OpenAI を悪用するランサムウェア PromptLock:標的のシステム上で攻撃用の Lua スクリプトを作成

First AI Ransomware ‘PromptLock’ Uses OpenAI gpt-oss-20b Model for Encryption

2025/08/26 CyberSecurityNews — 新たなランサムウェアが確認された。どのようなものかと言うと、ローカル AI モデルを介して悪意のコンポーネントを生成するものであり、史上初のランサムウェアの種類であると考えられている。ESET Research Team により “PromptLock” と名付けられたマルウェアは、Ollama API を介して OpenAI の gpt-oss:20b モデルを利用し、攻撃チェーン用のカスタム・クロス・プラットフォーム Lua スクリプトを作成する。

このマルウェアは PoC の段階にあり、現実の攻撃にはまだ投入されていない。しかし、その斬新なアーキテクチャが示すのは、マルウェア設計における深刻かつ憂慮すべき進化であり、ローカル LLM を統合する脅威アクターたちが、より動的で回避性の高い脅威を作成し始めていることを示している。

On-the-Fly コード生成

PromptLock は Go 言語で記述され、VirusTotal リポジトリ上で Windows/Linux 版が確認されている。

PromptLock のコア機能は、従来のランサムウェアとは異なるものであり、事前にコンパイルされた悪意のロジックを取り込むことはない。PromptLock は、ハードコードされたプロンプトを、ローカルで実行されている gpt-oss:20b モデルに提供する。

マルウェアのネットワーク・トラフィック分析により、ローカル Ollama API エンドポイント (172.42.0[.]253:8443) への POST リクエストが確認された。これらのリクエストに取り込まれるプロンプトは、AI モデルに対して “Lua コードジェネレーター” として動作するよう指示するものだ。

An example of Lua code generation request for malware PromptLock
An example of Lua code generation request for malware PromptLock

これらのプロンプトがモデルに指示するのは、以下のような悪意のアクティビティのためのスクリプトの作成である:

  • システム列挙:OS の種類/ユーザー名/ホスト名/カレント・ワーク・ディレクトリなどのシステム・パラメータを収集し、Lua コードを生成する。このプロンプトが要求するのは、Windows/Linux/macOS をカバーする、クロス・プラットフォーム互換性である。
  • ファイル・システム検査:ローカル・ファイル・システムをスキャンし、対象ファイルを識別して、その内容を分析することで、個人情報 (PII) などの機密情報を探し出す指示を与える。
  • データ窃取と暗号化: 対象ファイルが識別された後に、AI 生成スクリプトが実行され、データ窃取と暗号化が行われる。

Lua の利用は、戦略的な選択である。軽量でありエンベッドが可能であるため、生成スクリプトは複数 OS 上でシームレスに実行し、潜在的な標的ベースを最大化できる。

PromptLock が、暗号化ペイロードとして使用するのは、柔軟な攻撃モデルに適した軽量アルゴリズム SPECK 128-bit ブロック暗号である。

ESET の研究者たちが強調するのは、現時点における PromptLock が開発段階にあるとする、複数の指標である。たとえば、データ破壊を目的とした機能は定義されているが実装されていない。

さらに特筆すべきは、プロンプトの1つで確認された、異例のアーティファクトである。それは、匿名の創始者 Satoshi Nakamoto のものとされる、 Bitcoin アドレスである。これは仮置きかミスディレクションと考えられるが、この初期段階のマルウェアに特異な特徴を与えている。

ESET は、PoC 段階であることを前提に、調査の結果を公表した。同社は、「このような進展について、サイバー・セキュリティ・コミュニティに情報提供することが、我々の責任である」と述べ、この新たな脅威ベクターに対する積極的な防御の必要性を強調している。

ローカル LLM が強力化し、アクセスが容易になるにつれて、セキュリティ・チームにとって必要とされることは、マルウェアは静的なものではなく、被害者マシン上で動的に生成されるという、未来に備えることになるだろう。

dicators of Compromise (IoCs)

Malware Family: Filecoder.PromptLock.A

SHA1 Hashes:

  • 24BF7B72F54AA5B93C6681B4F69E579A47D7C102
  • AD223FE2BB4563446AEE5227357BBFDC8ADA3797
  • BB8FB75285BCD151132A3287F2786D4D91DA58B8
  • F3F4C40C344695388E10CBF29DDB18EF3B61F7EF
  • 639DBC9B365096D6347142FCAE64725BD9F73270
  • 161CDCDB46FB8A348AEC609A86FF5823752065D2

PromptLock という、従来型ランサムウェアと比べて大きく異なる、新たな脅威が出現しているようです。従来型の、固定された悪意のコードの配布に対して、この新種のマルウェアは、ローカルの AI モデルを利用して、その場で Lua スクリプトを生成する仕組みを持っています。それにより、従来の静的解析では捉えにくい、動的かつ多様な振る舞いが生じる可能性があると、この記事は指摘しています。よろしければ、カテゴリ AI/ML も、ご参照ください。