2023年6月に登場した WormGPT は、サイバー犯罪のエコシステムにパラダイムシフトをもたらした。生成 AI は攻撃の参入障壁を下げ、AI ベースハッキングツールはサブスクリプション型サービスと無料オープンソースの形で急速に普及している。さらに AI は、単純な攻撃ツールの作成にとどまらず、攻撃作戦全体を運用する段階へと進化しており、マルウェア自体に AI を組み込んでリアルタイムで変形する新たな脅威も現実のものとなっている。
本稿では、AI ベースハッキングツールの流通エコシステム、実際の攻撃インフラおよびマルウェアへの統合事例、オープンソース AI の普及がもたらす構造的脅威と防御戦略について総合的に分析する。
AI ベースハッキングツールの拡散と流通
生成 AI の普及以降、攻撃者はフィッシング文の作成、マルウェアの生成、偵察の自動化など、攻撃プロセスの複数の段階で AI を活用するようになった。当初は個別ツールや実験的な試みに近いものであったが、最近ではサブスクリプション型サービスとオープンソースツールが同時に普及し、サイバー犯罪エコシステムの主要インフラとして定着しつつある。
AI ベースハッキングツールの登場タイムライン
2023年の WormGPT 登場を皮切りに、AI ベースハッキングツールはわずか数年で数十種類にまで増加し、現在はサイバー犯罪エコシステムの主要構成要素となっている。
| 時期 | ツール名/マルウェア | 主な特徴 |
|---|---|---|
| 2022.11 | ChatGPT | OpenAI が ChatGPT をリリースし、大規模言語モデルの一般普及が始まる |
| 2023.06 | WormGPT | GPT-J 6B ファインチューニングベースの初の商用悪性 LLM |
| FraudGPT | サイバー犯罪フォーラムへの初の広告掲載、フィッシング・詐欺文書の自動化に特化 | |
| 2023.08 | WormGPT 終了 | 報道後、開発者が自主的にサービスを終了 |
| Evil-GPT | WormGPT 終了の翌日、同じフォーラムに代替ツールとして登場 | |
| 2023年下半期 | WolfGPT、EscapeGPT LoopGPT、DarkGPT |
WormGPT の知名度に便乗した模倣ツールが多数登場 |
| 2024年上半期 | GhostGPT、MalwareGPT | マルウェア開発に特化したツールとして登場 |
| SpamGPT、SpamirMailer Bot | スパム・フィッシングキャンペーンの大量自動化を支援するツール | |
| 2024年下半期 | EvilAI テレグラムボット | 機能ごとに10~60ドルで販売され、その後 Web サービスへ展開 |
| 2025.04 | Xanthorox | サイバー攻撃およびプライバシー侵害活動を支援するツール |
| 2025.07 | KawaiiGPT GitHub 公開配布 | 無料オープンソースとして GitHub で公開、Termux サポートによりスマートフォンでも動作可能 |
| 2025.09 | HexStrike AI BruteForce AI |
オープンソース AI ベースの攻撃フレームワークおよび認証情報攻撃ツール 自動偵察・ブルートフォース AI ツール (レッドチームツールが悪用される) |
| 2025.09 | WormGPT (SaaS) | WormGPT 模倣ツールがSaaS 形態で再登場 |
| 2025年下半期 | Promptflux、Promptsteal、 Honestcue | AI 機能を組み込んだ自己変形型マルウェアの初期事例として観測 |
| 2026.02 | WormGPT ユーザー DB 流出 | 約1万9,000件のメールアドレスおよび決済情報が流出し、購入者自身も被害者となる |
| 2026.04 | Bissa Scanner | Claude Code を利用した AI ベースの攻撃オペレーションで使用され、約6万5,000件の認証情報が窃取される |
| 2026.05 | Promptspy (Android) | Gemini API を活用した自律型攻撃オーケストレーション機能を持つ Android マルウェア |
[表 1] AI ベースハッキングツール/マルウェアの登場タイムライン
