2025年9月、セキュリティ業界に大きな波紋を広げる出来事が報じられました。スロバキアのセキュリティ企業ESETが、世界初とされるAI駆動型ランサムウェア「PromptLock」を発見したのです。従来のランサムウェアは、人間の開発者がコードを作成・改変して機能を追加してきましたが、PromptLockはその枠を超え、大規模言語モデル(LLM)が自律的に攻撃コードを生成する仕組みを備えていました。これにより、攻撃の効率性や回避能力が従来より大幅に高まる可能性が指摘されました。
当初は未知の脅威が出現したとして警戒が強まりましたが、その後の調査により、実態はニューヨーク大学(NYU)の研究者が作成した学術プロトタイプ「Ransomware 3.0」であることが明らかになりました。つまり、サイバー犯罪者による実際の攻撃ではなく、研究目的で作られた概念実証(PoC)が偶然発見された形です。しかし、AIによる自動化・動的生成がランサムウェアに組み込まれたという事実は、将来のセキュリティリスクを予見させる重要な出来事といえます。
本記事では、PromptLock発見の経緯、研究プロトタイプとの関係性、AI技術の具体的な活用方法、そしてセキュリティ分野における影響や課題について多角的に解説します。
PromptLock発見の経緯
ESETがPromptLockを最初に確認したのは、VirusTotalにアップロードされた未知のバイナリの解析からでした。VirusTotalは研究者や一般ユーザーがマルウェアのサンプルを共有・解析するために利用されるプラットフォームであり、ここに公開されることで多くのセキュリティベンダーが調査対象とします。ESETはこのサンプルを分析する過程で、従来のランサムウェアとは異なる挙動を持つ点に着目しました。
解析の結果、このマルウェアはGo言語で開発され、Windows・Linux・macOSといった複数のOS上で動作可能であることが判明しました。クロスプラットフォーム対応の設計は近年のマルウェアでも増えている傾向ですが、特に注目されたのは「内部に大規模言語モデルを呼び出すプロンプトが埋め込まれている」という点でした。通常のランサムウェアは固定化された暗号化ルーチンやコマンド群を実行しますが、PromptLockは実行時にLLMを通じてLuaスクリプトを動的生成し、その場で攻撃コードを組み立てていくという、従来にない特徴を備えていました。
生成されるスクリプトは、感染した環境内のファイルを列挙し、機密性の高いデータを選別し、さらに暗号化する一連の処理を自動的に行うものでした。暗号化アルゴリズムにはSPECK 128ビットが利用されていましたが、完全な破壊機能は未実装であり、概念実証の段階にとどまっていたことも確認されています。
また、ESETはこのマルウェアに「PromptLock」という名称を与え、「世界初のAI駆動型ランサムウェア」として発表しました。当初は、AIを利用した新種のマルウェアが野に放たれたと解釈され、多くのメディアや研究者が警戒を強めました。特に、マルウェアにAIが組み込まれることで、シグネチャ検知を容易に回避できる可能性や、毎回異なる挙動を取るため振る舞い分析を困難にするリスクが懸念されました。
しかし、後の調査によって、このサンプルは実際の攻撃キャンペーンの一部ではなく、研究者が学術目的で作成したプロトタイプであることが明らかになります。この経緯は、セキュリティ業界がAIの脅威を過大評価する可能性と同時に、AIが攻撃手法に応用されることでいかに大きなインパクトを与えうるかを示した象徴的な事例となりました。
研究プロトタイプとの関係
PromptLockの正体が明らかになったのは、ESETの発表から間もなくしてです。iTnewsの報道によれば、問題のバイナリはニューヨーク大学(NYU)タンドン工科大学の研究チームが開発した「Ransomware 3.0」と呼ばれる学術的プロトタイプにほかなりませんでした。これは、AIを活用してランサムウェアの攻撃ライフサイクル全体を自律的に実行できるかを検証する目的で作られたもので、研究者自身がVirusTotalにアップロードしていたことが後に確認されています。
Ransomware 3.0は、従来のマルウェア研究と大きく異なる点として、大規模言語モデル(LLM)を「攻撃の頭脳」として利用する設計思想を持っていました。研究チームは、システム探索、ファイルの優先度評価、暗号化、身代金要求といった工程を個別にプログラムするのではなく、プロンプトとしてLLMに与え、実行時に必要なコードを生成させるという新しい手法を試みました。これにより、固定化されたシグネチャやコードパターンに依存しない、動的に変化する攻撃を作り出すことが可能になります。
さらに研究では、Windows、Linux、Raspberry Piといった複数のプラットフォームで試験が行われ、AIが敏感なファイルを63〜96%の精度で識別できることが確認されました。これは単なる暗号化ツールとしてではなく、攻撃対象の「価値あるデータ」を自律的に選別する段階までAIが担えることを意味しています。
コスト面でも注目すべき点がありました。研究チームによると、1回の攻撃実行に必要なLLM利用量は約23,000トークンであり、クラウドAPIを利用した場合でも0.70米ドル程度に収まるとされています。オープンソースモデルを活用すれば、このコストすら不要です。つまり、従来のマルウェア開発者が時間と労力をかけて調整してきたプロセスを、誰でも低コストで再現可能にしてしまうポテンシャルがあるのです。
