AIツールが脅威アクターに：境界防御の終わり

サイバーセキュリティの情勢は、国家支援型アクターが人工知能ツールを兵器化し、強力な攻撃手段へと変貌させていることで、深い変革を遂げています。この変化は、従来の境界防御の終焉を告げる可能性があり、企業が生産性向上のために導入するAI技術そのものが、最も重大な内部脅威となり得ることを示唆しています。この新たな現実の証拠はウクライナからもたらされており、ロシアの国家支援型ハッキンググループAPT28が、大規模言語モデル（LLM）を搭載したマルウェアを積極的に展開しています。

先月、ウクライナのコンピューター緊急対応チーム（CERT-UA）はLAMEHUGを文書化し、LLM搭載マルウェアの現実世界での初の展開を確認しました。APT28に帰属するLAMEHUGは、盗まれた認証情報、特にHugging Face APIトークンを悪用してAIモデルにアクセスし、リアルタイムでAIモデルにクエリを実行します。これにより、動的な攻撃が可能になると同時に、被害者には注意をそらすコンテンツが表示されます。Cato Networksの研究者であるヴィタリー・シモノヴィッチは、これらが孤立した事件ではなく、ウクライナのサイバー防御に対する探査であり、世界中の企業がますます直面している脅威を映し出していると強調しています。

シモノヴィッチはVentureBeatに対し、あらゆる企業のAIツールが6時間以内にマルウェア開発プラットフォームに転用できることを示す衝撃的なデモンストレーションを行いました。彼の概念実証では、OpenAI、Microsoft、DeepSeekなどの主要なLLMを機能するパスワード窃盗ツールに変換することに成功しました。重要なのは、これがこれらのAIシステムに組み込まれている現在のすべての安全制御を簡単に回避する技術を使用して達成されたことです。

国家支援型アクターによるAI搭載マルウェアの展開と、研究者による企業AIツールの固有の脆弱性の実証というこの急速な収束は、AIの爆発的な導入と時期を同じくしています。2025年のCato CTRL脅威レポートは、3,000以上の企業でAIツールの使用が大幅に増加していることを示しています。特に、Copilot、ChatGPT、Gemini、Perplexity、Claudeなどの主要プラットフォームでは、2024年の第1四半期から第4四半期にかけて、導入率がそれぞれ34％、36％、58％、115％、111％増加しました。

APT28のLAMEHUGは、驚くべき効率性で動作するAI戦争の新たな構造を象徴しています。このマルウェアは通常、ウクライナ当局を装ったフィッシングメールを通じて配信され、自己完結型の実行可能ファイルを含んでいます。実行されると、LAMEHUGは約270個の盗まれたトークンを使用してHugging FaceのAPIに接続し、Qwen2.5-Coder-32B-Instructモデルにクエリを実行します。このグループの欺瞞的な戦略は二重目的の設計を採用しています。被害者がサイバーセキュリティに関する合法的に見えるウクライナ政府の文書を閲覧している間、LAMEHUGは同時にAI生成コマンドを実行してシステム偵察とデータ収集を行います。2番目のより挑発的な亜種は、データ抜き出し中に被害者の注意をさらにそらすために、AIが生成した「巻き毛の裸の女性」の画像を表示します。ウクライナ生まれでイスラエルのサイバーセキュリティに幅広い経験を持つシモノヴィッチは、「ロシアはウクライナをサイバー兵器のテスト戦場として利用しました。これは野外で捕獲された最初のものです」と述べました。

シモノヴィッチのBlack Hatでのデモンストレーションは、APT28の戦術がなぜすべての企業セキュリティリーダーを警戒させるべきなのかを強調しています。彼はマルウェアのコーディング経験がまったくないにもかかわらず、「イマーシブ・ワールド」と彼が呼ぶナラティブ・エンジニアリング技術を使用して、コンシューマー向けAIツールをマルウェア工場に変えました。この方法は、LLMの安全制御における根本的な弱点を悪用します。直接的な悪意のある要求はブロックされますが、持続的なストーリーテリングに耐えるように設計されたAIモデルはほとんどありません。シモノヴィッチは、マルウェア開発が芸術形式である架空の世界を作り、AIにキャラクターの役割を割り当て、徐々に会話を機能する攻撃コードの生成へと導きました。AIがエラーの多いコードを改良する反復的なデバッグセッションを通じて、シモノヴィッチは6時間で機能するChromeパスワード窃盗ツールを手に入れました。AIは、サイバーセキュリティ小説の執筆を手伝っていると信じており、マルウェアを作成しているとは決して気づきませんでした。

脅威をさらに悪化させているのは、無修正のAI機能を提供する活況を呈する地下市場の出現です。シモノヴィッチは、安全制御がないChatGPTと同一のインターフェースを月額250ドルで提供するXanthrox AIなど、複数のプラットフォームを発見しました。そのガードレール不足を説明するため、シモノヴィッチは核兵器の指示を要求する入力をしたところ、プラットフォームはすぐにWeb検索を開始し、詳細なガイダンスを提供しました。別のプラットフォームであるNytheon AIは、さらに運用セキュリティが低く、MetaのLlama 3.2の微調整された無修正バージョンを提供していました。これらは単なる概念実証ではありません。支払い処理、顧客サポート、定期的なモデル更新を備えた運用中のビジネスであり、マルウェア作成に最適化された「Claude Code」クローンさえ提供しています。

エンターテイメント（2024年第1四半期から第2四半期で58%増）、ホスピタリティ（43%）、交通（37%）などの分野でのAIの急速な導入は、これらがパイロットプログラムではなく、機密データを扱う本番環境での展開であることを意味します。これらの業界のCISOやセキュリティリーダーは、1年から1年半前には存在しなかった攻撃手法に直面しています。憂慮すべきことに、Catoの「イマーシブ・ワールド」技術に関する開示に対するベンダーの反応は一貫性がなく、Microsoftによる数週間にわたる修正から、DeepSeekの完全な沈黙、OpenAIの関与不足まで様々でした。Googleは類似のサンプルがあるため、コードのレビューを拒否しました。これは、これらの普及型AIプラットフォームを構築している企業自身のセキュリティ準備における深刻なギャップを明らかにしています。

APT28によるウクライナに対するLAMEHUGの展開は警告ではありません。それはシモノヴィッチの研究の運用上の証拠です。国家レベルの攻撃を開発するための伝統的な専門知識の障壁は、ほとんどなくなりました。統計は明らかです。270個の盗まれたAPIトークンが国家レベルの攻撃を強化し、同一の機能が地下プラットフォームで月額250ドルで利用可能であり、あらゆる企業のAIツールは、コーディングなしで、単に会話操作によって6時間で機能するマルウェアに変換できます。武器はすでにすべての組織内に、生産性ツールのふりをして存在しています。