上記タイムラインで特に注目すべき点は、WormGPT 終了の翌日に同じフォーラムで Evil-GPT が即座に登場したことである。これは、AI ハッキングツールのエコシステムが特定ツールの終了や捜査機関の介入があっても容易には消滅せず、強靭な回復力を持つ類似ツールによって迅速に代替されうることを示している。
流通エコシステムの複合的な構造
AI ハッキングツールは主にサブスクリプション型 (SaaS) と、オープンソース無料配布の2形態で流通している。配布方式は異なるが、多くのツールは独自開発モデルではなく、合法的な商用 AI API を活用するか、コンテンツフィルタリングが除去されたアンセンサード (無検閲) オープンソースモデルを基盤としている。
| タイプ | 代表事例 | 主な特徴 | セキュリティへの影響 |
|---|---|---|---|
| サブスクリプション型 | WormGPT、 FraudGPT、 Evil-GPT |
ダークウェブ・ハッキングフォーラム・テレグラム・Web サイトを通じて月間・年間・永続利用権の形態で販売。検閲なし AI 機能、フィッシング・マルウェア開発・攻撃自動化機能を広告 | 悪意ある AI ツールが一般 SaaS と同様の価格体系と流通構造を持つ形で商業化されている |
| オープンソース無料配布型 | KawaiiGPT | GitHub で無料公開されており、複製・改変が容易。Termux サポートによりスマートフォンでも実行可能 | 捜査圧力や運用リスクがあってもツールが消滅せず、オープンソースエコシステムを通じて急速に拡散しうる |
| アンセンサードモデルおよびローカル実行環境の悪用 | WhiteRabbitNeo、 Llama 2 Uncensored、 Dolphin シリーズ、 Wizard-Vicuna Uncensored |
Hugging Face、Ollama などを通じて安全機能が弱体化したモデルをローカルで実行でき、追跡・制御が困難 | ダークウェブや有料サービスに依存せずに悪用できる環境が形成され、AI 攻撃ツールの参入障壁がさらに低下している |
[表 2] AI ハッキングツールの流通形態別事例と特徴
[図 1] WormGPT の宣伝とサブスクリプション価格広告
[図 2] KawaiiGPT オープンソース公開配布
アンダーグラウンドエコシステムの構造的変化と影響
アンダーグラウンド AI ツールの機能は、ディープフェイク・画像生成、マルウェア開発、フィッシング自動化、偵察・調査、コード生成、脆弱性エクスプロイトの6領域に分類され、一般 SaaS サービスと同様のビジネス構造を採用して運営されている。無料トライアル、サブスクリプション階層、プレミアム機能、テレグラムカスタマーサポート、7日間返金保証ポリシーといった運営形態が定着しつつある。これにより、スクリプトキディ(Script Kiddie) に強力な非対称的優位性を提供し、サイバー脅威全体のレベルを引き上げている。
AI ツールがハッキング攻撃の参入障壁を大幅に下げたことは事実であるが、これを非専門家が高度な攻撃を容易に完遂できるようになったと解釈すべきではない。より正確には、非専門家がフィッシング文の作成や初歩的なマルウェアスクリプトの生成など、攻撃の特定段階において高度な専門知識を必要としなくなった、という意味に近い。実際のフィッシングキャンペーンの運営やマルウェアの配布には、依然として C2 インフラの構築や検知回避など、AI だけでは解決困難な要素が残っている。
とはいえ、こうした限界が AI ベース脅威のレベルが低いことを意味するわけではない。AI は攻撃プロセス全体を単独で完結させるツールではなく、攻撃の準備と実行プロセスの一部を自動化・効率化することで脅威アクターの能力を補完している。最近の事例では、この変化がフィッシング文の作成やコード生成といった補助的な役割を超え、実際の攻撃フローに影響を与える段階へと拡大している。
AI ベース攻撃ツールの実際の活用事例
AI ベースのハッキングツールは、単に流通する商品にとどまらず、実際の攻撃作戦の一部として使われ始めている。最近の事例は、AI が偵察、脆弱性の悪用、認証情報の選別、マルウェアの変形、インフラ運用まで、攻撃フロー全体に関与していることを示している。
AI 攻撃オーケストレーションの事例:Bissa Scanner
