AIワーム解説：適応型マルウェアの脅威

AIワームとは何か？

AIワームは、マルウェアの一種であり、大規模言語モデルやその自動化パイプラインを悪用するよう設計された自己増殖型のマルウェアです。このマルウェアは従来のウイルスとは異なり、実行ファイルをドロップするのではなく、自己複製するプロンプトをAIシステムの出力に注入し、すべての応答、要約、APIコールに感染を拡散させます。GenAIエコシステムを標的とした初のワームであるMorris IIの概念実証は、1通の悪意あるメールがアシスタントに機密メッセージを読み取り、盗み、複数のAIプラットフォーム間で再送信させることができることを示しました。ユーザーの操作は一切不要です。

チャットボットを駆動するLLM API、内部ナレッジベースを検索するリトリーバル拡張生成パイプライン、メールを処理するSaaSプラグイン、自律型AIエージェントによるタスクスケジューリングなど、すべてが拡散経路となります。一度侵入すると、脅威は共有エンベディングストアやAPIコールを介してモデル間を移動し、各コンテキストに合わせて自身のプロンプトを書き換え、シグネチャベースの防御を回避します。

これらの攻撃はゼロクリックで進行するため、通常の警告サインが現れない場合があります。AIインフラが拡大する中で、こうした脅威がどのようにシステム間を移動するかを理解することが重要です。

歴史的背景：Morrisワーム（1988年）からMorris II（2024年）へ

1988年、コーネル大学の大学院生ロバート・タッパン・モリスによってリリースされたオリジナルのMorrisワームは、初めてインターネット上で大きな注目を集めたワームとなりました。しばしば誤ってmorrisウイルスと呼ばれることもありますが、これはUnixシステム、特にsendmailやfingerサービスの脆弱性を悪用し、パスワード推測やバッファオーバーフローを利用してネットワークを介して拡散しました。本来はインターネットの規模を測定するための概念実証でしたが、攻撃的な自己複製ロジックにより数千台のシステムがクラッシュし、当時インターネット接続機器の約10%がダウンしました。

2024年には、コーネルテックとテクニオン研究所の研究者が、自身のGenAI概念実証に「Morris II」と名付け、オリジナルのワームに直接オマージュを捧げました。Morris IIはオペレーティングシステムの脆弱性を悪用するのではなく、新たなAIエージェントのインフラを標的としています。敵対的プロンプトによってメールアシスタントを乗っ取り、データを流出させ、ChatGPT、Gemini、LLaVAなど複数のプラットフォームで新たな被害者に感染メッセージを再送信することを実証しました。両ワームとも、その時代の最も革新的なテクノロジーネットワークを悪用し、イノベーションに追いついていない根本的なセキュリティ前提を露呈させた点で共通しています。

このように、ネットワークプロトコルの脆弱性から自然言語処理の悪用へと進化したことは、攻撃対象領域が技術の進歩とともにどのように変化するかを示しています。Morrisはコードの技術的脆弱性を標的としましたが、Morris IIはLLMの有用性を支えるセマンティックな理解を悪用し、基盤が異なっても自己複製の原理が通用することを証明しました。

AIワームがサイバーセキュリティに与える影響

AIワームは、サイバーセキュリティの戦術にリアルタイムで適応し、従来のシグネチャベースのソリューションによる防御を回避します。機械学習を用いてマルウェアを自己複製し、攻撃戦略を動的に適応させます。

その代表例が、GenAIサービスを悪用するために開発されたMorris II AIワームです。結果的に拡散し、データを窃取しました。

AIワームの主な影響は以下の通りです：

• AIワームはポリモーフィックおよびメタモーフィック技術を組み合わせて高度な回避を実現します。コードや挙動を絶えず変化させ、従来型アンチウイルスによる検出を回避します。
• ネットワークを高速でスキャンし、自動的にプロセスを悪用し、システムに対して高度に標的化された攻撃を実行できます。その精度と正確性は人間の能力を上回る場合があります。
• AIワームは、極めて個別化され説得力のあるメールやディープフェイク、その他の偽装コンテンツを作成し、被害者を騙して感染を拡大させます。また、敵対的な自己複製プロンプトを通じて、組織が利用する他のGenAIツールを操作し、システムを誤誘導または欺くことも可能です。
• AIワームは攻撃対象領域を拡大し、電力網、金融ネットワーク、内部プロセスなどの重要インフラを侵害する可能性があります。事業継続性やサプライチェーン運用にも悪影響を及ぼします。