ただし、研究チームは倫理的配慮を徹底しており、このプロトタイプは完全に学術目的でのみ開発されたものです。実際の攻撃に利用される意図はなく、論文や発表を通じて「AIがサイバー攻撃に悪用された場合のリスク」を社会に提示することが狙いでした。今回のPromptLock騒動は、ESETがPoCを未知の脅威として誤認したことで注目を集めましたが、同時に研究成果が現実の脅威と紙一重であることを世に知らしめたとも言えます。
技術的特徴
PromptLock(研究プロトタイプであるRansomware 3.0)が持つ最大の特徴は、ランサムウェアの主要機能をLLMによって動的に生成・実行する仕組みにあります。従来のランサムウェアは固定化されたコードや暗号化アルゴリズムを持ち、シグネチャベースの検知や挙動パターンによる対策が可能でした。しかしPromptLockは、実行のたびに異なるコードを生成するため、既存の防御モデルにとって検出が難しくなります。
1. AIによる動的スクリプト生成
内部に埋め込まれたプロンプトが大規模言語モデル(gpt-oss:20bなど)へ渡され、Luaスクリプトがオンデマンドで生成されます。このスクリプトには、ファイル探索、フィルタリング、暗号化処理といった攻撃のロジックが含まれ、同じバイナリであっても実行ごとに異なる挙動を取る可能性があります。これにより、セキュリティ製品が行う静的解析やヒューリスティック検知の回避が容易になります。
2. クロスプラットフォーム対応
本体はGo言語で記述されており、Windows・Linux・macOSに加え、Raspberry Piのような軽量デバイス上でも動作することが確認されています。IoTデバイスや組み込みシステムへの拡散も現実的に可能となり、攻撃対象の範囲が従来より大幅に拡大する危険性を示しています。
3. 暗号化アルゴリズムの採用
ファイル暗号化にはSPECK 128ビットブロック暗号が利用されていました。これはNSAによって設計された軽量暗号で、特にIoT環境など計算資源が限られるデバイスに適しています。研究プロトタイプでは完全な破壊機能は実装されていませんが、暗号化の仕組みそのものは十分に実用的なものでした。
4. 自動化された攻撃フェーズ
Ransomware 3.0は、ランサムウェアが行う主要フェーズを一通りカバーしています。
- システム探索:OSやストレージ構造を認識し、標的となるファイルを特定。
- ファイル選別:LLMの指示により「価値のあるデータ」を優先的に選択。研究では63〜96%の精度で重要ファイルを抽出。
- 暗号化:対象ファイルをSPECKアルゴリズムで暗号化。
- 身代金要求:ユーザーに表示する要求文もLLMによって生成可能で、文章の多様性が高まり、単純なキーワード検知を回避しやすい。
5. 実行コストと効率性
研究者の試算によれば、1回の攻撃実行には約23,000トークンが必要で、クラウドAPIを利用した場合は0.70米ドル程度のコストとされています。これはサイバー犯罪の観点から見れば極めて低コストであり、さらにオープンソースモデルを利用すればゼロコストで再現できることから、攻撃の敷居を大幅に下げる可能性があります。
6. 多様な回避能力
生成されるコードは常に変化し、固定化されたシグネチャでは検出できません。また、動的生成の性質上、セキュリティ研究者がサンプルを収集・分析する難易度が飛躍的に高まるという課題もあります。さらに、文章生成能力を利用することで、ソーシャルエンジニアリング要素(説得力のある脅迫文やカスタマイズされた身代金メッセージ)を柔軟に作成できる点も注目されます。
セキュリティへの影響と課題
PromptLock(Ransomware 3.0)が示した最大の教訓は、AIが攻撃側の手に渡ったとき、従来のマルウェア検知・防御の前提が揺らぐという点です。従来のランサムウェアは、コード署名やシグネチャパターンを基にした検知が有効でしたが、AIによる動的生成はこれを回避する仕組みを本質的に内包しています。結果として、防御側は「どのように変化するかわからない攻撃」と対峙せざるを得ません。
1. 防御モデルの陳腐化
セキュリティ製品の多くは既知のコードや振る舞いに依存して検知を行っています。しかし、PromptLockのように実行のたびに異なるスクリプトを生成するマルウェアは、検出ルールをすり抜けやすく、ゼロデイ的な振る舞いを恒常的に行う存在となります。これにより、シグネチャベースのアンチウイルスやルールベースのIDS/IPSの有効性は大幅に低下する恐れがあります。
2. 攻撃者のコスト削減と自動化
研究では1回の攻撃実行コストが0.70米ドル程度と試算されています。従来、ランサムウェア開発には専門知識や開発時間が必要でしたが、AIを利用すれば低コストかつ短時間で攻撃ロジックを作成できます。さらに、LLMのプロンプトを工夫することで「ターゲットごとに異なる攻撃」を自動生成でき、マルウェア作成のハードルは著しく低下します。結果として、これまで攻撃に関与していなかった層まで参入する可能性が高まります。
3. 高度な標的化
AIは単なるコード生成だけでなく、環境やファイル内容を理解した上で攻撃を調整することが可能です。研究では、LLMが重要ファイルを63〜96%の精度で識別できると報告されています。これは「無差別的に暗号化する従来型」と異なり、価値あるデータだけを狙い撃ちする精密攻撃の可能性を意味します。結果として、被害者は復旧困難なダメージを受けるリスクが高まります。
4. 説得力のある身代金要求
自然言語生成能力を活用すれば、攻撃者は被害者ごとに異なるカスタマイズされた脅迫文を作成できます。従来の定型的な「支払わなければデータを消去する」という文言ではなく、企業名・担当者名・業務内容を織り込んだリアルなメッセージを自動生成することで、心理的圧力を増幅させることができます。これはソーシャルエンジニアリングとの融合を意味し、防御はさらに難しくなります。
5. 防御側への課題
こうした背景から、防御側には新しい対応策が求められます。
