Googleの脅威インテリジェンスグループは、未知の脅威アクターが使用するマルウェア「PromptFlux」を発見した。
PromptFluxはVBScriptで書かれており、Gemini APIと連携して定期的に新しいコードを生成することで難読化と検出回避を実現することも可能となると同社は指摘する。これは「Thinking Robot」コンポーネントの一部であり、大規模言語モデル(LLM)(この場合はGemini 1.5 Flash以降)に対して具体的なプロンプトを送信し、VBScript難読化・回避技術の提案を受け取る。新しいコードはWindowsスタートアップフォルダに保存され、リムーバブルドライブやネットワーク共有への伝播を試みる。
PromptFluxは現在開発またはテスト段階で、実際のネットワーク侵害機能を持たない。背後の脅威アクターは特定されていないが、財務的動機を持つと推定されている。Googleは同時に、中国、イラン、北朝鮮の国家支援型アクターがGeminiを悪用してフィッシング、コード開発、データ流出支援などに使用していることも報告した。
脅威アクターはプロンプトインジェクション技術を活用し、AIのガードレールを回避する戦術を採用している。
From: 
Google Uncovers PROMPTFLUX Malware That Uses Gemini AI to Rewrite Its Code Hourly
【編集部解説】
AIが「考える武器」になるこの時代、私たちは直面しています。Googleが報告したPromptFluxは、単なるマルウェアではなく、生成AIそのものを攻撃の一部として組み込んだ、まったく新しい脅威のカテゴリーを示しています。これまでのサイバー攻撃は「プログラムされた動作」に依存していましたが、AIを統合することで、攻撃側は「動的に進化する」脅威へシフトしつつあります。
PromptFluxの何が革新的かというと、その「自己修正能力」にあります。従来のマルウェアは、一度書かれたコードで勝負するしかありませんでした。しかし、このマルウェアはGeminiに毎時間のように「どうやって難読化すればいい?」と問いかけ、新しい姿に何度も変身します。これはセキュリティソフトの「署名検出」という古典的な防衛手段をほぼ無効化するということです。検出されたパターンを学習して避ける——AIの強みが、そのまま攻撃側の強みになってしまったのです。
興味深いのは、このマルウェアがまだ「未完成」であるという点です。発見された時点では、実際にシステムを侵害する機能が組み込まれていません。つまり、これは開発段階や実験段階の証です。しかし、その存在自体が重要な警告信号を発しています。脅威アクターが「AIを使った自己進化型マルウェア」の実現可能性を既に確認したということだからです。
国家支援型アクターの動きも看過できません。イラン、中国、北朝鮮が複数の方法でGeminiを悪用している事実は、単なるサイバー犯罪の話ではなく、新しい形の「情報戦」の領域に入ったことを意味しています。社会工学的な前置きを駆使してAIのガードレールを回避し、フィッシングからC2開発、データ流出支援まで、攻撃の全フェーズでAIを活用しています。特に、「CTF演習の参加者です」という前置きでAIを騙すという戦術は、人間とAIの相互作用の脆弱性を如実に物語っています。
セキュリティ業界にとって、この報告は根本的なパラダイムシフトを求めています。従来の「ルールベース」「パターン認識」型の防衛では、自己進化型の脅威に対応できません。防御側もまた、AIを含めた新しいアーキテクチャで動かざるを得なくなるでしょう。
規制面での対応も急務です。生成AIサービス事業者は、悪用検知メカニズムの強化や、APIアクセスの厳格な監視が必要になります。Googleが既にこの活動に関連するアカウントを無効化したように、事前の検出と対応が鍵になります。
長期的には、この技術進化は攻撃と防衛の関係そのものを変えます。AIを用いた攻撃が「コモディティ化」すれば、組織規模や資金力を問わず、より多くのアクターが高度な脅威を実行できるようになるでしょう。それは同時に、セキュリティ対策の「民主化」をも意味します。AIベースの防衛ツールもまた、より広くアクセス可能になるはずだからです。
【用語解説】
VBScript(Visual Basic Script)
Microsoftが開発したスクリプト言語で、Windows環境で実行される。Windowsの組み込みスクリプトエンジンにより実行でき、マルウェア開発に使用されることがある。
API(Application Programming Interface)
