攻撃対象を分析、最も効果的な攻撃を実行。LLM搭載マルウェア「LAMEHUG」の恐怖

2025年7月下旬、攻撃対象を分析し、最も効果的な攻撃を実行するLLM搭載型のマルウェア「LAMEHUG」の存在が複数のセキュリティ企業によって報告された。特に、ウクライナのコンピューター緊急対応チーム（CERT-UA）が、ウクライナの政府機関を標的とした攻撃で実際に使用されたと発表している。

この攻撃は、実戦で初めて確認されたLLM搭載型のマルウェアであり、サイバーセキュリティの世界は、極めて厄介な時代の幕開けを告げられた。

攻撃手法が動的に変化する「LAMEHUG」とは

これは単なるマルウェアではない。大規模言語モデル（LLM）と統合することで、攻撃対象のシステム環境を即座に分析、自ら「思考」し、状況に応じて最適な攻撃を組み立てる。

従来のマルウェアは、あらかじめプログラムされた固定的な命令に従ってしか動作できなかった。そのため、攻撃の途中でセキュリティ対策などの障害に遭遇すると、それ以上活動を続けられなくなる。

一方、今回発見されたLAMEHUGは、攻撃対象のシステム環境をその場でリアルタイムに分析し、状況に応じて最も効果的だと判断した攻撃手法を動的に生成する。セキュリティソフトによる検知や防御策を認識すると、それを回避するための新たなコマンドを自ら組み立てて攻撃を続行するのだ。

このように、状況に応じて行動を変化させる驚異的な適応性を持つため、防御側は攻撃を予測することが極めて難しくなり、対策は格段に困難になる。

LAMEHUGの最大の特徴は、その頭脳であるLLMを外部に持ち、マルウェア本体には悪意ある攻撃コードを直接含まない点にある。

代わりに、実行時にHugging Faceのようなプラットフォームを介して外部のLLMにアクセスし、「システム内の機密情報を探し、外部に送信せよ」といった自然言語の指示（プロンプト）を出す。これを受けたLLMが、その場で最適な攻撃コマンドを生成し、LAMEHUGに返すのである。

この仕組みにより、LAMEHUGはパターンファイルに依存する従来のアンチウイルスソフトによる検知をいとも簡単にすり抜ける。まさに、攻撃の痕跡をその都度消し去りながら犯行に及ぶ、狡猾な知能犯と言えるだろう。

LAMEHUGを用いた攻撃は、意外にも古典的だが標的型メールから始まることが多い。添付されたZIPファイルを開くと、LAMEHUGのローダーが起動する。

感染と偵察：端末に感染すると、まずシステム情報を収集し、どのような環境にいるのかを把握する。
コマンド生成：次に、外部のLLMに対し、収集した情報に基づいてデータ窃取などのための具体的なコマンドを生成するよう要求する。
実行と窃取： LLMから返されたコマンドを実行し、「ドキュメント」や「デスクトップ」といった重要なディレクトリを探索。発見した機密ファイルを外部のサーバーへ密かに送信する。

この一連の流れは、すべてが動的に、その場の状況に応じて行われる。攻撃者はもはや、事前に作り込んだ武器を使う必要はない。AIを意のままに操り、標的に合わせたオーダーメイドの凶器をリアルタイムで製造できるのだ。

この「考えるマルウェア」に対し、我々の防御策はあまりに無力なのか。残念ながら、従来の対策が通用しにくいのは事実である。しかし、いくつかの対策も考えられる。

対策	詳細
振る舞い検知の強化	LAMEHUGの場合、マルウェア本体ではなく、その「振る舞い」に焦点を当てる必要がある。外部のLLMへの不審な通信や、生成されたコマンドによる異常な挙動を検知する仕組みが、これまで以上に重要となる。
人的ファイアウォールの再構築	結局のところ、最初の侵入口は人間の油断である場合が多い。不審なメールや添付ファイルに対する警戒心を常に持ち、システムを最新の状態に保つといった基本的な対策の徹底が、有効な防御策となり得る。
AI対AIの防御	攻撃者がAIを使うのであれば、防御側もAIを活用し、未知の脅威を予測・検知する能動的なセキュリティ体制を構築することが急務となる。