変異する攻撃者、追いつけるか
2026年は、攻撃が“状況に適応して変わる”年になる。 しかも、その変化は人の手ではなく、LLMが背後で支える。侵入後に最適なコマンドを即席で生成し、検出をすり抜ける。そんな現実が静かに始まっている。
2025年を振り返ると、攻撃者は生成AIを道具として扱い始めた。2026年は、道具からオペレーターへ。AIが攻撃の意思決定に関与し、攻撃ループのスループットを底上げする。私たちの防御は「どれだけ早く正しく疑えるか」が鍵になる。
何が「環境適応型」なのか
環境適応型マルウェアは、侵入先のホストやネットワークの条件を観測し、LLMが即席で実行計画を生成・更新する。同じマルウェアでも、端末の権限、検出エンジン、ネットワーク制御に応じて振る舞いを変える。
NECは、2026年に注目すべき脅威としてこの潮流を明示した。特に侵入後のコマンド生成と検出回避の自動化は、防御側のシグネチャや固定化されたルールを陳腐化させる。
「攻撃者は、侵入後にLLMを用いてコマンドやスクリプトを動的に生成し、侵入先ホストの環境に適応させる手法を高度化させています。」 出典:NEC スレットランドスケープ 2025
実例で読むシグナル:LameHug と PROMPTFLUX
ウクライナCERTが報告した「LameHug」は、侵害デバイス上で走らせるコマンドの生成にLLMを活用した初期事例として言及された。ここでは、侵入後オペレーションの“即興化”がポイントだ。
一方で「PROMPTFLUX」は、定期的に外部LLMへプロンプトを送りコードを再生成。約1時間ごとに変異することで、シグネチャ検出を抜ける振る舞いが報告されている。
「『LameHug』は、LLMを用いて侵害デバイス上で実行するコマンドを生成する仕組みを備えており…」 出典:NEC
「PROMPTFLUXが定期的にGeminiへプロンプトを送信して自らのコードを再生成し…シグネチャ型のウイルス対策による検出を回避」 出典:ASCII.jp
AIスタックが拡げる攻撃面:MCP、SaaS、エージェント
AI連携が進み、MCP(Model Context Protocol)や各種エージェント連携が新たなサプライチェーンを形成する。偽サーバ、偽ツール、権限移譲の不備が混ざると、監視の盲点が生まれる。
NECはMCP悪用やSaaS連携の波及リスクを挙げ、トレンドマイクロも「マルウェアがLLMにつながり、環境適応のコマンドを生成」と指摘。GoogleやMicrosoftの予測でも、国家系を含む脅威アクターのAI活用は既に現実だ。
「…MCPを悪用した偽サーバー・偽ツールの増加、AI連携で拡大するSaaSサプライチェーンの波及リスク…」 出典:ZDNET Japan(NEC予測)
「法人組織への侵入後は、マルウェアがLLMにつながり、標的組織の環境に応じたコマンドを生成…」 出典:トレンドマイクロ
防御の再設計:可視化・検知・遅延の三本柱
LLM駆動の適応性に対抗するには、固定化ルールから行動ベースへ。さらに、攻撃の“意思疎通”である外向き通信を制御し、変異速度を落とす。
可視化では、LLM/APIへの外向き通信、プロンプト量、レスポンスタイムのメタデータ監査を導入。誰が・いつ・どこから・どれだけ使ったかをログ化する。
検知では、振る舞い異常(短周期の自己変異、プロンプト連投、権限昇格試行の連鎖)をEDR/XDRへルール追加。
遅延は重要だ。egress制御、TLSインスペクションの最適化、未知LLMドメインの一時隔離で攻撃ループを鈍化させる。
- API制御:社内からのLLMアクセスを許可ドメインに限定
- プロンプト注入対策:RAG・MCP連携の境界に入力検疫を実装
- 最小権限:AIエージェント用トークンを細分化、短命化
- コンテンツ署名:生成結果の改ざん検知(ハッシュ付与)
現場での使い方:SOC/CSIRTの運用アップデート
運用の肝は、LLM関連の“普段の揺らぎ”を知ること。平常時のプロンプト量や外向き先、モデル種別をベースライン化し、微妙な偏差を拾う。
次に、攻撃の会話路を遮断する。未知のLLMエンドポイントやプロキシ型の偽サーバを段階的にブロックし、正規の中継だけを通す。
最後に、検知から封じ込めまでの“短いランブック”を整備。変異型マルウェアは時間勝負のため、隔離・キルスイッチ・キー廃止・トークン無効化を素早く回す。
ランブック:最初の24時間でやること
インベントリを最速で作る。どのチームがどのLLM/APIを、どの経路で使っているか。SaaS・MCP・RAGの構成図を簡易でも可視化。
ネットワークでは、LLM関連の外向き宛先を許可リスト化し、未知は一次隔離。プロキシのCA更新、検査ポリシーの例外見直しを並行実施。
監査は、プロンプト量・レスポンス遅延・トークン失敗率の3点セットで異常しきい値を暫定設定。SIEMに“自己変異っぽさ”(周期的な小改変や新規ファイル断続生成)を示すユースケースを追加。
- AIエージェントのアクセストークンを短命化しローテーション周期を半減
- RAGのデータソースに改ざん検知(整合性ハッシュ)を追加
- MCP連携の外部ツールを署名検証つき配布に限定
要点の深掘り:攻撃者のスループット思考に対抗する
複数の予測が示す通り、攻撃者はイノベーションよりスループット(攻撃量×速度)を重視してくる。AIで偵察・実行・収益化の時間を短縮し、既存手口の回転を上げる。
防御側は、最小の情報で最大の疑いを持つ仕組みが必要だ。行動ベース検知で“普段と違う”を拾い、外向き通信を鈍化させ、資格情報やトークンの使い回しを許さない。MicrosoftやGoogleの脅威レポートが示すように、国家系ふくむアクターがLLMを運用に組み込むのは既定路線。
「AIエージェントの悪用が現実化する」 出典:ITmedia エンタープライズ
まとめ:AI時代の“判断速度”を高める
環境適応型マルウェアは、侵入後の即興性と変異性で検出の遅れを突く。対抗手段は、行動の可視化、外向きの減速、短いランブックの反復だ。
生成AIの利活用は止めない。ただし、どこで・どのLLMが・何に触れるかを監査下に置き、攻撃の会話路を細くする。2026年を乗り切る鍵は、AIのスピードに対して、こちらの判断速度を一段引き上げることに尽きる。
コメント