最近、AI がハッキング攻撃の単純な補助手段を超え、攻撃フロー全体を調整 (オーケストレーション) する段階へと拡張されていることを示す事例が確認された。Bissa Scanner の事例では、脅威アクターが Claude Code と OpenClaw を組み合わせて攻撃オーケストレーションツールとして運用し、Next.js フレームワークの脆弱性 (CVE-2025-55182) を悪用した大規模スキャニングを自動化した。これは、AI が攻撃コードの生成にとどまらず、攻撃自動化パイプラインの構築と実行プロセスに直接活用されうることを示している。
窃取されたデータは、Anthropic、OpenAI、Google、AWS、Stripe、PayPal など AI プラットフォーム・クラウド・決済・データベースなどの認証情報ファイルであり、被害を受けた企業には税務・金融アドバイザリー、デジタル資産決済、給与・HR プラットフォームなどが含まれていた。AI が窃取したデータの中から金融・暗号資産関連の高付加価値情報をリアルタイムで選別するトリアージ (重要度に基づく選別) の役割を担い、攻撃効率を最大化した。脅威アクターはテレグラムボットを通じてリアルタイムで侵害結果を受け取り、実質的に AI が補助するサイバー犯罪運営体制を構築した。
AI 内蔵型マルウェアの進化
最近では、AI をマルウェア内部機能に活用してコードの変形・難読化・実行判断を自動化しようとする事例も確認されている。このような手法は既存のシグネチャベース検知を無力化し、静的分析だけでは悪意の有無を判断しにくくする。以下は最近観測された AI 内蔵型マルウェアの主な事例である。
- Promptflux: Gemini API を呼び出して自らのソースコードを定期的に書き換え、静的シグネチャベースの検知を回避する自己変形型ドロッパー。
- Honestcue:Gemini API を通じて VBScript 難読化技術をリアルタイムでリクエストし、検知を回避する just-in-time型自己修正マルウェア。
- Canfail – Longstream:ロシア連携アクターがウクライナを標的に使用したマルウェアであり、LLM が生成した数万行のデコイコードで悪意ある動作を隠蔽するのが特徴。特にシステムの夏時間 (DST) 状態を照会するロジックを32回繰り返し挿入することで、コード全体が正常なシステム動作のように見えるよう設計されており、分析・検知を困難にしている。
- Promptspy:Android バックドアであり Gemini API を通じてデバイスの UI 構造を自動分析し、物理的なジェスチャー (クリック・スワイプ) をシミュレートすることでユーザーインターフェースを自律的に操作する。特に被害者がアプリを削除しようとした際に「削除」ボタン上に透明なオーバーレイを重ねてタッチイベントを横取りし、削除を妨害する機能も含まれている。
国家支援型脅威アクター (APT) の AI 活用とゼロデイの武器化
最近の事例は、国家支援型脅威アクターも AI を脆弱性分析、エクスプロイト検証、攻撃インフラ開発に活用していることを示している。
- 2026年5月、AI を活用して開発された可能性が高いゼロデイ脆弱性エクスプロイトの最初の事例が確認された。当該エクスプロイトは、広く使われているオープンソースの Web ベースシステム管理ツールの2段階認証 (2FA) を回避する Python スクリプトであり、教育的な docstring、ハルシネーションによる CVSS スコア、整然とした Pythonic なコード構造など、LLM の学習データに典型的な特徴が含まれていた。
- 中国連携の脅威アクターは、専門家ペルソナベースのジェイルブレイク手法と「wooyun-legacy」プロジェクトを活用した。同プロジェクトは8万5千件以上の実際の脆弱性事例を基にした Claude Code スキルプラグインであり、モデルが熟練した専門家のようにコードを分析しロジックの欠陥を特定できるよう、インコンテキスト学習をサポートする。
- 北朝鮮連携の APT45 は、数千回に及ぶ反復プロンプティングによって CVE 分析と攻撃コード検証を自動化し、エクスプロイト検証能力を大規模に拡張したことが観測されている。
- 中国の APT27 は、Gemini を活用して ORB (Operational Relay Box) ネットワーク管理アプリケーションの開発を加速させたことが確認されている。ORB ネットワークは攻撃の実際の発信源を隠すための匿名化インフラであり、AI は関連する管理アプリケーションの開発速度を高めるために活用されたとみられる。
