ESETの研究者は、「初のAI駆動型ランサムウェア」とされるマルウェアを発見しました。ESETが「PromptLock」と命名したこのマルウェアは、データの窃取、暗号化、さらには破壊まで可能な機能を備えているとされています。ただし、現時点では破壊機能は実装されていないようです。

PromptLockは、実際の攻撃で確認されたものではなく、概念実証（PoC）または開発途中の段階にあると考えられています。しかし、今回のESETの発見は、一般に利用可能なAIツールの悪用がランサムウェアやその他のサイバー脅威を強化する可能性を示しています。

このマルウェアを発見したESETの研究者2名のうちの一人で、シニアマルウェアリサーチャーを務めるAnton Cherepanovは、「PromptLockは、OpenAIのgpt-oss-20bモデルをOllama API経由でローカルで使用し、悪意のあるLuaスクリプトをリアルタイムで生成・実行します。これらのLuaスクリプトは、ローカルファイルシステムの列挙、対象ファイルの検査、選択されたデータの窃取、暗号化を行います」と指摘しています。

さらに、「PromptLockはGolangで記述されており、Windows版とLinux版の両方がVirusTotalにアップロードされていることを確認しました」とAntonは述べています。Golangはクロスプラットフォーム対応の汎用性の高いプログラミング言語で、近年ではマルウェア開発者の間でも人気が高まっています。

AIモデルの登場により、説得力のあるフィッシングメッセージや、ディープフェイクの画像、音声、動画の作成も非常に簡単になりました。ツールの入手が容易になったことで、専門的な知識や技術力が低い攻撃者でも、高度な攻撃を実行できるようになっています。

一方、ランサムウェアの脅威は、長年にわたり多くの組織のサイバーセキュリティ対応力を試してきました。最近では、APTグループによるランサムウェアの使用も増加しています。AIはすでにさまざまな脅威アクターに利用されており、今後はランサムウェア攻撃の頻度と被害の深刻化を加速させることが予想されます。

PromptLockがどのような目的で作られたにせよ、その発見は、AIツールの悪用によって、偵察からデータ窃取までのランサムウェア攻撃の各段階を自動化し、これまで不可能と思われていたスピードと規模で実行できる可能性を示しています。環境に応じて柔軟に戦術を変えるAI駆動型マルウェアの登場は、サイバー攻撃の新たな時代の幕開けを意味するかもしれません。

最新のランサムウェア動向や脅威の全体像については、ESET脅威レポート2025年上半期版をご覧ください。
また、AI時代におけるサイバーセキュリティのリスクと可能性を考察したESETのホワイトペーパー（英語のみ）もぜひご一読ください。