ALL MENU

Technology
S2W's Technology
AI
Big Data
Security
Products
SAIP
QUAXAR
XARVIS
EYEZ
Services
AI Data Consulting
Penetration Testing
Incident Response
Request for Intelligence
Resources
Event
Webinar
SIS
Conference
About S2W
About S2W
History
News

QUICK LINKS

Resources
  • Research
  • 脅威分析レポート
AIとLLMを活用した脅威事例研究#01:マルウェアの活用と進化
2025.03.13

✅ レポートタイトル:AIとLLMを活用した脅威事例研究#01:マルウェアの活用と進化


S2W脅威インテリジェンスセンター「TALON」は、AIを活用したマルウェア分析のレポートを発行しました。


現在AI/LLMを活用して流布されているマルウェア開発の実際の事例だけでなく、実現可能な仮想事例を確認いただける難易度の高い脅威インテリジェンスレポートです。



✅ レポートの要約:


1) 背景:AI/LLMの発展により、さまざまな分野で活用されているが非倫理的分野にも活用されます。

- マルウェア開発者は、悪意ある機能開発、高度化、検知迂回などマルウェア開発の多様な要素に活用が可能です。


2) 実際の事例:現在流布されているマルウェア開発にAI/LLMが活用されています。

- マルウェアで使用されるスクリプトにAI/LLMが生成したコードの形を持っている事例が頻繁に発見されています。
- LLM運営企業でマルウェア開発者がLLMをマルウェア開発に活用した事例を公開しました。


3) 仮想事例:AI/LLMをマルウェアの高度化に多様に活用可能であることを見せようとする研究を実施した事例

- AI/LLMがマルウェアを自動的に生成してマルウェアの検出率を下げる研究が存在します。
- AI/LLMが自身で状況を判断し、状況に合わせてマルウェアを生成する完全自律型マルウェアを作成できます。


4) 示唆点:AI/LLMを通じて緻密で検知迂回の成功率が高いマルウェアが登場する可能性がより高くなることが予想される



📌 AI/LLMを活用して開発したマルウェアはどのようにわかりますか?


- 一般的にAI/LLMにコードの実装を要求する場合、AI/LLMが実装したコードには、各ステップごとにステップの行為を説明するコメントが入り、コメント、変数などをユーザーの言語に合わせて作成する特徴が存在します。攻撃者はAI/LLMが実装したコードをそのままマルウェアに使用して流布することで発見されるマルウェアに上記のような痕跡が残っていることがよく見られます。(証拠画像に関する全資料については別途お問い合わせください)

- 一例として、「FunkSec」はランサムウェアグループとしてマルウェアを開発する過程でLLMを活用し、ランサムノートなどのドキュメントもLLMで生成しているようです。「FunkSec」グループが活用したDDoSツールのPythonコードで、各変数の意味を正確に英語でコメントにまとめていることを確認できます。

- また、「FunkSec」グループが英語を使用している場合は、言語的な間違いが存在したり基本的な英語のみを使用するのに対し、当該コードでは流暢な英語を使用していることが観察されます。このため、LLMが生成するコードとパターンが類似している他の要素にもLLMが使われた痕跡を根拠として、当該グループはLLMを活用してマルウェアを開発していると推測できます。

- フィッシングメール本文内のリンクまたは添付ファイルを利用したマルウェアの流布に使用されたマルウェアにLLMの力を借りて作成されたと思われるケースも多くなっています。

- 一例として、AsyncRatを使用してフランスを対象にマルウェアが含まれたメールに使用されたAsyncRat Dropperに使用されたVBScriptにLLMがコードを実装する形態が観察されます。また、マルウェアをダウンロードするスクリプトにAI/LLMの痕跡が発見される場合が頻繁に発見されます。Symantecの調査によると、マルウェア「Rhadamanthys」、「NetSupport」、「CleanUpLoader」、「ModiLoader」、「LokiBot」、「Dunihi」がダウンロードした悪意のあるスクリプトにAI/LLMが生成された痕跡が発見された模様です。


より詳細な情報をご希望の場合は、弊社にお問い合わせください。



✅ 脅威検出の推奨事項と対策方法:


- 現在流布されているマルウェアにもAI/LLMが生成したマルウェアを活用した事例が多く存在します。
- マルウェア開発者はAI/LLMを利用してマルウェアを実装したり、マルウェアのデバッグに活用しています。
- AI/LLMを活用したマルウェアが増加することに備えて、AI/LLMをさまざまな側面で活用したマルウェアの形態も多く提示されています。
- AI/LLMを活用して生成されたマルウェアは継続的に多様で高度化されると予測されます。

各ケースの具体的な分析および対応方法については、以下のリンクよりお問い合わせください。



🧑‍💻 レポート作成者: S2W 「TALON」 (2025年2月27日基準)


👉 レポートに関するお問い合わせ: https://s2w.inc/ja/contact


*当該レポートは、S2Wのプラットフォームをご契約されているクライアントを対象にその全文が提供されております。詳細に関してはお問い合わせください。


脅威分析概要レポート
ランサムウェア「Black Basta」に関するレポート
2025.03.07
前へ
脅威分析レポート
セキュリティドキュメントビューアに偽装されたマルウェア「DocSwap」に関する詳細分析
2025.03.17
次へ
一覧