AI 駆動の環境適応型マルウェア:オンデマンドで悪意のコードやコマンドを生成 – Google 調査

Google Warns of AI‑Driven Adaptive Malware Rewriting Its Own Code

2026/03/11 gbhackers — 2025年の脅威アクターたちは、人工知能の試験的利用から実運用への本格統合へと移行し、サイバー・セキュリティの状況を大きく変化させている。Google Threat Intelligence Group (GTIG) と Mandiant の新たな分析によると、いまの攻撃者たちは、動的に挙動を変更する適応型マルウェアや、自律型 AI エージェントを展開している。それにより、サイバー脅威の速度/規模/複雑性が著しく増大している。

初期の GenAI 悪用は、主に生産性の向上に目的があった。脅威アクターたちは LLM を用いて、フィッシングメール作成/翻訳/基本的なコーディングなどを支援してきた。しかし、2025年末の時点で、これら限定的な用途を超えた攻撃者たちは、AI をマルウェアおよび攻撃インフラへと直接組み込む段階に進化した。

2025年の初頭に GTIG は、中国/ロシア/イラン/北朝鮮に関連する国家支援型脅威アクターたちが、現実のオペレーションを支援する目的で、GenAI を悪用していることを観測した。これらの脅威アクターは、Google Gemini などの LLM を活用し、コード・トラブルシューティング/偵察活動/マルウェアへ組み込む非悪性のコード生成などを行っていた。

この時点の AI を悪用しても、安全制御回避や直接的な悪性コード生成の多くが失敗していた。つまり、この段階の AI は、主に生産性向上ツールとして機能し、未熟練の攻撃者がフィッシング開発や脆弱性調査を高速化するための手段となっていた。

真の進化は、2025年の半ばに始まった。脅威アクターたちが、AI サービスを攻撃チェーンへ直接統合し始めたのである。この統合により AI を悪用するマルウェアは、人間による継続的な介入を必要とすることなく、コマンド生成/コード修正/標的環境への適応を達成した。

適応型マルウェアの出現

GTIG が観測した最も重要なトレンドの一つが、PROMPTFLUX/PROMPTSTEAL といった適応型マルウェア・ファミリの出現である。

これらのマルウェアは、実行時に LLM API を悪用し、オンデマンドで悪性コードやコマンドを生成する。固定ロジックを持つ従来型マルウェアとは異なり、適応型マルウェアはリアルタイムで挙動を変更できるため、実質的にポリモーフィック化し、シグネチャベース防御を回避しやすい。

2025年6月に発見された PROMPTFLUX は Gemini API を使用し、”just-in-time”の修正手法で自身のソースコードを書き換えていた。これにより継続的な進化を実現し、検知回避の能力が強化された。

同様に、ロシア関連脅威グループ APT28 が利用したとされる、PROMPTSTEAL は LLM に問い合わせを行い、侵害したシステムから機密文書を窃取するための Windows コマンドを生成していた。このモデルでは、AI システムが外部の C2 (Command and Control) 層として機能し、環境に応じた指示をマルウェアに提供している。

そして 2025年後半になると、AI がサイバー攻撃の運用コンポーネントとなったことが確認された。FRUITSHELL (PowerShell ベース reverse shell) や QUIETVAULT (資格情報窃取ツール) は、機密情報探索およびデータ窃取自動化に AI を悪用するものだ。

さらに Google は、攻撃者が未知の攻撃面探索にも AI を悪用していることを観測した。中国関連と疑われるアクターたちは、Kubernetes/VMware vSphere/macOS における権限構造の調査に AI を悪用した。

北朝鮮関連アクターは、暗号通貨関連の偵察に AI を悪用し、ウォレット・アプリケーションを標的とした、国家に支援される資金窃取作戦をサポートしていた。

さらに、フィッシング生成/マルウェア開発/脆弱性探索を支援する AI ツールを提供する地下マーケットプレイスも出現し、参入障壁を低下させている。

Shadow AI リスク

攻撃者が AI を大規模導入する一方で、ユーザー企業も AI 展開を急速に拡大しているが、セキュリティ部門の管理能力を超えるリスクが生じている。

Mandiant の評価では、AI 資産に対する基本的なガバナンスおよび可視性が、多くの組織において欠落していることが判明した。

特に懸念されるのが、Shadow AI の存在である。つまり、承認プロセスを迂回する従業員が、セキュリティ監督を受けることなく、AI ツールを導入する事例が増加している。

研究者たちは、AI 展開において以下の問題を確認している:

  • AI インフラ・インベントリの欠如および不十分な資産管理。
  • AI サプライチェーンの可視性不足と Software Bill of Materials (SBOM) 欠如。
  • AI フレームワークやコンテナ環境を監視できない脆弱性管理ツール。
  • AI システムへ機密データを露出させる、脆弱なアイデンティティ管理とアクセス制御。

これらの欠陥は、モデル窃取や学習データ汚染といった、AI 固有の理論的な攻撃手法と比べて、現実的リスクをもたらす場合が多い。

ただし、AI は防御側にとっても強力な武器となっている:

  • セキュリティ・オペレーションセンターは、調査の高速化/インシデント分析/脅威ハンティングの自動化に AI を活用し始めている。
  • AI は数カ月分のインシデント・チケットを分析し、反復的な弱点を特定し、脅威ハンティング・クエリを自動生成し、複雑な検知ロジックを検証できる。
  • インシデント対応では、複数テレメトリから詳細タイムラインを構築し、調査時間を大幅に短縮できる。

Google が予測するのは、将来における “agentic security operations centers” の出現である。具体的に言うと、相互に接続された AI エージェントが、アラート・トリアージ/インシデント調査/複雑なタスクの自律的実行を支援するモデルである。

適応型マルウェアおよび AI 駆動攻撃が進化を続ける中、専門家たちが求めているのは、静的防御からの脱却である。そこで必要となるのは、行動ベース検知/継続的レッドチーミング/強固なガバナンス・フレームワークへの転換である。

AI 対応脅威への防御能力は、先端テクノロジーに依存するものとなるが、最終的には、可視性/ガバナンス/AI システム全体に対する継続的な検証を必要とする。

Google Threat Intelligence Group (GTIG) と Mandiant の最新分析により、2025年を境にして攻撃者たちは、AI を単なる補助ツールから攻撃基盤そのものへと昇華させた実態が明らかになりました。今回の深刻な危機の大きな原因は、AI の API を攻撃チェーンに直接組み込むことで、マルウェアが実行中に自律性と適応性を獲得した点にあります。

従来のマルウェアは、プログラムされた固定の動きしかしませんでしたが、2025年半ばに出現した PROMPTFLUX や PROMPTSTEAL は、実行時に LLM などの外部 AI へ問い合わせを行い、その場で攻撃コードを生成/修正します。さらに PROMPTFLUX は、自身のソースコードをリアルタイムで書き換えるため、従来のシグネチャベース検知を容易に回避し、攻撃対象の OS やセキュリティ設定に応じた最適な侵入コマンドが、その場で AI により指示されます。これにより、人間による事前の緻密な設計を必要とせずに、高度でポリモーフィックな攻撃を可能にしています。よろしければ、2026/03/04 の「AI による侵害の自動化:労力と成果のバランスを攻撃側と防御側で比較」も、ご参照ください。