2023 年 6 月 23 日 Corey Nachreiner 著

OpenAI は、ChatGPT にセキュリティ規制を課すことで、ユーザが安心してさまざまなタスク処理に便利に利用できるように努めています。しかし依然サイバー犯罪者は、このテクノロジを悪意のある目的のために利用しています。

最近の研究では、この生成 AI は、比較的簡単に新種のポリモーフィック型マルウェアを作成できることが示されています。主なリスクは ChatGPT の汎用性にあり、マルウェアに利用しやすいコードの作成が可能です。

ChatGPT は悪意のあるコードの作成を防ぐためにコンテンツフィルターを備えています。これを回避することは一見複雑な作業のようにも見えますが、実際には容易です。ChatGPT を利用すれば、プロセスは単純化され、また高度な技術的知識も必要でなくなるため、高度な脅威を作成できるサイバー犯罪者のプールは拡大します。 プログラムが最初に拒否しても、後に従うような継続的なクエリと要求を利用することで、また Web バージョンの代わりに Python API を使用することで、コンテンツフィルターを回避して、常に一定の成果がもたらされます。研究者は、悪用可能なユニークで機能的なコードを ChatGPT に作成される方法を発見しました。そして、再度 ChatGPT を利用してコードを変異させることで、セキュリティシステムが対応しづらい、非常に回避性の高いポリモーフィック型マルウェアも作成できるという事実を確認しています。

ポリモーフィック型マルウェアの挙動と特徴

ポリモーフィック型マルウェアは、その持続性、見た目や挙動を変化させる能力により、検出と対策が非常に困難な脅威の 1 つとなっています。ウイルス対策ソフトウェア（少なくとも、シグネチャやパターンに過度に依存するもの）は、その変異能力のために検出に大きな苦労を抱えています。ポリモーフィック型マルウェアは巧妙に潜伏して検出を回避するので、コンピュータシステムに壊滅的な影響を与え、機密情報を盗み出し、ネットワークセキュリティを侵害し、回復不能な損害を与える可能性があります。ポリモーフィック型マルウェアの対処がこれほど複雑な理由を以下に列挙します。

• ポリモーフィック型ウイルスは、実行されるたびにその構造や「デジタル」な外観を変更するよう設計されていること。ファイルを暗号化することでコードを完全に書き換えたり、シグネチャを適宜変更したりするため、既知のウイルスシグネチャに依存するウイルス対策プログラムでは検出が困難です。
• ソースコードの変換が可能であること。暗号化や解凍技術などによる検出を回避するために、高度なコード難読化技術を使用したり、解析を困難にするために無駄なコードや無関係なコードを組み込んだりします。
• 回避技術を持っていること。ポリモーフィック型マルウェアは、サンドボックス回避やその他の回避技術を利用して、検出や分析を回避する可能性があります。
• カスタマイズが可能であること。高度にパーソナライズして標的を絞ることも可能であるため、行動パターンがユニークになり、不審な振る舞いに依存するプログラムによる検知が困難になる。

AI ベースのマルウェアの実力を実証するため、研究者グループは、Python を使用してプログラムをランダムに変更する ChatGPT で生成された、BlackMamba と呼ばれるキーロガー型マルウェアの概念実証（PoC）を構築しました。

キーロガー機能により、攻撃者はあらゆるデバイスから機密情報を収集することが可能で、いったん情報を入手すると、マルウェアは一般的で信頼できるコラボレーションプラットフォームを用いた上で、悪意のあるチャネルを通じて収集したデータを流出させ、ダークウェブで販売したり、新たな攻撃に活用したりできます。

オープンソースのプログラミング言語 Python のおかげで、開発者はスクリプトを複数の OS で実行可能なスタンドアロン型の実行ファイルにすることが可能です。

このプロセスは、AI がネットワーク環境を学習し、セキュリティ検証パターンを認識した上でシステム警告を出さないようにマルウェアを実行できるという能力を示すものです。

AI ベースのマルウェア被害を低減するには

ポリモーフィック型マルウェアは、サイバーセキュリティの専門家にとってすでに難題となっていますが、AI がいざ生成を始めた場合、攻撃者の技術的な参入障壁の低さと相まって、その複雑性と感染速度はさらに上がっていきます。従来のセキュリティソリューションは、多層的なデータインテリジェンスシステムを活用し、新しい行動パターンや不規則な行動パターンを防ぐことを目的とした自動制御によって、巧妙な脅威の一部に対抗してはいますが、実際には事態はそれほど単純ではありません。XDR（Extended Detection and Response）は、このような攻撃から保護するための補完的な方法となります。

ウォッチガードの ThreatSync のような XDR ソリューションは、異なるセキュリティソリューションからのテレメトリを相関させることで、可視性を拡張し、検知を強化、さらに迅速なレスポンスを提供し、セキュリティチームに脅威のコンテキストを潤沢に与えます。これにより、アナリストにとっては脅威に対する可視性が向上し、リアルタイムの対応が迅速になるため、効率が向上し、ポリモーフィック型マルウェアの被害に遭うリスクが低減します。

XDR とその脅威検知機能の詳細については、以下をご覧ください。

EDR と XDR の違いについて
XDR：その仕組みと MSP による活用法
2023 年サイバーセキュリティチャネルの主要トレンド