btzgrp
  • NetAppとIngram Microのアーカイブ - TechRepublic
Headlines

AIがパンダの画像を「新種の永続的マルウェア」に変える

05 mins
AIがパンダの画像を「新種の永続的マルウェア」に変える
AIが生成したパンダの画像。
出典: アクアセキュリティ

Aqua Securityによると、ハッカーは一見無害なパンダの画像の中にAI生成のマルウェアを埋め込み、Linuxマシンを密かに乗っ取って仮想通貨マイニングを行っているという。このステルスコードはウイルス対策ソフトをすり抜け、痕跡をほとんど残さない。

この攻撃では、画像ベースのペイロード配信、AI支援スクリプト、ルートキットモジュールなどのステルス技術を組み合わせた「新しい種類の永続的マルウェア」を使用して、感染したシステムを長期的に制御します。

無害に見えるパンダの画像に潜むマルウェア

Aqua Nautilusの脅威インテリジェンス担当ディレクター、アサフ・モラグ氏は、このマルウェアをKoskeと特定しました。これは、バックグラウンドで静かに動作するように設計されたモジュール型の脅威です。感染したシステムの設定に応じて動作を調整し、複数の暗号通貨をマイニングする機能を備えています。

このマルウェアは、公開画像共有プラットフォームでホストされているパンダ画像に埋め込まれています。これらの画像は一見無害に見えますが、従来のウイルス対策を作動させずにLinuxシステムに感染するコードが埋め込まれています。

Aquaの研究者は、コマンドアンドコントロールインフラをセルビアのIPアドレスまで追跡しました。攻撃者は当初、公開されているJupyterLabインスタンス(データサイエンスや開発ワークフローでよく使用されるWebベースのインターフェース)を通じてアクセスを取得しました。

これから起こることへの警告

システムに侵入すると、Koskeは完全にメモリ内で実行され、ディスクへの書き込みではなく、オンザフライでコードをコンパイルします。このメモリ内実行により、Koskeは多くの一般的な検出メカニズムを回避します。

2つ目のペイロードには、プロセスやファイルを隠蔽するソフトウェア、つまりルートキットが含まれています。この場合、LD_PRELOADを使用してシステム機能を乗っ取り、基本的な監視ツールからマルウェアを見えなくします。

コードの一部には、AI生成スクリプトに典型的なパターンが見られます。Aquaの研究者は、クリーンな構造、モジュール化されたロジック、そして中立化された構文に注目しました。これらは大規模言語モデル(LLM)の関与を示す特徴です。

このマルウェアは適応力を持つように設計されている。ある接続が途切れたり、マイニングプールがダウンしたりすると、公開プロキシリストと診断ツールを使って別の接続に切り替え、中断することなく動作を続ける。モラグ氏によると、「これは今後何が起こるかを示す警告だ」という。

サイバー攻撃におけるAIの役割の拡大

Koskeは、AIを活用したサイバー脅威という広範なトレンドの一端を担っています。最近の事例としては、企業幹部を狙ったディープフェイク詐欺や、悪意のあるコードを生成するためにチャットボットが利用されるケースなどが挙げられます。Check Pointによると、2025年第1四半期のサイバー攻撃は47%増加しており、その一因は自動化ツールキットやAI生成マルウェアの登場です。これらのマルウェアは、スキルの低い攻撃者にとって侵入のハードルを下げています。

暗号資産は依然として最大の標的です。Chainalysisの中間報告によると、2025年に入ってからこれまでに21億7000万ドル以上の暗号資産が盗難に遭っており、その約4分の1が個人ウォレットの不正利用に関連していることが明らかになりました。専門家は、AIツールへのアクセスが容易であることが、個人ユーザーをより標的とした攻撃を可能にする重要な要因であると指摘しています。

目に見えない場所に潜むマルウェアの検出

Aqua Nautilus は、隠れた脅威を示唆する可能性のある微妙なシステム変更に常に注意するようユーザーに促しています。これには、.bashrc ファイルへの不正な変更や、cron や systemd 経由で追加された予期しないバックグラウンドタスクなどが含まれます。

/etc/resolv.conf の変更など、DNS 設定へのロックされた変更は、送信トラフィックの制御を試みている兆候である可能性があります。CPU または GPU の使用率が急上昇した場合も、暗号通貨マイニングが進行中である可能性があります。

Aqua チームによると、実行時にコンパイルされたイメージ ファイルやバイナリには、正規のファイルを装った隠しペイロードが含まれている可能性があるため、注意して扱う必要があります。

研究者らは、明確な構造、モジュール化されたロジック、そして汎用的なコメントを備えたスクリプトパターンは、AIを活用したマルウェアを示唆する可能性があると強調しました。さらに、curlやwgetなどのツールを用いたネットワークアクティビティは、リモート攻撃者のインフラとの通信を明らかにする可能性があります。

一見些細な兆候に見えるこれらの兆候を総合的に見ると、目に見えないところに隠れている脅威があることがわかります。

攻撃者は、信頼できるプラットフォームを偽装し、人間の防御をすり抜けるためにAIを利用するケースが増えています。OktaやMicrosoft 365を模倣したAI生成のフィッシングサイトに関する記事をご覧ください。

Tagged:

Related News