マルウェアが自らのコードをリアルタイムで書き換え、検知を逃れる時代が到来した。SentinelOne、IBM X-Force、Cisco Talosの2025〜2026年脅威レポートは一様に、機械学習(ML)駆動のポリモーフィック型マルウェアを「次世代の主要サイバー脅威」と位置づけている。従来のシグネチャベースの検知は静的パターンマッチに依存するが、AI生成のコード変異はそのパターンを15秒ごとに更新する。本稿では、この脅威の技術的メカニズムを分解し、AI対AIの防御アーキテクチャへの移行を提言する。

MLポリモーフィック・マルウェアの台頭 ── 脅威レポートが示す一致した警告

2025年から2026年にかけて、主要セキュリティベンダーの脅威報告が驚くほど一致した警告を発している。SentinelOneの「9 AI Cybersecurity Trends to Watch in 2026」は、「AIが作成したマルウェアは展開後数分以内にシグネチャ検知を回避するよう自己書換を行う」と報告した。IBM X-Force 2025 Threat Intelligence Indexは、130カ国以上・日量1,500億件のセキュリティイベントを分析した結果、新規マルウェアサンプルの37%にAI/ML最適化の痕跡が確認されたと指摘している。

Cisco Talosは2025年後半から2026年初頭にかけて活動が確認された「UAT-8099」キャンペーンや、2019年から稼働し2026年1月時点でもC2サーバーが活動中の「DKnife」フレームワーク(7種のLinuxインプラント群)を公開した。NATO支援のセキュリティ組織Goldilockは2025年1月、「世界にはエージェンティック型マルウェアへの備えに約2年(2027年まで)しかない」と警鐘を鳴らしている。

AV-TESTの統計によれば、2026年時点でユニークなマルウェア・PUAの総数は12億件を超え、前年比20%の増加を記録している。2025年12月のAllAboutAIの調査では、検知されたマルウェアの76%がAI駆動のポリモーフィズムを示しているとされる。数字が示すのは明確なトレンドである。静的検知への依存はもはや持続不可能である。

リアルタイムコード変異の技術的メカニズム

AI駆動のポリモーフィック・マルウェアは、大きく3つの技術レイヤーで検知を回避する。第一がリアルタイムコード変異、第二がサンドボックス環境検知、第三がエンドポイント防御への適応的回避である。

コード変異:LLM APIによるペイロード再合成

HYAS Labsが公開した防御研究用PoC「BlackMamba」は、このメカニズムを最も端的に示している。BlackMambaは一見無害な実行ファイルとして配布されるが、実行時にOpenAI APIへ接続し、キーストローク窃取用の悪性コードをその場で合成する。重要なのは、実行のたびに異なるコードが生成される点である。業界をリードするEDR(Endpoint Detection and Response)製品でテストした結果、アラートは一切発生しなかった。

同じくHYAS Labsの「EyeSpy」は、より高度な自律性を備える。ターゲット環境を読み取り、機密データを保持するアプリケーションを特定し、攻撃用マルウェアをリアルタイムで生成・テスト・適応させる。IBM X-ForceのリードマルウェアリバースエンジニアKevin Henson氏は「BlackMambaやEyeSpyで提示されたコンセプト自体は新しいものではない。メモリ内潜伏やポリモーフィックコードは以前から存在した」としつつ、LLMによる自動化がその実行速度とスケールを根本的に変えたと指摘している。

サンドボックス環境検知:仮想化アーティファクトの識別

Netskope Threat Labsの2025年の研究では、GPT-3.5-TurboおよびGPT-4がアンチVM/サンドボックス検知用のPythonスクリプトを生成できることが実証されている。これらのスクリプトはハイパーバイザーのCPUフラグ、BIOSベンダー文字列、レジストリキーなどの仮想化アーティファクトを検出する。テスト結果では、VMware環境での成功率がGPT-4で50%、GPT-3.5-Turboで60%、物理環境の正確な識別率は両モデルとも90%に達した。