AI ベース攻撃の構造的変化と対応戦略
AI ハッキングツールのエコシステムは、もはや実験的な段階にとどまっていない。有料 SaaS、オープンソース配布、アンセンサードモデルのローカル実行環境を基盤に拡散し、攻撃者のコストと時間を削減する犯罪インフラへと進化している。自社のモニタリング結果においても、AI ベース攻撃ツールへの関心と活用は、ここ数年で継続的に増加する傾向が確認されている。この変化は攻撃者と防御者の間の構造的非対称性を拡大しており、高性能 AI が制御の外で運用される環境は、既存の防御体制の限界をより鮮明にしている。そのため、対応戦略も特定の悪意あるツールの遮断にとどまらず、AI ベースの能動的防御、アイデンティティセキュリティ、AI ガバナンス、サプライチェーンセキュリティを合わせて強化する方向へ転換する必要がある。
AI ベース攻撃の構造的非対称性
AI ベース攻撃は、攻撃者と防御者の間の構造的非対称性を拡大する。攻撃者は AI を活用して、カスタマイズされたフィッシングメールの作成、悪意あるスクリプトの生成、脆弱性分析結果の生成を簡単かつ迅速に、そして繰り返し実行できる。一方、防御者は各攻撃試行に対して検知・検証・遮断・対応・ポリシー改善まで実施しなければならない。AI 技術が攻撃者にはスケーラビリティと自動化を提供する一方、防御者には対処すべきイベントの量と複雑性を増大させる構造である。
このギャップは運用速度においても顕著に現れる。攻撃者は高性能 AI を活用して、脆弱性の探索、エクスプロイト案の生成、攻撃手順の自動化にかかる時間を大幅に短縮できる。一方、防御者はパッチ一つを適用する際にも、影響範囲の分析、テスト環境での検証、運用スケジュールの調整といったプロセスを経なければならない。
脅威の進化の方向性にも注目が必要だ。AI ベースの脅威は、単純に攻撃ツールを生成する段階を超え、Bissa Scanner の事例のように攻撃を運用し、Promptflux・Promptsteal・Promptspy のようにマルウェア自体が AI 機能を活用してリアルタイムの判断と自己変形を行う形へ急速に変化している。これは AI が攻撃の核心的な構成要素となったことを示している。
制御を逸脱した高性能 AI の悪用可能性
現在、セキュリティ業界の関心は最新のフロンティア AI セキュリティモデルの登場に集中している。フロンティアモデルの悪用可能性も重要であるが、より根本的な脅威は、こうした高性能 AI モデルが最終的に提供者の制御範囲を超え、攻撃者に直接活用されうるという点である。
現在、オープンソース AI モデルは最新の高性能モデルの性能水準に急速に近づいている。このペースでオープンソース AI モデルが普及するならば、攻撃者は1年以内に安全機能・利用規約・モニタリング体制が適用されない最新性能に匹敵する AI モデルを自前のハードウェアで直接運用できるようになると予測される。結局、提供者の制約なしに高性能 AI を自社インフラで運用する攻撃者の出現こそが、現時点で最も警戒すべき脅威の本質である。
核心的な対応戦略
AI ベースの脅威は、単一のセキュリティソリューションや特定ツールの遮断だけでは対応しにくい。攻撃者が AI を活用して攻撃の準備と実行プロセスを自動化する以上、防御者も検知・対応、認証、ガバナンス、サプライチェーンセキュリティを AI 脅威環境に合わせて刷新しなければならない。これにより、以下の4つの領域を中心に対応戦略を構築する必要がある。
1. AI エージェントベースの能動的防御体制の構築
AI エージェントを活用してマルウェアの変形や検知回避を自動化する攻撃手法が増加する中、シグネチャベースの検知のように既知のパターンを探す静的な防御体制は限界に直面している。これに対応するため、防御者も同等水準の AI エージェントを活用する必要がある。AI エージェントを通じて攻撃が可能な経路を先制的に把握し、各経路別のリスクを評価して、最小限の施策で最大限の攻撃対象領域を排除するなど、セキュリティパイプラインを自動化すべきである。さらに AI エージェントを SOC (セキュリティオペレーションセンター) 業務に統合し、初期脅威評価とコンテキスト収集を自動化することで、人間のアナリストが複雑な判断が必要な領域に集中できる構造への転換が鍵となる。結局、AI で AI を防ぐ能動的防御パラダイムへ移行しなければ、攻撃者のスピードとコスト競争において構造的に後れを取ることになる。
