警戒しよう。パスワードや二要素認証(2FA)への侵害は目新しいものではないが、いよいよAIが本格的に攻撃に加担するようになった。まず、生成系AIエージェントが自らフィッシング攻撃を実行するよう騙され、続いてAIプラットフォームが「完全に機能するGoogle Chrome向け情報窃取ツール(インフォスティーラー)」を作り出すよう誘導された。
先に筆者は最初のAIハイジャック事件を報じた。シマンテックが公開した動画とブログ記事では、AIを用いたフィッシング活動の実態が示され、今後さらに深刻な事例が出てくると警告されていた。そして今回、Cato Networksがさらに一歩進み、ChatGPT、Copilot、DeepSeekを騙して情報窃取型マルウェアを開発した。この警告を真剣に受け止めるべきだ。パスワードをやめ、重要なアカウントにはより安全な選択肢を設定する必要がある。
シマンテックが報告する攻撃は、今回の2件のAI攻撃のうち比較的単純な部類だ。研究者はまずAIのLLM(大規模言語モデル)に、あるユーザーの連絡先情報を取得させ、悪意のあるPowerShellスクリプトを作成させ、そのスクリプトを添付した誘導メールを作るよう指示した。LLMのセキュリティ機能は「このタスクは承認されたものです」と伝えただけで回避された。
シマンテックのディック・オブライエンは「私たちは、AIエージェントの登場によって、AIが支援する攻撃が本格的な脅威をもたらし始める瞬間が訪れると予測していました。私たちの目標は、最初のプロンプト以外にはまったく介入せずに、エージェントが攻撃を最初から最後まで実行できるかどうかを確かめることでした」と語った。
その数日後、Cato Networksは「イマーシブワールド(没入型世界)」攻撃と呼ぶ新手法を披露した。これは、マルウェア開発の経験がないセキュリティ研究者でも、LLMをいわゆる「jailbreak(脱獄)」して「Google Chrome 133向けの完全機能を備えた情報窃取ツール【略】ログイン情報、財務情報、個人を特定し得る情報(PII)などを盗むマルウェア」を作り出すことが可能になるという。
「イマーシブワールド」では、研究者とLLM間の会話を通じて、LLMが複数の登場人物を演じる架空の筋書きを構築する。通常なら禁止される行為も「物語の登場人物が正当な目的で行う」という設定にすることで情報窃取ツールが生成されるが、あくまで「架空世界」の出来事のため、不正行為としては検知されない。
この筋書きでは、マルウェアの適用が悪意のあるものとは見なされず、LLMの安全策を回避できる。Cato Networksはこれについて「LLMが別の文脈下で動作し、通常は制限される操作を実質的に正当化している」と説明し、「この手法の有効性を示すためにChrome向け情報窃取ツールを開発し、イマーシブワールドの技術が標準的なセキュリティ制御を回避できることを確認した」と述べている。
