北朝鮮を背後に持つハッカー組織が、ハッキング用マルウェアの開発に人工知能（AI）モデルを活用したとみられる兆候が捉えられた。

自律的にセキュリティシステムの脆弱性を見つけ出せる性能を備えたAIモデルが相次いで登場する中、AIで武装したハッカーによるサイバー攻撃への懸念が高まっている。


14日、グローバルサイバーセキュリティ企業のカスペルスキーは、北朝鮮ハッカー組織「キムスキー（Kimsuky）」の最新攻撃戦術を分析した報告書で、「ここ数カ月間にわたりキムスキーの活動を分析した結果、新種マルウェア『HelloDoor』内部で絵文字（Emoji）が含まれた注釈や文法上の誤字が発見された」と明らかにした。カスペルスキーは「これは大規模言語モデル（LLM）がコード作成過程に関与した可能性を示している」とし、「北朝鮮ハッカーらがAI技術をサイバー攻撃に本格的に活用していることを意味する」と説明した。


キムスキーのAI活用は、韓国政府と企業に対する北朝鮮のサイバー攻撃が高度化していることを意味する。アンソロピックが今年初めに公開したAIモデル「Mithos」は、攻撃者の介入なしにシステム脆弱性を見つけ出し、ハッキングのシナリオを自ら設計できる能力を備えている。このため各国政府は競うように対応策の整備に乗り出した。カスペルスキーコリアのイ・ヒョウン支社長は、「キムスキーは単なるマルウェアアップデートを超え、AIコード生成ツールの活用と正常ソフトウェア悪用という2つの軸で攻撃の精巧さを高めている」とし、「特に企業環境で広く使われるツールが攻撃手段として悪用されているだけに、行動ベースの検知体制の構築と、脅威インテリジェンスの定期的な更新がこれまで以上に重要だ」と話した。

報告書によると、キムスキーは韓国政府の電子認証書体系を標的にしている。キムスキーが使用する「AppleSeed」マルウェアに、政府公認電子認証書（GPKI）の保存ディレクトリを収集する機能が搭載されていることが確認された。セキュリティ業界関係者は「ハッカーらが『ターゲット』を公務員に定めたことを意味する」と説明した。公務員が政府システム接続時に使用する認証書が流出した場合、公務員アカウントを盗用して政府内部システムにアクセスできる。

北朝鮮を背後に持つハッキング組織によるAI活用は、キムスキーだけではない。グーグル脅威インテリジェンスグループ（GTIG）が11日に公開した報告書では、北朝鮮の別のハッキング組織「APT45」がAIを活用し、数千件のプロンプトを繰り返し送信した痕跡が確認された。脆弱性分析と攻撃コード検証を自動化している兆候だというのがGTIGの説明だ。

サイバーセキュリティ業界では、AIを活用したサイバー攻撃は核兵器になぞらえるほど深刻だとの懸念が出ている。世界最大のサイバーセキュリティ企業、パロアルトネットワークスのリー・クラリッチ最高技術責任者（CTO）は13日に掲載したブログで、「AIベース攻撃がニューノーマル（新たな標準）になる前に、攻撃者に先んじて対応できる時間は3～5カ月ほどしか残されていない」とし、「差し迫った脆弱性攻勢への対応が急務だ」と明らかにした。パロアルトネットワークスは、「アンソロピックのMithos、Claude Opus 4.7、OpenAIのGPT-5.5-Cyberなど最新モデルをテストした結果、これらのモデルは脆弱性を検知し、致命的な攻撃経路へ転換する能力において、予想をはるかに上回る性能を示した」と説明した。

AIを活用したハッキング攻撃に備え、セキュリティパラダイムの転換を急ぐべきだとの声も出ている。アンラボ人工知能開発室のイ・スンギョン室長は、「AIベースの攻撃への対応能力を点検し、防御体系についても、AIを活用する方向への転換を研究しなければならない」と強調した。順天郷（スンチョンヒャン）大学情報保護学科の廉興烈（ヨム・フンヨル）名誉教授は、「ハッカーらは、まだ脆弱性が発見されておらず対応手段もないゼロデイ（zero-day）攻撃の頻度と成功率を高めるためにAIを活用する可能性がある」とし、「北朝鮮がMithosのようなセキュリティ特化AIモデルを独自開発、あるいは利用できる可能性も排除できない。国家レベルでサイバー安全網を構築しなければならない」と話した。