AIワームの仕組み

AIワームは以下の主要なメカニズムで動作します：

• 敵対的自己複製プロンプト - これは、AIモデルを侵害し、悪意あるコードを生成させるための特別なプロンプトです。代表的なものにプロンプトポイズニング、ゼロクリック拡散、プロンプト複製があります。これらの悪意あるプロンプトは、アプリがリトリーバル拡張生成（RAG）技術を使用している場合、AIデータベースに保存されます。
• 回避と適応 - AIワームはネットワーク活動、システムリソース、セキュリティツールを分析できます。パターンを特定し、検出回避の戦術を学習します。さまざまな攻撃経路を試し、構造や挙動を継続的に変化させて新たなシグネチャを即座に生成します。
• 標的型ソーシャルエンジニアリング - ソーシャルエンジニアリングにおいて、AIワームはリアルな音声や映像のディープフェイクを作成し、個人になりすますことができます。また、複数の通信チャネルを同時に管理・調整して攻撃を実行できます。自動化されたスピアフィッシングも可能です。
• 自動化されたエクスプロイト - AIワームは脆弱性を迅速に発見・悪用し、新たなエクスプロイトを展開します。システム感染後は、自動ペイロード配信、データ流出、ランサムウェア展開、スパム拡散なども実行可能です。

AIワームの拡散方法

AIワームに対抗するには、従来の制御を回避し環境全体に拡散する4つのメカニズムを理解する必要があります。これらの拡散方法は、ファイル実行やネットワーク脆弱性に依存する従来型脅威とは異なります。

• 敵対的自己複製プロンプトインジェクションは、AIシステムにデータ流出と自己複製を強制し、すべての送信メッセージに感染をコピーさせます。コーネルテックの概念実証では、1つの細工されたプロンプトがメールアシスタントに受信トレイの内容を盗ませ、返信を解析するすべての大規模言語モデルでこのサイクルを繰り返させました。この単一ベクトルにより、AIアシスタントは生産性ツールから24時間稼働する自動データ流出エンジンへと変貌します。
• モデル間伝播は、共有API、ベクターデータベース、エンベディングストアを介して発生します。複数のエージェントが同じリトリーバル拡張生成ソースを利用する場合、1つのコレクションポイントに注入されたペイロードが即座に全体の問題となり、ナレッジベースが拡散ハブとなります。
• 外部ツールの悪用は、侵害されたLLMがシェルコマンド、SaaSプラグイン、サーバーレス関数を呼び出す際に発生します。各コールは敵対的指示を継承し、エンドポイントやクラウドサービスに直接アクセスできるため、秘密情報の収集、不正ワークロードの起動、ラテラルムーブメントが可能となります。AIのツールアクセスを制御するワームは、AIが触れるすべてのシステムを実質的に支配し、攻撃対象領域を指数関数的に拡大します。

• AI生成スピアフィッシングが感染サイクルを完結させます。公開・内部データを収集し、AI駆動マルウェアが極めて個別化された誘導メールを大量配信し、文面を反復してクリック率を最大化します。すべて自動化されているため、脅威はセキュリティチームがアラートを処理するよりも速く拡散します。

これらのメカニズムは、現代のワークフローを支える常時稼働のエージェント間通信を悪用し、AIワームにネットワーク脅威のリーチとロジックボムのステルス性を与えます。

ソーシャルエンジニアリングがAIワーム拡散を加速させる仕組み

フィッシングは既に効果的ですが、LLMがあなたの文体やカレンダー、最近のチケットを学習した上で生成するメール、音声メッセージ、ディープフェイクを想像してください。Morris IIの研究では、感染したエージェントがターゲットの好みを分析し、その場でトーンを調整し、各返信に新たな自己複製プロンプトを埋め込むことが示されました。

内容が人間的かつコンテキストに即しているため、静的シグネチャベースのフィルターはすり抜け、受信者も直感的に信頼してしまいます。脅威はその返信を利用して企業チャットボットやチケッティングアシスタント、CRM自動化に再侵入し、悪影響範囲を拡大します。悪意ある添付ファイルは一切不要です。