2025年6月に発見された実マルウェア「Skynet」は、組み込みTORクライアントとハイパーバイザー検知機能を搭載していた。さらに注目すべきは、AIベースのセキュリティ分析を操作しようとするプロンプトインジェクション命令が埋め込まれていた点である。Check Point Researchはこの手法を「AIエヴァージョン(AI回避)」と名付け、MLモデル自体を欺こうとする新たな脅威カテゴリとして警告している。

エンドポイント防御への適応的回避:強化学習による自動最適化

Black Hat USA 2025で、OutflankのPrincipal Offensive Specialist LeadであるKyle Avery氏が発表した研究は、AI対EDRの現実を鮮明に描いた。Avery氏はオープンソースLLM「Qwen 2.5」をベースに「Dante-7B」をファインチューニングし、Microsoft Defender for Endpointとの強化学習フィードバックループを3ヶ月間(クラウドコンピューティング費用約1,500ドル)実施した。結果、Dante-7BはMicrosoft Defenderを8%の確率で回避するマルウェアを生成した。比較対象として、Anthropic AIは1%未満、DeepSeekは0.5%未満にとどまった。

攻撃者にとって8%は十分な脅威となる。約12回の試行で完全に回避可能なマルウェアを1つ得られる計算であり、自動化されたパイプラインでは数分の作業に過ぎない。Avery氏はDante-7BをHugging Faceで公開し、防御側の研究に資することを意図しているが、攻撃側への転用リスクも明白である。

シグネチャベース検知の限界 ── なぜ従来型防御は破綻するのか

従来のアンチウイルス/EDR製品が依拠するシグネチャベース検知は、既知のマルウェアのバイトパターン(シグネチャ)をデータベースと照合するアプローチである。このモデルは、マルウェアが固定的なバイナリ構造を持つことを前提としている。

AI駆動のポリモーフィック・マルウェアは、この前提を根底から覆す。コード変異が15秒ごとに発生する環境では、シグネチャの抽出・登録・配布のサイクルが追いつかない。AV-TESTが記録する日量56万以上の新規マルウェア変種の発生速度は、人間のアナリストによるシグネチャ更新の限界をとうに超えている。

さらに問題なのは、静的解析だけでなく動的解析(サンドボックス)も回避される点である。前述のサンドボックス検知技術により、マルウェアは解析環境にいることを認識すると無害な挙動のみを示し、実環境でのみ悪性ペイロードを展開する。IBM X-Forceの報告によれば、インフォスティーラーを配布するフィッシングメールは週次ベースで84%増加しており、配布手法の多角化も進んでいる。

AI対AIの防御アーキテクチャ ── 次世代セキュリティの設計原則

機械速度で変異する脅威に対抗するには、同じく機械速度で動作する防御が必要である。ここでは、AI対AIの防御アーキテクチャを3つの設計原則から提言する。

原則1:行動分析ベースのAIネイティブXDR

シグネチャではなく「振る舞い」を検知対象とするAIネイティブXDR(Extended Detection and Response)が防御の基盤となる。ネットワーク、エンドポイント、クラウド、アイデンティティ、アプリケーションの各レイヤーからテレメトリを収集し、正常状態のベースラインをMLモデルで学習する。いかにコードが変異しようと、悪性の「行動パターン」(C2通信、権限昇格、ラテラルムーブメント)は一定の不変性を持つ。この不変量をリアルタイムで検出するのがAIネイティブXDRの本質である。

SentinelOneはPurple AIを用いたアーリーアダプターが脅威ハンティングを80%高速化したと報告している。2025年時点で組織の67%がサイバーセキュリティにAIを活用し、31%が広範に依存しているとされる。AI in Cybersecurity市場は2025年の352.2億ドルから2029年に790.9億ドルへ、CAGR 22.4%で成長すると予測されている。

原則2:LLM駆動の自動検知ルール生成

Black Hat USA 2025でAlibaba Cloud SecurityのXiaochen Wang氏らが発表した「LLMDYARA」は、LLMを用いてYARAルール(マルウェア検知ルール)の生成を自動化するアプローチである。IOC文字列、逆コンパイルコード、アセンブリシーケンス、DNAHashなどの説明可能な特徴を抽出し、230万の良性サンプルでテストした結果、151のマルウェアファミリー・75,591サンプルをカバーした。従来のYarGenやAutoYaraと比較して、誤検知率の低減が確認されている。