- AI対AIの対抗:AI生成コードを検知するために、防御側もAIを活用した行動分析や異常検知が不可欠になる。
- ゼロトラスト強化:感染を前提としたネットワーク設計、権限の最小化、セグメンテーションの徹底が必須。
- バックアップと復旧体制:暗号化を回避できないケースを想定し、オフラインバックアップや迅速な復旧計画を備える。
- 倫理と規制の問題:AIを悪用した攻撃が現実化する中で、モデル提供者・研究者・規制当局がどのように責任分担を行うかも大きな課題となる。
6. 今後の展望
PromptLockは研究プロトタイプに過ぎませんが、その存在は「AI時代のサイバー攻撃」の可能性を明確に示しました。今後は、犯罪組織がこの技術を取り込み、攻撃の効率化や大規模化を進めることが懸念されます。セキュリティ業界は、AIによる脅威を前提とした新たな脅威モデルの構築と、それを支える防御技術の進化を余儀なくされるでしょう。
おわりに
PromptLockは最初こそ「世界初のAI駆動型ランサムウェア」として大きな衝撃を与えましたが、その正体はNYUの研究者が開発した学術的な概念実証にすぎませんでした。しかし、この誤認をきっかけに、セキュリティ業界全体がAIとマルウェアの交差点に強い関心を寄せることとなりました。実際に攻撃に利用されたわけではないものの、AIが従来の防御手法を無力化しうる可能性を示した事実は極めて重大です。
従来のランサムウェア対策は、既知のシグネチャや典型的な挙動を検知することを前提にしてきました。しかし、AIが介在することで「常に異なる攻撃コードが生成される」「標的ごとに最適化された攻撃が行われる」といった新しい脅威モデルが現実味を帯びています。これは、防御の在り方そのものを再考させる大きな転換点であり、単なるマルウェア対策ではなく、AIを含む攻撃シナリオを包括的に想定したセキュリティ戦略が求められる時代に入ったことを意味します。
また、この出来事は倫理的な側面についても重要な示唆を与えました。研究としてのPoCであっても、公開の仕方や取り扱い次第では「現実の脅威」として認識され、社会的混乱を招く可能性があります。AIを使った攻撃研究と、その成果の公開方法に関する国際的なルール作りが今後さらに必要になるでしょう。
PromptLockが「実験作」だったとしても、攻撃者が同様の技術を応用する日は遠くないかもしれません。だからこそ、防御側は一歩先を見据え、AI時代のセキュリティ基盤を構築する必要があります。本記事で取り上げた事例は、その警鐘として記憶すべきものであり、今後のサイバー防御の議論において重要な参照点となるでしょう。
参考文献
- First known AI-powered ransomware uncovered – ESET Research
https://www.welivesecurity.com/en/ransomware/first-known-ai-powered-ransomware-uncovered-eset-research/ - Academic researchers created AI-powered PromptLock ransomware
https://www.itnews.com.au/news/academic-researchers-created-ai-powered-promptlock-ransomware-620104 - The first AI-powered ransomware has been spotted – and here’s why we should all be worried
https://www.techradar.com/pro/security/the-first-ai-powered-ransomware-has-been-spotted-and-heres-why-we-should-all-be-worried - Security researchers have just identified what could be the first ‘AI-powered’ ransomware strain – and it uses OpenAI’s gpt-oss-20b model
https://www.itpro.com/security/ransomware/security-researchers-have-just-identified-what-could-be-the-first-ai-powered-ransomware-strain-and-it-uses-openais-gpt-oss-20b-model - The Era of AI-Generated Ransomware Has Arrived
https://www.wired.com/story/the-era-of-ai-generated-ransomware-has-arrived - Ransomware 3.0: Large Language Models Can Execute Complete Ransomware Attacks Autonomously (arXiv)
https://arxiv.org/abs/2508.20444 - Large Language Models Can Execute Complete Ransomware Attacks Autonomously – NYU Tandon Research
https://engineering.nyu.edu/news/large-language-models-can-execute-complete-ransomware-attacks-autonomously-nyu-tandon-research