数秒で完璧な誘導文を作成し、機械の速度で配信し、ルールセットを変更した瞬間に攻撃手法を切り替える敵対者に直面しています。これは自社AIスタックによる大規模なソーシャルエンジニアリングです。この新たな脅威に対抗するには、AIワームが従来型ワームとどのように異なるか、拡散以外の側面も理解することが重要です。

主な特徴：AIワームと従来型ワームの比較

従来のネットワーク脅威に対処した経験がある方も、AI駆動型の亜種はリアルタイムで進化するため、リスクが高まります。新たな攻撃者は、自己複製マルウェアの能力とプロンプトエンジニアリング、生成AIの自動化を融合させ、適応力を持たせる可能性があります。

この表は、従来のパッチ＆スキャン手法がもはや十分でない理由を示しています。脅威が防御に応じて自身を書き換えられる場合、逸脱を監視し自律的に対応する行動AIが必要です。

予防策

AIワームが環境に侵入する前に阻止するには、インフラと人的要素の両面に対応した積極的なセキュリティ対策が必要です。予防策は複数の障壁を設け、攻撃者が突破しなければならない壁を増やし、攻撃対象領域を大幅に削減します。

1. 厳格なAPI認証とレート制限の実施

すべてのAPIアクセスに多要素認証を強制し、モデルクエリに厳しいレート制限を設定します。APIキーを特定のIPレンジやサービスに限定し、トークン消費パターンを監視して急激な使用増加を検知します。これらの制御により攻撃者の動きを遅らせ、セキュリティチームが介入する時間を確保できます。

2. 分割されたAI環境の維持

開発、ステージング、本番AIシステムを厳格なネットワーク境界で分離します。顧客向けチャットボットと内部ナレッジリポジトリ間の直接通信は許可しません。リスクレベルごとに別々のエンベディングストアを使用します。分割により、公開デモが自社のトレーニングデータや本番ワークフローに到達することを防ぎます。

3. 定期的なセキュリティ意識向上トレーニングの実施

従業員にAI生成フィッシングの見分け方を教育します。特に内部コミュニケーションの文体や最近の業務に言及するものに注意を促します。AI生成コンテンツを用いた模擬攻撃で対応プロトコルをテストし、脅威手法の進化に合わせて四半期ごとにトレーニングを更新します。人的警戒は、技術的制御を回避するソーシャルエンジニアリング攻撃に対する第一防衛線です。

4. 入力検証とコンテンツフィルタリングの導入

LLMに到達する前にすべてのプロンプトから特殊文字、システムコマンド、埋め込み指示を除去します。ツールコールを実行する前に、許可されたアクションのリストと照合して出力を検証します。システム指示の上書きや制限データへのアクセスを試みるプロンプトは拒否します。これらのフィルターは悪意あるペイロードを取り込み時点で検出し、感染を未然に防ぎます。

5. AIシステム向けゼロトラストアーキテクチャの確立

すべてのAI間通信やツール呼び出しに明示的な認可を要求します。初回認証だけで広範な権限を付与しないようにします。すべてのAPIコールを完全なコンテキスト付きでログに記録し、セッション終了後は自動的にアクセスを取り消します。ゼロトラスト原則により、攻撃者が1つのコンポーネントを侵害しても、複数の認可失敗を引き起こさずにラテラルムーブメントできなくなります。

予防策は、以下で説明する検知戦略と組み合わせることで最大の効果を発揮します。これらの対策はリスクを大幅に低減しますが、適応型AI脅威に対して完全な防御を提供する単一の方法は存在しません。

防御策

AIワームを阻止するには、敵対的プロンプトとそれが悪用する自動化ワークフローの両方に対応した多層的アプローチが必要です。

1. 入力サニタイズと出力検証

LLMに到達する前に敵対的指示をプロンプトから除去します。すべての応答を、埋め込みコマンド、不審なAPIコール、データ流出の試みをブロックするポリシーで検証します。これにより、悪意あるペイロードが拡散する前に検出できます。

2. モデルの隔離とAPI分割

AIエージェントを分割し、侵害されたチャットボットがナレッジベースやクラウドサービスに到達できないようにします。すべてのAPIキーやサービスアカウントに最小権限アクセス制御を適用します。1つのモデルが侵害されても、隔離により影響範囲を限定できます。

