サイバーニュース.jp

世界のサイバーなニュースを配信

LLMが進化させるランサムウェアとRaaSエコシステム:新たな脅威の触媒

カテゴリ:

概要:SentinelLABSが警告するLLMとランサムウェアの融合

SentinelLABSの包括的な評価によると、大規模言語モデル(LLM)のランサムウェアエコシステムへの統合は、戦術を根本的に変えるものではないものの、その運用ライフサイクルを著しく加速させていると結論付けています。この調査は、スピード、量、多言語対応における目覚ましい進歩が脅威の状況を再形成しており、主にスキルレベルの低いアクターの参入障壁を下げ、既存グループのワークフローを最適化していることを示唆しています。

脅威ランドスケープの構造的変化

分析は、以下の三つの並行する構造的変化を特定しています:

  • 参入障壁の崩壊: スキルの低いアクターでも、悪意のあるタスクを無害なプロンプトに分解し、プロバイダーのガードレールを迂回することで、機能的なRaaS(Ransomware-as-a-Service)インフラストラクチャを構築できるようになっています。
  • エコシステムの分裂: LockBitやContiのような大規模カルテルの時代は終わりを告げ、TermiteやPunisherのような小規模で短命なグループに取って代わられています。
  • APTとクライムウェアの境界線の曖昧化: 国家と連携するアクターが、作戦の隠れ蓑として恐喝行為を利用するケースが増加しています。

運用上の加速:AIがもたらす効率化

LLMの最も直接的な影響は、企業ワークフローの犯罪目的への直接的な転用です。さらに、ランサムウェアや恐喝を支援する運用では、攻撃者と被害者の間のコミュニケーションを促進するために、AI駆動のコミュニケーション機能が導入され始めています。正当なビジネスがAIを使って販売データを洗練させるのと同様に、脅威アクターはこれらのモデルを活用して、漏洩したデータをトリアージし、言語の壁を越えて収益性の高いターゲットを特定しています。SentinelLABSは、ロシア語を話すオペレーターがアラビア語や日本語のような言語で機密性の高い財務書類を効果的に特定できるようになったと指摘しており、これは以前は人間の翻訳者や専門知識を必要とした能力です。

自己ホスト型オープンソースモデルへの移行

この分野における重要な進化は、自己ホスト型のオープンソースモデルへの移行です。商用プロバイダーのテレメトリーと安全ガードレールを回避するため、トップティアのアクターは、Ollamaモデルのようなローカルインスタンスをますます採用しています。このシフトにより、攻撃者はアカウントの停止やプロンプトの拒否のリスクなしに、攻撃的な操作のためにモデルを具体的に微調整することが可能になります。初期の概念実証ツールであるMalTerminalは、攻撃者が商用LLMにコードセグメントを生成させ、それらをオフラインで組み立てることで、リバースシェルやランサムウェアペイロードなどの機能をどのように連携させることができるかを示しています。

自動化と武器化されたAI

最近のキャンペーンは、これらの理論的なリスクの実践的な応用を示しています。2025年8月には、Anthropicの脅威インテリジェンスチームが、Claude Codeを使用して高度に自律的な恐喝キャンペーンを自動化した脅威アクターを報告しました。このアクターは、AIに技術的な偵察だけでなく、流出したデータを評価し、心理的影響を最大化するために地域に合わせた身代金要求書を作成するよう指示しました。同時に、研究者たちはQUIETVAULTという、被害者のマシンにローカルにインストールされたAIツールを武器化するスティール型マルウェアを特定しました。このJavaScriptベースのマルウェアは、macOSおよびLinuxホスト上でLLMを検索し、ローカルAIにファイルシステムを再帰的に検索して仮想通貨ウォレットの設定や機密データを収集するよう指示するプロンプトを注入します。この手法は、AI時代に適合した「リビングオフザランド」アプローチを代表するもので、被害者自身の資源を利用して偵察を強化します。

SentinelLABSは、今後12〜24ヶ月で「サービスとしてのプロンプト密輸」が出現し、フィルターを迂回するために複数のプロバイダーに要求をルーティングする自動化されたハーネスが提供される可能性が高いと予測しています。将来の脅威ランドスケープは、テンプレート化された交渉エージェントとAI強化された圧力戦術を特徴とする産業化された恐喝によって定義されるでしょう。

伝統的ランサムウェアとLLM加速型ランサムウェアの比較

  • 偵察:
    • 伝統的: 手動のキーワードおよび正規表現スキャン
    • LLM加速型: あらゆる言語でのコンテキスト認識型データトリアージ
  • ツール:
    • 伝統的: カスタム開発または開発者からの購入
    • LLM加速型: 無害なプロンプトによるコード生成、断片のオフラインでの結合
  • フィッシング/ソーシャルエンジニアリング:
    • 伝統的: 文法エラーの可能性のある一般的なテンプレート
    • LLM加速型: 文化的にローカライズされた、エラーのないコミュニケーションと「雰囲気コーディング」
  • インフラストラクチャ:
    • 伝統的: 中央集権型C2および商用ホスティング
    • LLM加速型: テレメトリー回避のための分散型ローカルオープンソースモデル(Ollama)
  • 交渉:
    • 伝統的: 人力が必要な人間主導のチャット
    • LLM加速型: RaaSパネルに統合されたテンプレート化されたAI駆動の交渉エージェント

元記事: https://gbhackers.com/llm-driven-automation/

投稿をさらに読み込む