生成AIが攻撃者の「開発チーム」になる時代が、いよいよ現実の事案として観測されはじめた。2026年6月2日、SophosはAIコーディング支援ツールを使って組み立てられたランサムウェア/データ窃取の攻撃キットを解析したと報告した。注目すべきは、EDR(エンドポイント検知・対応)を回避する手法の調査からコードの生成・改訂までをAIエージェントが補助し、しかも完成したマルウェアを主要EDR製品に対して仮想環境で「テスト」していた痕跡が見つかった点だ。本稿では、この事案が何を意味し、防御側は前提をどう変えるべきかを解説する。
概要
- 報告主体:Sophos(X-Ops)。2026年6月2日に観測・解析を公表。
- 内容:ランサムウェアおよびデータ窃取を目的とした攻撃キット(ツールチェーン)の開発に、AIコーディング支援が利用されていた。
- AIの関与:ツールとペイロードの開発がCursorやClaudeのエージェント機能の補助を受けていた。初期コーディング・解析・改訂など複数段階で利用され、一部のエージェントは各種バイパス手法に関するセキュリティ研究記事の収集を担っていた。
- EDR回避の検証:作成されたマルウェアの一部は、Sophos・CrowdStrike・MicrosoftのEDR製品に対し仮想環境で回避テストが行われていた。
- 発見の端緒:
C:\Users\User\Documents\test配下から発生した不審なファイル。Sophosはランサムウェアおよびデータ窃取活動と関連づけたが、調査継続中として攻撃者名は明かしていない。米国を含むグローバルな組織に影響しているとする。
何が起きたのか
Sophosの調査は、ある環境のDocuments\testという、いかにも「開発用の作業フォルダ」から始まる不審なファイル群をきっかけに始まった。解析の結果、これは単発のマルウェアではなく、侵入後の各工程をこなす攻撃キット一式であり、その開発過程にAIコーディング支援が深く関与していたことが判明した。
特徴的なのは、AIの使われ方が「マルウェアのコードを書かせる」だけにとどまらない点だ。Sophosによれば、AIエージェントは初期のコード生成、できあがったものの解析、そして改訂(リビジョン)という反復的な開発サイクルに使われていた。さらに一部のエージェントは、EDRを回避するための最新テクニックを解説したセキュリティ研究記事を収集・要約する役割を担っていたとされる。つまり攻撃者は、防御側が公開している研究成果をAIに読ませ、それを回避コードへ反映させるというループを回していた。
そして完成物は、Sophos・CrowdStrike・MicrosoftのEDRに対して仮想環境で検知されるかどうかを試されていた。これは正規のレッドチームが行う「検知テスト」と同じ発想を、攻撃者が悪用していることを意味する。Sophosは活動をランサムウェア・データ窃取と関連づけたが、調査が継続中であるとして攻撃者の特定名は伏せている。
技術的な解説
攻撃キットの構成
報告された攻撃キットには、侵入後の典型的な工程を支える次のような部品が含まれていた。
- Cobalt Strikeのプロファイル:ビーコン(C2と通信するエージェント)の通信を正規トラフィックに見せかけるための設定。検知を避けるための定番手法。
- Telegram Bot APIによるC2:指令通信(コマンド&コントロール)にTelegramのBot APIを悪用。正規のメッセージングサービス経由のため、通信が目立ちにくい。
- シェルコード注入スクリプト(Python):正規のWindows実行ファイルに悪性コードを注入し、信頼されたプロセスの中で動かす。
- Cloudflare WorkerによるC2秘匿:C2サーバの実体を、信頼されたCDN/エッジ基盤の背後に隠す。防御側からは「正規のCloudflare宛て通信」に見える。
いずれも個別には既知の手法だが、これらを組み合わせて「検知されにくい一式」に仕立てる作業を、AIが高速に補助した点が新しい。
「AIが攻撃を量産する」ことの本質
従来、EDRを確実にすり抜けるマルウェアの開発には、OSやセキュリティ製品の内部挙動に通じた熟練した開発者が必要だった。AIコーディング支援は、この専門知識のボトルネックを緩和する。具体的には次の変化が起きる。
- 反復の高速化:「検知された→コードを少し変える→再テスト」というサイクルを、AIが短時間で何度も回せる。亜種が次々に生まれる。
