AIは、サイバーセキュリティの守る側にも、攻める側にも影響を与えています。
企業はAIを使って、不審なログインを見つけたり、アラートを整理したり、マルウェアの兆候を調査したりしています。人手だけでは追いきれない量の情報を扱ううえで、AIはかなり有効な支援になります。
一方で、攻撃者もAIを使い始めています。
フィッシングメールを自然にする。マルウェアのコード作成を補助する。盗んだデータを整理する。攻撃対象に合わせた脅迫文を作る。こうした使い方が現実味を帯びてきました。
その流れの中で注目されているのが、AI駆動型ランサムウェア、いわゆる「Ransomware 3.0」です。
特にPromptLockは、AIがランサムウェアの一部工程を自動化・動的生成できる可能性を示した概念実証として注目されました。現時点では、PromptLockが実際の攻撃キャンペーンで広く使われたという話ではありません。そこは冷静に見る必要があります。
ただし、「まだPoCだから関係ない」と片付けるのは少し危険です。攻撃者がAIをどう使おうとしているのか、その方向性を示すサインとして見る価値があります。
TABLE OF CONTENTS
AI駆動型ランサムウェアとは何か
AI駆動型ランサムウェアとは、AIを使って攻撃の判断、スクリプト生成、データ選別、身代金要求文の作成などを補助するランサムウェアの考え方です。
従来のランサムウェアは、基本的に事前に書かれたプログラムに従って動きます。侵入後にファイルを探し、暗号化し、身代金要求文を表示する。攻撃者が手作業で標的を選び、盗んだデータを確認し、支払いを迫る流れが一般的でした。
AI駆動型ランサムウェアでは、この一部が変わります。
マルウェアが感染先の環境を確認し、その場で必要なスクリプトを生成したり、価値の高そうなファイルを選んだり、企業ごとに合わせた要求文を作ったりする可能性があります。
簡単に言えば、従来型ランサムウェアは「決められた手順に従うプログラム」に近いものでした。AI駆動型ランサムウェアは、「攻撃者の横にAIアシスタントがいる状態」に近づいていきます。
PromptLockが注目された理由
PromptLockが注目されたのは、ランサムウェアがLLMを使って攻撃工程の一部を動的に生成する可能性を示したためです。
ESETの報告では、PromptLockはOllama APIを通じてローカルで利用されるAIモデルにアクセスし、実行中にLuaスクリプトを生成する仕組みを持つとされています。生成されたスクリプトは、ファイルの列挙、データの確認、情報の持ち出し、暗号化などに使われる可能性があります。
Splunkの分析でも、PromptLockのPoCがOllama APIへプロンプトを送り、Luaコードの生成や検証を行う挙動が説明されています。観測されたタスクには、システム情報の収集、ファイルの収集、ファイルアップロード、削除処理、コード検証などが含まれていました。
ここで重要なのは、悪意ある動作のすべてが事前に固定されたコードとして入っているわけではない点です。
一部の挙動が実行時に生成されると、攻撃ごとに少しずつ違う振る舞いになる可能性があります。これは、防御側にとって検知や解析を難しくする要素になります。
PromptLockは実攻撃ではなく、警告サインとして見るべき
PromptLockについては、過度に恐怖を煽るべきではありません。
ESETも、PromptLockは実際の攻撃で確認されたランサムウェアというより、概念実証または開発途中の段階と見られると説明しています。
つまり、PromptLockを見て「すでに世界中でAIランサムウェアが自律的に暴れている」と考えるのは正確ではありません。
ただし、無視してよい話でもありません。
攻撃者は、AIを使って攻撃工程を短縮し、検知を難しくし、より個別化された脅迫を作る方向へ進む可能性があります。PromptLockは、その未来を少し早く見せたサンプルと考えるのが現実的です。
従来型ランサムウェアとの違い
従来型ランサムウェアも、十分に深刻です。ファイルを暗号化し、事業を止め、データ漏えいの圧力をかける攻撃だからです。
AI駆動型ランサムウェアでは、そこに「判断」「適応」「個別化」が加わる可能性があります。
| 比較項目 | 従来型ランサムウェア | AI駆動型ランサムウェア |
|---|---|---|
| コードの挙動 | 事前に書かれた処理が中心 | 実行時にスクリプトを生成する可能性がある |
| 標的データの選別 | 広範囲に暗号化、または攻撃者が手動で選別 | AIがファイル名や内容から価値を推測する可能性がある |