3. 行動異常の監視

通常とは異なるパターン、例えばエージェントがこれまで必要としなかったAPIスコープを要求したり、トークン使用量が急増したり、送信メールが急増した場合などを監視します。行動AIは、人間のアナリストが気付くよりも早くこれらの逸脱を検知します。

4. 行動AI搭載の自律型EDR/XDR

AI駆動脅威は即座に自身を書き換えるため、シグネチャのみのツールは無力です。SentinelOneのSingularityのようなプラットフォームは、静的および行動AIを用いてエージェント間の異常なやり取りや急な認証情報収集を検知します。

5. 四半期ごとのテーブルトップ演習とランブック更新

これらの脅威は数秒で拡散するため、対応プレイブックが数時間かかるようでは不十分です。感染シナリオを模擬し、封じ込め手順をリハーサルし、四半期ごとにランブックを更新します。

共通するのは行動AIです。これは自動拡散を示す逸脱を、人間のアナリストが気付くよりも早く監視します。SingularityのAI SIEMは、エンドポイント、クラウドワークロード、ID全体を1つのコンソールで可視化します。

インシデント対応ワークフロー

AI脅威に直面した際は、スピードが最重要です。基本的な対応ワークフローは以下の通りです：

• 感染したモデルまたはプラグインの特定と隔離
• 影響を受けたエンドポイントを数秒以内にネットワーク隔離
• クリーンスナップショットからのモデルのロールバックまたは再学習
• エージェントが触れたすべてのシークレット、APIキー、OAuthトークンのローテーション
• ログを監査し、ラテラルムーブメントや不審な権限変更を取り消す

AI駆動脅威は、アラートを読む間にエージェント間を移動できます。リハーサル済みのワークフローはパニックを手順に変え、感染連鎖を断ち切るための時間を稼ぎます。多くの組織がAIセキュリティに関する古い前提を持ち続けていることを考えると、これらの防御策の理解はさらに重要です。

よくある誤解とミス

経験豊富な防御者であっても、AI脅威に関するいくつかの神話にしがみついている場合があり、それが危険な露出につながります。ここで整理しましょう。

「AI駆動脅威はまだSFの世界だ」

現在のコンピュータウイルスのニュースは依然としてランサムウェアや従来型マルウェアに焦点を当てていますが、Morris IIの概念実証は既にメールを盗み、新たな被害者にスパムを送り、ChatGPT、Gemini、LLaVAをライブ研究デモ中に再感染させ、リアルタイムでゼロクリック拡散を実現しました。これらのデモは、脅威が「将来」ではなく「今」現実であることを示しています。

AI脅威が仮説のままだと想定したセキュリティ戦略では、攻撃の全カテゴリに対して監視が行き届きません。まずはインフラ内のすべてのAIシステム（内部チャットボットからサードパーティAPIまで）を棚卸しし、それらに行動監視を即時導入し、利用パターンのベースラインを確立しましょう。インシデント対応チームがAI攻撃シナリオに特化したテーブルトップ演習で、感染モデルの隔離能力をテストしてください。

「レガシーAVで十分だ」

従来のアンチウイルスは静的ファイルシグネチャを検出しますが、AI脅威は自然言語プロンプトに潜み、即座に適応するため、シグネチャエンジンやポリモーフィックマルウェアのヒューリスティックもすり抜けます。AIウイルスは感染ごとに自身を書き換えるため、従来のパターンマッチングは無効です。

シグネチャベースの検知だけに頼ると、AIワームがエージェントインフラ全体に拡散した後でしか気付けません。行動AI搭載XDRにアップグレードし、異常なAPIコール、トークン消費、不審なエージェント間通信を監視しましょう。現行のセキュリティスタックを監査し、AIシステムの可視性のギャップを特定した上で、プロンプトインジェクションや敵対的出力パターンを実行前に検知できる監視を導入してください。

「AIベンダーだけがリスクにさらされている」

大規模言語モデルを組み込むすべての組織が新たな侵入口を作り出しています。RAGナレッジベース、SaaSプラグイン、内部チャットボットなどが該当します。感染したWikiページやAPIリクエストが、ワークフロースタック全体に脅威を拡散させる可能性があります。