- 知識のコモディティ化:公開されている防御研究をAIが吸収し、回避手法へ翻訳する。攻撃者自身が深い専門家でなくても、専門家級の回避コードに近づける。
- シグネチャの陳腐化:少しずつ変異した亜種が大量生成されると、「既知の悪性ファイルの特徴(シグネチャ)」に頼る検知は追いつかなくなる。
重要なのは、これは「AIが勝手に攻撃した」のではなく、人間の攻撃者がAIを開発支援ツールとして使ったという点だ。自律的にネットワークへ侵入したわけではないが、攻撃の準備コストと所要時間を大幅に下げる。AIによる脆弱性発見やエクスプロイト自動化と並び、攻撃の「工業化」を一段押し進める動きと言える。
正規のAI開発ツールが悪用される
CursorやClaudeのようなコーディング支援は、本来は開発生産性を高める正規のツールだ。今回の事案は、これらが悪意ある目的に転用されたケースであり、ツール自体の欠陥ではない。AIベンダーは悪用検知やポリシー(マルウェア開発の拒否)で対策を講じているが、攻撃者は目的を細切れにして渡す、文脈を偽る、ローカルの無制限モデルを使うなどして回避を試みる。防御側としては「AIが攻撃開発に使われる前提」で身構える必要がある。
日本企業への影響
この攻撃キットは特定地域に限定されず、米国を含むグローバルな組織に影響しているとされる。日本企業にとっても次の意味を持つ。
- 「シグネチャ頼み」の限界が早まる:AIで亜種が量産されれば、パターンマッチング型のアンチウイルスはますます無力化する。既知マルウェアの検知率だけを当てにできない。
- 正規サービス経由のC2が増える:Telegram・Cloudflareなど正規サービスを悪用する通信は、ブロックしづらく見分けにくい。アウトバウンド通信の監視がより重要になる。
- EDRを「入れただけ」では不十分:攻撃者は主要EDRに対する回避を事前にテストしている。EDRはチューニング・ブロックモード・運用監視まで含めて初めて効く。
- 攻撃の母数と速度が増す:開発コストが下がるほど、知名度の低い中小企業も無差別に巻き込まれやすくなる。
今すぐ確認すべきポイント
1. 振る舞い検知へ軸足を移す
ファイルの「正体(シグネチャ)」ではなく、「何をしようとしているか(振る舞い)」で捉える。シェルコード注入・プロセスハロウイング・認証情報へのアクセス・大量ファイル暗号化・シャドウコピー削除といった攻撃の目的に紐づく挙動を検知・ブロックする設定にする。EDRはブロックモードで運用する。
2. 正規サービス悪用のC2を監視する
Telegram Bot API(api.telegram.org)やCloudflare Workers宛ての通信のうち、サーバ・業務端末から発生する想定外のものをプロキシ/DNS/ファイアウォールのログで監視する。「正規ドメインだから安全」と一律に許可せず、発信元と頻度の異常を見る。
3. ランサムウェアの前兆を捉える
AIで作られていても、ランサムウェアが最終的に行う動作は変わらない。次をアラート化する。
- Active Directoryの大量列挙(偵察)と、それに続く横展開の兆候
- Cobalt Strikeビーコンに典型的なC2通信パターン
- ボリュームシャドウコピーの削除、バックアップ・セキュリティサービスの停止
4. 多層防御と復旧能力を固める
単一の検知に頼らず、フィッシング耐性のあるMFA・最小権限・ネットワークセグメンテーション・アプリ制御(許可リスト)を重ねる。あわせて、ネットワークから隔離したイミュータブル/オフラインバックアップを用意し、復旧テストを定期的に行う。検知をすり抜けられても被害を局所化できる構えを作る。
5. 社内のAI利用ポリシーを整える
攻撃側だけでなく、自社の開発でもAIコーディング支援を使う時代だ。生成コードのレビュー、依存パッケージの検証、機密情報をプロンプトに入れないルールを定め、AIが生成・導入した成果物にも従来同様のセキュリティレビューを適用する。万一インシデントが起きた場合は、インシデント対応手順に沿って初動する。
参考情報
- BleepingComputer: AI-built ransomware toolkit automates EDR evasion, AD discovery(2026年6月)
- Sophos(X-Ops): AIコーディング支援を悪用した攻撃キットの解析
- SC Media: AI accelerates development of ransomware toolkit with EDR evasion capabilities