Aqua Nautilusの研究者らは最近Linuxマルウェア「Koske」をハニーポットで発見した。このマルウェアは攻撃者が人工知能 (AI) を使用してゼロから開発しているとみられる。
Koskeはクリプトマイナーとして設計され、MoneroやRavencoinを含む18種類の暗号通貨のマイニングに対応している。
攻撃者はJupyterLabインスタンスの設定ミスを悪用して初期侵入を行う。マルウェアは短縮URLから展開され、AI生成されたパンダの画像を隠れ蓑として使用する。これらのJPEG画像は悪意のある実行可能ファイルが末尾に追加されたポリグロットファイルで、ステガノグラフィーではない。
Koskeはルートキットをインストールし、cronジョブをスケジュールし、Linuxの起動ファイルを変更して持続性を確保する。コマンド・アンド・コントロール(C2)との通信が遮断された場合、プロキシやDNS設定をリセットし、ファイアウォールルールを消去し、Web上でプロキシ接続リストを自動検索してブルートフォース攻撃を実行する自律的な通信回復機能を持つ。
Aqua NautilusのAssaf Morag脅威インテリジェンス・ディレクターは、AI以前にはこのようなコードの作成には2週間を要したが、現在はAIを使用すれば1~2時間で可能であり、攻撃者も2~3時間でコードを完成させただろうと推定している。
From: 
AI-Generated Linux Miner ‘Koske’ Beats Human Malware
【編集部解説】
Koskeは、サイバーセキュリティ業界における歴史的な転換点を示すマルウェアです。従来のマルウェア開発では、高度な機能を実装するには専門的なプログラミングスキルと膨大な時間が必要でしたが、AIの登場により、この障壁が劇的に低下しています。
技術的な観点から見ると、Koskeの最も革新的な側面は、その「自己修復機能」にあります。従来のマルウェアは、ファイアウォールやプロキシに阻まれると機能停止していましたが、Koskeは複数の通信経路を試行し、DNS設定を変更し、動的にプロキシリストを検索してブルートフォース攻撃を実行します。これは人間の攻撃者が手動で介入する必要がないほど洗練されており、AIがもたらす「24時間365日稼働する自律的脅威」の先駆けといえるでしょう。
パンダ画像を使った配信手法も注目すべき点です。これはステガノグラフィーではなく、ポリグロットファイル技術を採用しており、JPEG画像の末尾に悪意のあるコードを追加することで、セキュリティソフトウェアの検知を巧妙に回避しています。この手法により、マルウェアは「かわいいパンダの画像」として偽装され、人間の警戒心を下げる心理的効果も狙っています。
さらに重要な点として、Morag氏は配信メカニズムの精巧さから、マルウェア開発だけでなく攻撃計画全体にもAIが使用された可能性を示唆しています。これは、AIが単なるコーディングツールを超えて、包括的な攻撃戦略の立案にまで活用されている可能性を示唆する深刻な発見です。
サイバーセキュリティ業界への影響は深刻です。Aqua NautilusのAssaf Morag氏が指摘するように、かつて2週間を要したハニーポット構築が現在は1-2時間で完了できる状況は、攻撃者側にも同様に適用されます。つまり、スクリプトキディーズと呼ばれる技術力の低い攻撃者でも、エキスパート級のマルウェアを短時間で作成できる環境が整ったということです。
規制面では、この事案はAI技術の悪用に対する新たな議論を喚起する可能性があります。2025年現在、AI開発におけるエシカルガイドラインは存在しますが、悪意のある利用を完全に防ぐ法的枠組みは十分に整備されていません。Koskeのような事例が増加すれば、AI開発企業への責任追及や、AIモデルの利用制限強化が議論される可能性があります。
興味深いのは、Koskeが18種類の暗号通貨マイニングに対応している点です。これは単なる技術的多様性ではなく、暗号通貨市場の変動に対するリスクヘッジ戦略を示しており、AI生成マルウェアが経済的合理性まで考慮している証拠といえます。このような「ビジネスライク」な特徴は、今後のサイバー犯罪の高度化と組織化を予見させます。
【用語解説】
ハニーポット:
攻撃者を誘引し、その攻撃手法を観察・分析するために意図的に脆弱性を持たせたシステムやサービスである。セキュリティ研究者が新しい脅威を発見する重要な手段として使用される。
クリプトマイナー:
暗号通貨をマイニング(採掘)するためのソフトウェアである。通常は正当な目的で使用されるが、マルウェアとして他人のコンピューターリソースを無断で使用する場合もある。
ルートキット:
システムの深部に隠れて管理者権限を奪取し、その存在を隠蔽するマルウェアである。検出が困難で、システムを完全に制御される危険性がある。
ポリグロットファイル:
複数のファイル形式として同時に解釈できるファイルである。例えば画像ファイルとして表示されながら、実行可能コードも含有する技術。
JupyterLab:
データサイエンスや機械学習開発で広く使用される、ブラウザベースの統合開発環境である。設定ミスにより外部からの不正アクセスが可能になる場合がある。
コマンド・アンド・コントロール(C2):
マルウェアが攻撃者のサーバーと通信し、指令を受け取ったり情報を送信したりするインフラストラクチャである。
cronジョブ:
Unix系オペレーティングシステムで定期的にプログラムを自動実行するスケジューリング機能である。マルウェアが持続性を確保するために悪用される場合がある。
Monero:
プライバシーに特化した暗号通貨で、取引の匿名性が高いため、サイバー犯罪者に好まれる傾向がある。
Ravencoin:
ビットコインから派生した暗号通貨で、資産の作成・転送に特化している。GPU マイニングに適している。
スクリプトキディーズ:
高度な技術知識を持たず、既存のツールやスクリプトを使用してサイバー攻撃を行う未熟な攻撃者を指す蔑称である。
【参考リンク】
Aqua Security公式サイト(外部)
クラウドネイティブセキュリティのリーディングカンパニー。Nautilusチームが今回のKoskeマルウェアを発見・分析した。
Aqua Security研究部門(外部)
Aqua Nautilusの最新セキュリティ研究情報を公開。クラウドネイティブ環境に特化した脅威分析を行っている。
JupyterLab公式サイト(外部)
JupyterLabの公式ドキュメントサイト。データサイエンス向け統合開発環境の使用方法やセキュリティ設定について提供。
【参考記事】
Sophisticated Koske Linux Malware Developed With AI Aid(外部)
SecurityWeekによるKoskeマルウェアの技術的詳細記事。AI検出ツールによる分析結果について詳述。
New Koske Linux malware hides in cute panda images(外部)
BleepingComputerによるKoskeマルウェアの配信手法記事。パンダ画像を使った隠蔽技術について解説。
AI Security Report 2025(外部)
Check Point ResearchによるAIセキュリティレポート2025年版。AI技術を悪用したサイバー犯罪の最新動向を分析。
Koske, a new AI-Generated Linux malware appears(外部)
Security Affairsによる詳細な技術分析記事。Koskeの感染手法と対応する18種類の暗号通貨について解説。
New AI-assisted Linux malware uses panda JPEGs(外部)
SC Worldによる簡潔な概要記事。Koskeマルウェアの主要な特徴とAI支援開発の可能性について要点をまとめている。
【編集部後記】
皆さんの職場やご自宅でも、知らず知らずのうちにAI生成マルウェアが潜んでいる可能性があります。今回のKoskeのような高度な脅威は、従来のセキュリティ対策では検知が困難になってきています。皆さんは現在、どのようなセキュリティ対策を講じていらっしゃいますか?また、AIが攻撃計画の立案から実行まで包括的に支援する時代において、私たち一般ユーザーはどこまで技術的な知識を身につけるべきだと思われますか?この記事をきっかけに、サイバーセキュリティについて改めて考える機会にしていただければと思います。
サイバーセキュリティニュースをinnovaTopiaでもっと読む
AI(人工知能)ニュースをinnovaTopiaでもっと読む
