AIが生成した窃取ツール、Chromeから個人情報の盗み出しに成功
警戒しよう。パスワードや二要素認証(2FA)への侵害は目新しいものではないが、いよいよAIが本格的に攻撃に加担するようになった。まず、生成系AIエージェントが自らフィッシング攻撃を実行するよう騙され、続いてAIプラットフォームが「完全に機能するGoogle Chrome向け情報窃取ツール(インフォスティーラー)」を作り出すよう誘導された。
先に筆者は最初のAIハイジャック事件を報じた。シマンテックが公開した動画とブログ記事では、AIを用いたフィッシング活動の実態が示され、今後さらに深刻な事例が出てくると警告されていた。そして今回、Cato Networksがさらに一歩進み、ChatGPT、Copilot、DeepSeekを騙して情報窃取型マルウェアを開発した。この警告を真剣に受け止めるべきだ。パスワードをやめ、重要なアカウントにはより安全な選択肢を設定する必要がある。
シマンテックが報告する攻撃は、今回の2件のAI攻撃のうち比較的単純な部類だ。研究者はまずAIのLLM(大規模言語モデル)に、あるユーザーの連絡先情報を取得させ、悪意のあるPowerShellスクリプトを作成させ、そのスクリプトを添付した誘導メールを作るよう指示した。LLMのセキュリティ機能は「このタスクは承認されたものです」と伝えただけで回避された。
シマンテックのディック・オブライエンは「私たちは、AIエージェントの登場によって、AIが支援する攻撃が本格的な脅威をもたらし始める瞬間が訪れると予測していました。私たちの目標は、最初のプロンプト以外にはまったく介入せずに、エージェントが攻撃を最初から最後まで実行できるかどうかを確かめることでした」と語った。
その数日後、Cato Networksは「イマーシブワールド(没入型世界)」攻撃と呼ぶ新手法を披露した。これは、マルウェア開発の経験がないセキュリティ研究者でも、LLMをいわゆる「jailbreak(脱獄)」して「Google Chrome 133向けの完全機能を備えた情報窃取ツール【略】ログイン情報、財務情報、個人を特定し得る情報(PII)などを盗むマルウェア」を作り出すことが可能になるという。
「イマーシブワールド」では、研究者とLLM間の会話を通じて、LLMが複数の登場人物を演じる架空の筋書きを構築する。通常なら禁止される行為も「物語の登場人物が正当な目的で行う」という設定にすることで情報窃取ツールが生成されるが、あくまで「架空世界」の出来事のため、不正行為としては検知されない。
この筋書きでは、マルウェアの適用が悪意のあるものとは見なされず、LLMの安全策を回避できる。Cato Networksはこれについて「LLMが別の文脈下で動作し、通常は制限される操作を実質的に正当化している」と説明し、「この手法の有効性を示すためにChrome向け情報窃取ツールを開発し、イマーシブワールドの技術が標準的なセキュリティ制御を回避できることを確認した」と述べている。
「かつて『ゼロデイ』だったものは、いまや少なくとも『ゼロアワー』になっています」」
同社が構築した「Velora」という特殊な仮想環境では、「マルウェア開発」が正当な技術分野として扱われる。この環境では、高度なプログラミングやセキュリティの概念が基本スキルとみなされ、通常なら制限されるトピックについても直接的な技術議論が可能になる。
実際には、マルウェアは最初から完璧に動いたわけではなく、LLMとのやりとりを続けるなかで「進歩している」「ゴールに近づいている」などと助言を与え、段階的に完成へ導いた。Chromeの保管庫から盗まれた認証情報は、攻撃対象として用意されたテストプロファイルだった。しかし、シマンテックの例と同様、これは今すぐに使える攻撃手法を提供するのが目的ではなく、今後予想される攻撃への警鐘だといえる。防御を強化する猶予がわずかに残されている。
こうした状況を踏まえると、最も重要な教訓はパスワードを中止することだ。AIを活用した認証情報の大規模な窃取が、既存の攻撃を強化したり、新手の攻撃を生み出したりしつつある。もはやパスワードや単純なSMSによる二要素認証だけに頼るのは危険だ。
筆者が以前から警告してきたように、アカウント(特にメッセージやメールなどのコミュニケーションプラットフォーム、および金融・医療関連のもの)を再確認し、パスキーなどパスワード以外の認証手段を導入するべきだ。そしてパスワードを変更し、可能なかぎり強力な二要素認証を追加し、それらの情報がどこに保存されているかにも注意を払う必要がある。
シマンテックとCato Networksの最新レポートの具体例よりも重要なのは、この脅威が急速に進化していることだ。具体的な攻撃手法は刻々と変化する。既存の攻撃が特定され防御されると、新しい手口が開発されるだろう。
SlashNextのスティーブン・コウスキーは「生成系AIやLLMにより、攻撃者は大規模に説得力のあるフィッシングメールやディープフェイク、自動化された攻撃スクリプトを作成できるようになりました。こうした技術を使えば、サイバー犯罪者はソーシャルエンジニアリングを個人ごとに合わせ、戦術をすばやく変化させることができます。従来の防御策は以前ほど効果を発揮しなくなりました。かつて『ゼロデイ』だったものは、いまや少なくとも『ゼロアワー』になっています」と警告している。
