 |
|
| 別名 | - |
|---|---|
| 活動開始時期 | 2025年 |
| プラットフォーム | Windows / macOS / Linux |
| カテゴリ | ランサムウェア |
概要
PromptLockは、生成AIを悪用した新たなタイプのランサムウェアであり、ESET社によって2025年8月27日に確認・報告されました。
従来のマルウェアとは異なり、ローカル環境で動作する大規模言語モデル(LLM)を利用して、攻撃コードをリアルタイムに生成し、感染端末上で実行するという特徴を持ちます。
これにより、ランサムウェアの暗号化や脅迫文の生成といった一連の処理が自動化され、攻撃者は専門的な知識がなくても、指示(プロンプト)を与えるだけで複雑な攻撃を実行できるようになります。さらに、マルウェアが実行されるまでは悪意のあるコードが端末上に存在しないため、従来のシグネチャ検知では検出されにくく、セキュリティ製品による事前防御をすり抜ける可能性があります。
PromptLockは、AI技術が悪用された場合のリスクを示す象徴的な事例として注目されています。2025年9月時点では実際の攻撃には使用されておらず、以下の理由からPoC(概念実証)であると考えられています。
- VirusTotal上でのみ存在が確認されている
- 一部機能が未実装である
- 脅迫文に攻撃者のビットコインアドレスではなく、ビットコインの創始者サトシ・ナカモトとされるアドレスが記載されている
しかし、技術的な実現性が高いため、今後PromptLockと類似した機能を持つマルウェアが登場し、悪用される可能性があると懸念されています。
PromptLock のタイムライン
機能
PromptLockの主な機能について紹介します。
AIによるコード生成
ローカル環境で動作する大規模言語モデル(LLM)であるollamaを悪用し、攻撃コードをリアルタイムに生成します。生成されるコードは、攻撃者が事前に用意したプロンプトに基づいており、Lua*1スクリプトとして出力されます。
*1 Luaは性能に制約のある組み込みシステム向けに設計された軽量なスクリプト言語であり、Windows、Linux、macOSなど主要なOSで動作するクロスプラットフォームに対応しています。
偵察機能
感染端末のローカルファイルをスキャン・分析し、あらかじめ定義されたプロンプトに基づいて情報を収集します。OS、ユーザー名やコンピューター名、カレントディレクトリといった端末のシステムに関する情報を窃取します。
ファイル選別・分析
ファイルの内容を確認し、個人識別情報(PII)や機密情報が含まれているかどうかを判断し、暗号化の対象となるファイルのパスを列挙します。
暗号化処理
列挙したファイルを対象に暗号化を行います。
暗号化にはSPECK 128ビット暗号化アルゴリズムを使用し、ファイルの上書き保存を行います。
脅迫文生成
暗号化後、収集した情報を基に状況に合わせた脅迫文を自動生成します。
脅迫文には身代金要求として、ビットコインアドレスや身代金の金額が記載されています。
