AIを騙して解析を中断させる北朝鮮のmacOSマルウェア「Gaslight」、SentinelOneが分析

セキュリティ企業のSentinelOneは、北朝鮮に関連するとみられる新しいmacOS向けバックドア「macOS.Gaslight」に関する分析結果を公開した。このマルウェアは、AIを活用した解析ツールを標的にし、38個の偽システムメッセージを用いてAIモデルにセッションエラーと誤認させるプロンプトインジェクション手法を搭載している。AIアシスタントを導入しているセキュリティチームは、解析パイプラインにおける入力データのサニタイズなどの対策を講じる必要がある。

■AIモデルの「認識」を攻撃する新手法

SentinelOneのセキュリティ研究部門であるSentinelLABSは、2026年6月23日にmacOS向けの新たなインプラント「macOS.Gaslight（以下、Gaslight）」に関する技術分析を公開した。

このマルウェアの最大の特徴は、従来のサンドボックス回避技術とは異なり、解析を担当するAIアシスタント（LLM）の認識そのものを攻撃する点にある。バイナリ内には、LLMの解析フレームワークの内部エラーを模した3.5KB、計38個の偽の「システム」メッセージが埋め込まれている。これにより、AI解析ツールに対してセッションの強制終了やメモリ不足、ディスク枯渇などのエラーが発生したと誤認させ、解析を途中で断念または拒否させることを狙っている。

SentinelLABSの研究者であるフィル・ストークス（Phil Stokes）氏はレポートの中で、「この手法は、実行されるサンドボックスではなく、エージェント（AI）の認識を攻撃するものだ」と指摘している。

■プロンプトインジェクションの仕組みと従来手法との違い

Gaslightが用いるプロンプトインジェクションは、AIモデルが信頼できる指示と信頼できないデータを明確に区別できない脆弱性を突いたものだ。バイナリ内のMarkdownブロックに、LLM解析ツールがデータの境界線として使用する「{{DATA}}」トークンを配置し、その中に偽のエラーメッセージ群を埋め込んでいる。

従来のマルウェアは、仮想マシン（VM）やデバッガ、サンドボックス環境を検知して活動を停止するなどの回避行動をとってきた。しかし、Gaslightは実行環境が解析用であるかどうかは気にせず、文字列を読み取るLLMがどのような結論を出すかのみに焦点を当てている。

SentinelLABSの検証によれば、現時点でこの手法によって突破された実環境のAIマルウェア解析プラットフォームは確認されていない。しかし、過去の北朝鮮製macOSマルウェアでは単一のブロックだったインジェクションが、今回は38個に増えており、攻撃者が実際のツールに対してテストを繰り返し、手法を洗練させている可能性が示唆されている。

■バックドアおよび情報窃取としての高度な機能

Gaslightは、プロンプトインジェクション機能だけでなく、高度なmacOS向けインフォスティーラーおよびリモートアクセスバックドアとしての実体も備えている。

C2（コマンド＆コントロール）通信にはTelegram Bot APIを使用し、メッセージごとに新しいノンス（一時的な値）を用いたAES-GCM暗ング化を行っている。さらに、独自の証明書アンカーを使用してTLS通信の信頼性を制限することで、企業のプロキシツールによるパケット解析を無効化する。

また、永続性を維持するために、Appleの正規システムサービスを装った「com.apple.system.services.activity」というラベルのLaunchAgentを作成する。さらに、システムの自動スリープを阻止するコマンドを実行し、ユーザーが活動していない時間帯でもC2との通信を維持する。

情報窃取機能は、バイナリに埋め込まれた6.6KBのBase64エンコードされたPythonスクリプトによって実行される。Chrome、Brave、Firefox、Safariなどのブラウザデータ、ターミナル履歴、実行中のプロセス、ハードウェア情報、そしてmacOSのKeychain（キーチェーン）データベースファイルを収集し、ZIP圧縮してTelegram経由で送信する。このスクリプトは、オープンソースプロジェクト「astral-sh/python-build-standalone」から取得したスタンドアロンのCPython 3.10.18を同梱しているため、標的のシステムにPythonがインストールされていなくても動作する。

■徹底された運用セキュリティと帰属

開発者は、フォレンジック解析を困難にするための対策も施している。TelegramのボットトークンやチャットIDなどの設定情報はバイナリにハードコードされておらず、実行時に提供されるため、静的解析だけでは攻撃者のインフラ情報を特定できない。

Appleのセキュリティ機能「XProtect」は、このマルウェアを「MACOS_BONZAI_COBUCH」などのルールで検知している。SentinelLABSは、この「BONZAI」ファミリーを北朝鮮の脅威アクティビティと関連付けている。この系統は少なくとも2023年から活動が確認されており、過去には暗号資産（仮想通貨）エンジニアを標的とした「RustBucket」や「KandyKorn」などのマルウェアを展開してきた。

■防衛側が取るべき対策

SentinelLABSは、マルウェアの解析パイプラインにLLMを導入している組織に対し、入力されるマルウェアのコンテンツを最初から「敵対的な入力」として扱うよう推奨している。SQLインジェクション対策と同様に、コンテンツがモデルのコンテキストウィンドウに到達する前に、サニタイズ（無害化）し、指示チャネルから分離することが不可欠である。

■注目ポイントQ&A

●Gaslightとはどのようなマルウェアですか？

Gaslightは、Rustで書かれたmacOS向けのバックドアおよび情報窃取マルウェアです。ブラウザの認証情報やKeychainデータなどを窃取する機能に加え、AI解析ツールを混乱させるためのプロンプトインジェクション機能を備えているのが特徴です。SentinelLABSは、北朝鮮の攻撃グループによるものと高い信頼性で評価しています。

●実際にAIセキュリティツールは突破されているのですか？

SentinelLABSのテストにおいて、現時点で実環境のAIマルウェア解析プラットフォームがこの手法によって突破された事例は確認されていません。しかし、攻撃者がメッセージの数を増やすなど、手法を継続的にテストし洗練させている形跡が見られます。

●従来のサンドボックス回避技術と何が違うのですか？

従来の回避技術は、仮想マシンやデバッガなどの「実行環境」を検知して動作を変えるものでした。一方、Gaslightのプロンプトインジェクションは、解析を行う「AIモデルの認識」を標的にし、偽のエラーメッセージによって解析セッション自体が壊れていると誤認させ、解析を中断させようとします。

●セキュリティチームはどのような対策を取るべきですか？

AIを用いた解析パイプラインにおいて、解析対象のマルウェアから得られるテキストデータを「敵対的な入力」として扱い、AIモデルに渡す前にサニタイズや指示チャネルとの分離を行う必要があります。また、LaunchAgentの不審なラベル（com.apple.system.services.activity）や、Telegram APIへの不審な通信などを監視することも有効です。

元記事: North Korea macOS Malware Targets AI Analyst Tools: Gaslight Embeds 38 Fake Error Messages