その中のいずれかが、本拠地への接続を再開するまで、ブルートフォース・アタックを継続する。

Morag は、「このようなツールは、これまでほとんど観測されていない。理論的には、そのための機能を人間が構築することも可能だが、過去においては、きわめて高度なスキルを有するプログラマーに限られていた。多くのリソースに関する知識が必要であり、特定の場所からダウンロードできない場合にプロキシを用いる手法を、自ら発見する必要がある。しかし、いまの AI により、この種のコード作成に対する、技術的な障壁は著しく低下している」と指摘している。

さらに Morag は、「「ハニーポットの開発においては、ミスコンフィグや設計上の脆弱性を有するアプリケーションの作成が必要であり、これまでは、困難を伴う作業だった。AI が登場する以前にも、この種のアプリケーションの作成は可能だったが、2週間ほどを要していた。しかし、現在では、1~2 時間で実現可能である。ハニーポットを使ってみた経験からして、攻撃者がコードを完成させるのに要したのは、2〜3時間ほどだろうと推測している」と付け加えた。

AIにより生成された、マルウェア Koske が解説されています。AIが生成するコードは、人間の手によるものよりも整っていて、高度な機能を備えているようです。JPEG 画像の末尾に実行ファイルを埋め込むという技法は、検知をすり抜けるために用いられる手法ですが、AI のパワーにより洗練度が高まっていると、この記事は指摘しています。よろしければ、Malware + AI で検索も、ご参照ください。