AI脅威がAI企業だけに影響すると考える誤解は、ほとんどの組織を実際の露出から目隠しします。ChatGPT連携、LLM機能付きSlackボット、自動メールアシスタントを利用していれば、すでにAIインフラを運用しています。自社で生成AIを利用しているすべての箇所（セキュリティチームが把握していないシャドーITも含む）をマッピングし、他の重要インフラ同様にアクセス制御と監視を実施してください。侵害が発生してからAIの浸透度を知るのでは遅すぎます。

これらの神話を払拭することで、従来のプレイブックがもはや十分でない理由が明確になります。

AIワームの例

Morris IIは2024年に初めて作成されたGenAIワームです。AIシステムのセキュリティリスクを示し、リトリーバル拡張生成（RAG）コンポーネントの脆弱性を悪用しました。Morris IIは誤情報の拡散、GenAIアプリからのデータ流出、他のAIエージェントへのマルウェア配布を行いました。

サイバーセキュリティ研究者は、LenovoのAIチャットボットLenaから機密情報を引き出し、悪意あるコードを実行させることにも成功しました。Lenaの出力は会話履歴に残り、感染後は悪意あるHTMLやペイロードの生成も支援しました。

また、真のAIワームではないものの、AI対応マルウェアの事例もあります。StuxnetやWannaCryなどのAI生成マルウェアは人間の介入を必要とせず、ポリモーフィックマルウェアの作成、検知回避、AIによる脆弱ターゲットの自律スキャンとネットワーク全体への急速な拡散が可能です。

SentinelOneでAIワームを阻止

マルウェアと同等の速度で思考・行動する防御が必要です。SentinelOneのSingularity™ Platformは、自律的な予防、調査、修復を1つのコンソールで実現し、行動AIによって急速なラテラルムーブメント、ゼロクリック拡散、プロンプト駆動の異常を検知します。不審な連鎖が現れた場合、プラットフォームはエンドポイントを隔離し、悪意ある変更をロールバックし、リアルタイムでさらなる拡散を阻止します。人間のアナリストがチケットを開く前に対応が完了します。

Purple AIは世界で最も高度なGenAIサイバーセキュリティアナリストであり、初心者から経験豊富な対応者まで、複雑なクエリ言語を使わず自然言語で脅威調査を迅速化できます。自律的な脅威ハンティングを実施し、質問をパワークエリに変換し、脅威インテリジェンスに基づく次の調査ステップを提案します。調査ノートブックでチームが複雑なケースを共同調査でき、自動要約で対応時間を短縮します。SentinelOneは従来システムと比べてアラート数を88%削減し、誤検知を減らしつつエンドポイント、クラウドワークロード、IDの完全な可視性を維持します。

Prompt Securityは、プロンプトインジェクション、モデルポイズニング、Denial-of-Wallet、Denial-of-Service攻撃など新たなAI脅威への防御を支援し、未承認またはシャドーAIの利用もブロックします。コンテンツモデレーションと匿名化制御により、AIモデルやツール利用時の機密データ漏洩を防ぎ、未承認のエージェントAIアクションを阻止して有害なLLM出力からユーザーを保護します。

SentinelOne搭載のPrompt Securityは、AIエージェントにセーフガードを適用し、大規模な安全な自動化を実現します。また、SentinelOneのAIセキュリティポスチャ管理により、AIパイプラインやモデルの発見、AIサービスのチェック設定、Verified Exploit Paths™の活用も可能です。

まとめ

AIワームは、敵対的プロンプトを通じてLLMの脆弱性を悪用し、ユーザー操作なしでエージェント間通信を介して拡散します。これらの脅威はリアルタイムで適応し、シグネチャベースの防御を回避します。異常監視、入力サニタイズ、API分割、自律型XDRによる行動AIで阻止してください。従来ツールでは自己書き換え型マルウェアに対応できません。

これらの攻撃はゼロクリックで進行するため、感染は数秒で拡大し、RAGパイプライン、SaaSプラグイン、共有エンベディングストアを経由してセキュリティチームがアラートを受信する前に拡散します。予防には厳格なAPI認証、分割されたAI環境、定期的なセキュリティトレーニングが必要です。AIワームは主に研究環境にとどまっていますが、組織は今すぐインシデント対応プレイブックを準備し、四半期ごとのテーブルトップ演習を実施すべきです。