2. 強化された MFA (多要素認証) の導入
AI の攻撃に対応するためには、AI が回避しにくいハードウェアベースの認証とコンテキスト認識型認証体制へ高度化する必要がある。AI が 2FA の欠陥を特定して回避する事例が実際に観測され、Promptspy のようにデバイスの UI を自律的に操作して生体認証さえも回避する段階まで脅威が進化した以上、MFA の導入にとどまらず、認証体制全体を AI エージェントで継続的に監査し、異常の兆候をリアルタイムで検知するアイデンティティ中心のセキュリティ (Identity-Centric Security) 構造へ転換しなければならない。
3. 特定ツールの遮断を超えた AI ガバナンス体制の確立
組織は社内ネットワークで Ollama のようなローカル AI フレームワークや未認可のアンセンサードモデルが稼働していないかを識別し、これをポリシーで制御できる体制を整える必要がある。現在は安全と評価されているオープンソースモデルも将来的に攻撃に活用される可能性を考慮すれば、対応の焦点は特定ツールの遮断にとどまらず、AI モデルの使用全般に対する可視性の確保とガバナンス体制の整備を先行させる必要がある。
AI ガバナンスの範囲は内部使用の制御だけにとどまらない。組織が導入した AI システム自体が今や攻撃の標的となっている。プロンプトインジェクション (Prompt Injection) やデータポイズニング (Data Poisoning) 攻撃は AI モデルの判断を汚染したり、非認可の動作を引き起こしたりする可能性があり、データ流出・権限の奪取・評判の毀損につながりうる。このため、AI システムは一般的なソフトウェアではなく高権限インフラとして扱わなければならず、コンテナ分離、OAuth ベースのアクセス制御、入出力検証体制を組み合わせた多層防御構造を適用すべきである。
4. サプライチェーンおよび AI インフラのセキュリティ検討
AI プラットフォームの API キーと認証情報は主要な窃取対象として浮上している。AI サービスアクセスキーは単純なアカウント情報ではなく、攻撃者がさらなる攻撃に活用できる高価値インフラ資産として分類・管理すべきである。また、AI 生成コードがオープンソースライブラリやソフトウェアサプライチェーンに広く流入している以上、別途のセキュリティ検証プロセスも必要である。コードの出所が人間であれ AI であれ同等水準の検証を適用することを原則としつつ、AI 生成コードに現れうる存在しない依存パッケージや誤って生成された依存パッケージ、過度に広範な権限要求なども追加で検討する必要がある。
おわりに
AI ベースのハッキングツールは、もはや個々の攻撃者の実験的なツールにとどまらない。サブスクリプション型サービス、オープンソース配布、アンセンサードモデルのローカル実行環境を通じて急速に普及し、サイバー犯罪エコシステムの主要インフラとして定着しつつある。特に一部の事例では、AI が攻撃の準備を補助する水準を超え、攻撃フローを調整し、窃取データを選別し、マルウェアの変形に関与する段階へと踏み込んでいる。
そのため、対応の焦点も特定の悪意ある AI ツールを識別・遮断することだけにとどまってはならない。組織は AI が攻撃者に提供する自動化とスケーラビリティを前提に、防御体制を刷新する必要がある。AI エージェントベースの能動的防御、強化された認証体制、AI モデル使用全般へのガバナンス、API キーと AI 生成コードに対するサプライチェーンセキュリティは、今後の AI 脅威環境における核心的な対応軸となるであろう。結局、AI ベースの攻撃に立ち向かう防御戦略は「AI を使うかどうか」の問題ではなく、AI をいかに制御可能かつ安全な形で運用できるかという問題へと転換されつつある。
本レポートの全文は、アンラボの脅威インテリジェンスプラットフォーム「AhnLab TIP」のサブスクリプションサービスを通じてご確認いただける。
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム 「AhnLab TIP」 サブスクリプションサービスを通して確認できる。
Categories: マルウェア, トレンド, フィッシング/スキャム, 脆弱性