Check Pointが実証したXLoader 8.0のリバースエンジニアリングでは、生成AIとIDA Pro・x64dbg・VMwareのMCP連携により、2段階のRC4暗号化キーの特定と64のC2ドメインの復号を、従来数日かかる作業を約40分で完了した。防御側がAIを活用してマルウェアの解析速度を劇的に向上させた実例である。

原則3:敵対的訓練による耐性の構築

2025年6月に公開されたMalGENフレームワークは、自律的なLLMエージェント群(ペイロード計画、能力選択、回避戦略)が協調して新規マルウェアサンプルを合成するマルチエージェントシステムである。合成された10のサンプルはアンチウイルスおよび行動検知エンジンに対して評価され、MITRE ATT&CKマッピングとともにレッドチームテストに使用された。

敵対的訓練(Adversarial Training)は、攻撃側のML手法を防御モデルの強化に転用するアプローチである。強化学習エージェントが回避サンプルを生成し、防御モデルがそれを学習するフィードバックループを構成する。ブラックボックスシナリオで94.8〜97.4%の回避率を達成する攻撃手法が報告されているが、逆にこの手法で防御モデルを鍛え上げることが可能である。ただし、最終的な検知ルールの精緻化には依然として人間の専門知識が不可欠であり、「AI任せ」ではなく「AI支援」の設計思想が重要となる。

今後の展望 ── 防御側が取るべき具体的アクション

AIマルウェアの進化は不可逆であり、防御側のパラダイムシフトは急務である。以下に、組織が直ちに着手すべきアクションを示す。

第一に、シグネチャベースの検知を主防御から補助防御へ降格させ、行動分析ベースのXDRを主軸に据えること。第二に、セキュリティオペレーションセンター(SOC)にAIネイティブなワークフローを導入し、脅威ハンティングの自動化と応答速度の機械化を図ること。第三に、定期的な敵対的訓練を防御パイプラインに組み込み、自組織の検知モデルを継続的に強化すること。

Goldilockが警告する2027年のデッドラインまで猶予は限られている。AIマルウェアが「実験的脅威」から「日常的脅威」へ移行する前に、防御アーキテクチャの再設計を完了しなければならない。攻撃者がAIを武器化するなら、防御者はAIを盾にする以外の選択肢はない。

FAQ

AIポリモーフィック・マルウェアとは何か?

機械学習やLLMを用いて実行時にコードを自動書換し、シグネチャベースの検知を回避するマルウェアの総称である。従来のポリモーフィック型と異なり、変異パターンが事前定義ではなくAIにより動的に生成されるため、予測が極めて困難である。

従来のアンチウイルスソフトでは防げないのか?

シグネチャベース検知のみに依存する製品では対応が難しい。AI駆動の変異は15秒ごとに新しいコードを生成するため、シグネチャの更新が追いつかない。行動分析やAIネイティブXDRとの併用が推奨される。

BlackMambaやEyeSpyは実際に攻撃に使われているのか?

これらはHYAS Labsが公開した防御研究用のPoCであり、実際の攻撃キャンペーンでの使用は確認されていない。ただし、同様のコンセプトを実装した脅威の出現は時間の問題とされている。

企業が今すぐ取るべき対策は何か?

行動分析ベースのXDR導入、SOCワークフローへのAI統合、敵対的訓練による検知モデルの強化が優先事項である。シグネチャベース検知は補助的手段として残しつつ、主防御をAIネイティブに移行すべきである。

AI対AIの防御はどの程度実用化されているのか?

SentinelOneのPurple AIは脅威ハンティングを80%高速化し、Alibaba CloudのLLMDYARAは自動YARA生成で成果を上げている。2025年時点で67%の組織がサイバーセキュリティにAIを活用しており、技術的には実用段階に入っている。

参考文献