| 身代金要求文 | テンプレート的な文面が多い | 企業や盗難データに合わせた文面を作りやすい |
| 攻撃者に必要な技術力 | 一定以上の専門知識が必要 | AIの補助で一部の技術ハードルが下がる |
| 検知 | 既知のパターンで検知できる場合がある | 挙動が変化し、シグネチャだけでは追いにくくなる可能性がある |
| 拡張性 | 攻撃者の作業量に左右される | 調査や文面作成の自動化で規模を広げやすい |
| 心理的圧力 | 暗号化と情報公開の脅しが中心 | 盗難データの内容に応じた個別化された圧力をかけやすい |
大きな違いは、攻撃がより「環境に合わせて変わる」可能性があることです。
2026年が転換点になる理由
2026年に入って、AIは単なるフィッシング文面作成ツールではなくなりつつあります。
Google Threat Intelligence Groupは、2025年にLLMを実行中に利用し、マルウェアの挙動を動的に変えるコードファミリーを確認したと報告しています。AIを使ってコードを難読化したり、悪意ある機能をその場で生成したりする方向性が見え始めています。
これは、サイバー犯罪の運用モデルが変わる可能性を示しています。
攻撃者にとって、AIは人間の攻撃者を完全に置き換えるものではありません。しかし、偵察、コード作成、文面作成、データ分析、恐喝の準備を速くするには十分な道具です。
守る側は、「AIがすべてを自動で攻撃するかどうか」だけを見るのではなく、「攻撃者の作業がどれだけ短縮されるか」を見る必要があります。
AIがランサムウェアを危険にする5つの要素
1. 偵察が速くなる
ランサムウェア攻撃では、被害を最大化するために、攻撃者は環境を把握しようとします。
どのサーバーが重要か。どこに共有フォルダがあるか。バックアップはどこか。顧客情報や財務資料はどこにあるか。こうした情報を探す工程があります。
AIは、この確認作業を速くする可能性があります。
ディレクトリ構成を要約し、ファイル名から用途を推測し、重要そうなデータを分類する。こうした作業が自動化されると、攻撃者は短時間で圧力をかけやすい情報に近づけます。
2. 盗むべきデータを選びやすくなる
近年のランサムウェアは、暗号化だけではありません。データを盗んだうえで、公開をちらつかせる二重恐喝が多く見られます。
AIが加わると、盗んだデータの中から、企業にとって痛い情報を見つけやすくなります。
- 顧客データベース
- 契約書
- 財務資料
- 給与・人事情報
- 知的財産に関わる資料
- APIキーやトークン
- 機密性の高いメール
単に大量のファイルを盗むだけでなく、どのデータが交渉材料になるかを攻撃者が理解しやすくなることが問題です。
3. 身代金要求文が個別化される
ランサムウェアは、技術的な攻撃であると同時に、心理的な圧力をかける攻撃でもあります。
従来の要求文は、「ファイルを暗号化した。支払えば復号する」というテンプレートに近いものも多くありました。
AIを使うと、要求文がより企業ごとに合わせられる可能性があります。
- 盗んだ契約書や顧客名に触れる
- 監査、上場、取引先対応などの事情を示す
- 業界特有の規制や信用リスクを突く
- 経営層や担当部署に合わせた文面にする
- 日本語として自然な脅迫文を作る
こうした文面は、被害企業にとってかなり重く感じられます。攻撃者が自社の事情を理解しているように見えるからです。
4. 挙動が固定されにくくなる
従来のマルウェアは、コードを解析し、特徴的な文字列や挙動を特定し、検知ルールを作ることができました。
もちろん、攻撃者側も難読化や回避技術を使ってきましたが、それでも既知のパターンに基づく検知は有効な場面が多くあります。
AI駆動型マルウェアでは、一部のスクリプトが実行時に生成される可能性があります。
攻撃ごとに少しずつ違うスクリプトが使われると、固定的なシグネチャだけでは追いにくくなります。
そのため、今後はファイル単体の検知だけでなく、次のような振る舞いを見る必要が強まります。
- 短時間で大量のファイルを列挙・読み取りする動き
- 通常使われないスクリプトエンジンの実行
- AIフレームワークやローカルLLM APIへの不審なアクセス
- 暗号化前後の大量ファイル変更
- 外部への不自然なデータ送信
- バックアップ削除やログ削除の試行
5. 攻撃に参加できる人が増える
AIの影響で見落としやすいのが、攻撃者の裾野が広がることです。