異なるソフトウェアやサービス同士が連携するための仕様・規格。APIキーを使用することで、特定のサービスへのアクセスを許可・制御する。
プロンプトインジェクション
AIモデルへの入力欄に悪意のあるコマンドやデータを紛れ込ませ、システムプロンプトやAIの動作ルールを改ざんして、意図しない出力をさせる攻撃技法。
社会工学的プリテキスト
AIとの対話において、ユーザーが実在しない架空の人物になりすましたり、虚偽の状況を述べたりしてAIの安全ガードレールを回避する手法。学生、研究者、CTF参加者などになりすましてAIに制限情報を提供させるのがこれに該当する。
メタモルフィックマルウェア
実行時にコード自体を変化させるマルウェア。検出パターンを変えることで、セキュリティ対策を回避する。
C2(Command and Control)
攻撃者が被害システムを遠隔操作するための通信インフラ。マルウェアが攻撃者のサーバーと通信し、指令を受け取る。
ハードコード
プログラムコード内に直接値を埋め込むこと。この場合、APIキーが変更できない形で組み込まれているため、セキュリティリスクが高い。
CTF(Capture-The-Flag)
コンピュータセキュリティの競技。参加者が脆弱性を見つけたり、ペネトレーションテストを実行したりして、目標の「旗」を奪う訓練形式。
APT(Advanced Persistent Threat)
高度で継続的な脅威。特定の目標に対して高度な手法を用いて長期にわたって侵入活動を続ける国家支援型の脅威アクター。
PowerShell
Microsoftが開発したタスク自動化・構成管理フレームワーク。Windows管理用コマンドラインツールだが、マルウェア開発にも悪用される。
リバースシェル
攻撃者が被害システムにアクセスするため、被害機からが攻撃者のサーバーへ接続を行う通信形態。遠隔操作を実現する。
【参考リンク】
Google Cloud Threat Intelligence(外部)
Google Cloudが提供するセキュリティ脅威インテリジェンスサービス。世界中のサイバー攻撃トレンドと攻撃グループ情報を提供。
Gemini API for Developers(外部)
GoogleのGemini APIの公式開発ドキュメント。APIリファレンス、認証方法、使用例を提供している。
Google Threat Intelligence Group Official Blog(外部)
Google公式ブログのGTIGレポート発表記事。国家支援型脅威アクターのAI悪用事例を説明。
GTIG AI Threat Tracker Report(外部)
GoogleのGTIGが公開した詳細レポート。PromptFluxと複数のAI駆動型マルウェアの技術解析を掲載。
【参考記事】
Google uncovers malware using LLMs to operate and evade detection(外部)
HelpNetSecurityの記事。LLM駆動型マルウェアの技術詳細とPromptFluxの自己修正メカニズムを解説。
Google Finds Malware Connecting to AI Large Language Models(外部)
PCMagの記事。毎時間コード再生成メカニズムと署名検出回避戦術について技術的に説明。
AI-based malware makes attacks stealthier and more sophisticated(外部)
Cybersecurity Diveの報道。自己進化型マルウェアが攻撃防衛対称性を崩すことの意味を深掘り。
Here’s how spies and crooks abuse Gemini AI(外部)
The Registerの深掘り記事。国家支援型アクターがGeminiを悪用する多様な方法を報道。
Threat actors misuse AI to enhance operations(外部)
Google公式ブログ。PromptFluxなどのAI駆動型マルウェア概要と対抗措置を説明。
【編集部後記】
AIが「考える武器」になるこの時代、私たちはどのような構え方をしたらいいのでしょうか。PromptFluxのようなマルウェアの出現は、単なる脅威ニュースではなく、テクノロジーとの向き合い方を問い直す機会かもしれません。
社会工学的な手法とAIの組み合わせが、従来のセキュリティ対策をいかに無力化するかを知ることは、デジタルを使う全ての人にとって他人事ではもはや済まされないのではないかと感じています。もしよろしければ、この記事を通じて、あなたが感じたことや疑問に思ったことを教えていただきたいです。