高度なランサムウェアグループだけが脅威なのではありません。AIを使えば、経験の浅い攻撃者でも、コードの作成、エラーの修正、フィッシング文面の作成、盗難データの整理を補助してもらえます。
AIが攻撃者を一瞬で熟練者にするわけではありません。
ただし、これまで技術的に届かなかった人が、攻撃を試せる位置まで近づいてしまう可能性はあります。これは企業側にとって、攻撃の数が増えるという意味で大きな問題です。
AI駆動型ランサムウェアを受けると何が起きるのか
AI駆動型ランサムウェアを想定すると、攻撃の流れは従来よりも精密になる可能性があります。
まず、攻撃者はフィッシング、盗まれた認証情報、未修正の脆弱性、リモートアクセス機器、ソフトウェアサプライチェーンなどから侵入を試みます。
侵入後、AIを使ったツールが環境を調べ、重要そうなファイル、データベース、バックアップ、認証情報、業務上の中核システムを探します。
そのうえで、重要データを持ち出し、暗号化し、企業ごとに合わせた身代金要求文を作る可能性があります。
企業側には、次のような影響が出ます。
- 業務システムの停止
- 顧客データの流出
- 契約書や機密文書の公開リスク
- 売上機会の損失
- 法務・監督官庁・個人情報保護対応
- 取引先や顧客への説明対応
- 復旧費用や調査費用の増加
- 長期的な信用低下
従来のランサムウェアが「ファイルを暗号化して止める攻撃」だとすれば、AI駆動型ランサムウェアは「企業の中身を理解したうえで圧力をかける攻撃」に近づきます。
従来型の防御だけでは足りない理由
多くの企業は、これまで次のような前提でセキュリティ対策を組んできました。
- マルウェアはマルウェアらしい挙動をする
- フィッシングメールには不自然な点がある
- ランサムウェアは既知のパターンで検知できる
- 脆弱性は公開後に順番に修正すればよい
- 検知ツールがあれば初動で止められる
AIは、この前提を少しずつ崩します。
フィッシング文面は自然になり、スクリプトは実行時に変化し、攻撃者は盗んだデータを短時間で理解し、企業ごとに合わせた圧力をかけるようになります。
だからといって、EDR、SIEM、メールセキュリティ、脆弱性診断、ログ監視が不要になるわけではありません。むしろ必要です。
ただし、それらを単体で入れて終わりではなく、予防、検知、封じ込め、復旧を組み合わせた多層防御が必要になります。
企業が2026年に見直すべき対策
1. まずIDを守る
ランサムウェアの入口として、盗まれた認証情報は今も非常に大きなリスクです。
AIでフィッシングが自然になるほど、パスワードだけに頼る運用は危険になります。
- 管理者アカウントに多要素認証を必須化する
- VPN、クラウド、メール、開発環境にもMFAを適用する
- 不要なアカウントを削除する
- 共有アカウントを減らす
- 特権アカウントの利用履歴を監査する
- 必要な時だけ権限を付与する運用に近づける
一つのパスワードが盗まれても、社内全体へ広がらない設計が重要です。
2. バックアップを攻撃者から守る
ランサムウェア対策でバックアップは重要です。ただし、バックアップがあれば安心とは言い切れません。
攻撃者がバックアップも削除・暗号化できる状態なら、復旧手段は失われます。
- オフラインまたはイミュータブルなバックアップを用意する
- バックアップ用アカウントを通常管理者と分離する
- 復旧テストを定期的に行う
- 重要システムごとに復旧優先順位を決める
- バックアップ削除や大量変更を監視する
「取得しているか」だけでなく、「消されないか」「戻せるか」まで確認することが大切です。
3. AIやスクリプトの不審な利用を監視する
PromptLock型の発想では、ローカルLLMやAI API、スクリプト生成、実行時コード生成が攻撃に使われる可能性があります。
そのため、今後はAI関連の利用状況も監視対象に入ってきます。
- OllamaなどローカルLLM環境の利用状況
- 想定外のAI APIアクセス
- PowerShell、Python、Luaなどの不審な実行
- 短時間で大量のファイルへアクセスする動き
- 通常と異なる暗号化・圧縮・削除処理
- 外部への不審なファイル送信
AI利用そのものを悪と見る必要はありません。ただ、業務上想定していないAIツールやスクリプト実行は、可視化しておく必要があります。
4. AI生成フィッシングを前提に訓練する
従来のフィッシング訓練では、「不自然な日本語」「怪しいリンク」「知らない差出人」を見分ける内容が中心になりがちでした。
AI時代には、それだけでは足りません。
自然な日本語で、実在する取引先や社内業務に見えるメールが届く前提で訓練する必要があります。
- 請求書確認を装うメール
- 契約書確認を装うメール
- 社内ポータルの再認証を装うメール
- クラウドサービスの通知を装うメール
- 上司や役員からの緊急依頼を装うメール
従業員に「必ず見抜いてください」と求めるだけでは限界があります。迷ったときに確認できる手順、報告しやすい窓口、認証情報を盗まれても広がりにくい設計を合わせて整えるべきです。
5. ソフトウェアサプライチェーンを守る
ランサムウェアの入口は、メールやVPNだけではありません。
汚染されたパッケージ、侵害された開発者アカウント、CI/CDのシークレット、公開鍵やトークンの漏えいなど、開発環境が入口になることもあります。
- 依存パッケージを棚卸しする
- 不要な依存関係を削除する
- パッケージの取得元を制限する
- CI/CDのトークン権限を最小化する
- 長期間有効なシークレットを減らす
- ビルド環境のログと操作履歴を確認できるようにする
- SBOMを活用し、利用部品を把握する
開発フローは、攻撃者にとっても魅力的な経路です。信頼している開発プロセスの中に攻撃が紛れ込む可能性を考える必要があります。
6. インシデント対応計画を机上で終わらせない
ランサムウェア対応は、発生してから考えると遅れます。
誰が初動判断をするのか。どのシステムを止めるのか。外部への連絡は誰が行うのか。バックアップからどの順番で戻すのか。顧客や取引先にはいつ、何を伝えるのか。
こうした流れは、平時に決めておく必要があります。
- 初動対応の責任者を決める
- 連絡網を整備する
- 法務・広報・経営層の関与タイミングを決める
- バックアップ復旧手順を試す
- 外部専門家や警察・関係機関への相談先を整理する
- 机上演習を定期的に行う
AI駆動型の攻撃では、攻撃側の展開が速くなる可能性があります。初動の数時間が、被害範囲を大きく左右します。
AIは防御ツールであり、攻撃ツールでもある
AIはセキュリティを強くするために使えます。
ログを要約し、アラートを整理し、攻撃兆候を見つけ、対応方針を考える支援ができます。人手不足の現場にとって、AIは非常に心強い存在です。
ただし、攻撃者も同じ技術を使います。
コードを生成する。スクリプトを修正する。盗んだデータを分析する。企業ごとに脅迫文を作る。マルウェアの挙動を変える。こうした使い方は、防御側にとって前提にしておくべきものです。
「AIを導入しているから安心」ではなく、「攻撃者がAIを使った場合、自社はどこから崩れるか」を見ておく必要があります。
攻撃が賢くなるなら、守りは構造で強くする
PromptLockやRansomware 3.0は、ランサムウェアがどこへ向かうのかを考えるうえで重要なサインです。
PromptLock自体は、実攻撃で広く使われたランサムウェアではなく、概念実証に近いものとされています。そこは過大評価しない方がよいです。
ただ、AIによってランサムウェアの偵察、データ選別、スクリプト生成、身代金要求文の個別化が進む可能性は、現実的に見ておくべきです。
今後のランサムウェアは、単にファイルを暗号化するだけではなく、企業の重要データを理解し、心理的な圧力を高め、検知をすり抜ける方向へ進むかもしれません。
守る側ができることは、攻撃者より常に速く走り続けることだけではありません。IDを強くする。バックアップを守る。権限を絞る。外部公開資産を把握する。開発環境を守る。AIやスクリプトの不審な利用を見える化する。初動対応を訓練する。
一つひとつは地味ですが、攻撃者が入りにくく、広がりにくく、圧力をかけにくい環境を作ることにつながります。
AI時代のランサムウェア対策は、AIツールを入れるだけでは足りません。攻撃者もAIを使う前提で、自社の守りを一度見直すことが大切です。
投稿者プロフィール
-
Offensive Security Engineer
15年以上の実績を持つ国際的なホワイトハッカーで、日本を拠点に活動しています。「レッドチーム」分野に精通し、脆弱性診断や模擬攻撃の設計を多数手がけてきました。現在はCyberCrewの主要メンバーとして、サイバー攻撃の対応やセキュリティ教育を通じ、企業の安全なIT環境構築を支援しています。
主な保有資格:
● Certified Red Team Specialist(CyberWarFare Labs / EC-Council)
● CEH Master(EC-Council)
● OffSec Penetration Tester(Offensive Security)
