AIがサイバー戦争の“武器”に：ロシア系「GreyVibe」、ChatGPTとGeminiでウクライナを攻撃

• PhantomMail（ファントムメール）：ウクライナ政府やエネルギー関連機関を装った巧妙な標的型フィッシングメールが起点です。受信者がメール内のリンクからGoogle Driveなどに置かれたZIPファイルを開くと、公式文書に見せかけたPDFなどの「おとり」が表示される裏で、遠隔操作ウイルス「PhantomRelay（ファントムリレー）」に感染します 。
• PhantomClick（ファントムクリック）：より進化した手口として、ClickFix（クリックフィックス） と呼ばれる手法を用います。被害者は、巧妙に偽装されたCAPTCHA認証画面で「人間であることの確認」のためにPowerShellコマンドを自分で実行させられ、感染します。本物のZoomミーティングに参加させるなど、不審に思わせない工夫も見られます 。
• PrincessClub（プリンセスクラブ）：個人を標的としたモバイル監視キャンペーンです。Telegram上で知人になりすまし、偽のアダルトサイトへ誘導することで、Android用スパイウェア「FallSpy（フォールスパイ）」を端末に送り込みます 。
• DroneLink（ドローンリンク）：ウクライナの防衛関連組織に狙いを定め、ドローンや軍事関連のテーマを餌に、ネットワークへの侵入と情報窃取を試みます 。
• Nebo（ネボ）：PrincessClubと並行して展開され、同じくFallSpyスパイウェアを拡散しますが、独自のカスタムローダー（読み込みプログラム）を使用する点が異なります 。

人とAIが“共作”した、欠陥だらけの凶器

GreyVibeの攻撃を支えるのは、独自に開発された複数のマルウェアです。WithSecureは、その一部が大規模言語モデル（LLM）の支援を受けて開発されたと中程度の確信をもって評価しています。しかし、このAIによる開発が、グループにとって致命的な「失策」となりました。コードに含まれる設計上の欠陥が、研究者に攻撃者の行動を詳細に観察する数ヶ月もの猶予を与えたのです 。

• PhantomRelay（ファントムリレー）：Windowsを標的とした遠隔操作ツール（RAT）で、初期侵入の主力です。PyInstallerやJavaScriptで作られたローダーを通じて配信されます 。
• LegionRelay（リージョンリレー）：より多機能な第2段階の攻撃ツールです。PowerShellベースで、REST APIを介して指令サーバーと通信。ファイルの探索と窃取、スクリーンショット撮影、ブラウザやTelegram、WhatsAppのデータ収集、リモートデスクトップ接続などを行います。研究者が発見した重大なコーディング上の欠陥は、LLMによる開発支援の結果だとみられています 。
• FallSpy（フォールスパイ）：Android端末を対象とする監視ツールで、PrincessClubとNeboキャンペーンで使用されています。連絡先、通話履歴、インストール済みアプリ、SIM情報、端末情報、Wi-FiのSSID、位置情報、IPアドレス、メディアファイルなど、端末内のありとあらゆる個人情報を収集します 。
• 難読化ツール群：検出を回避するため、攻撃者はカスタムローダーや難読化ツールを次々と切り替えています。LOOKVALPS（PowerShell）とLOOKVALJS（JavaScript）から始まり、2025年10月にはDAYLIGHT（PowerShell）、2026年3月にはTEASOUP（JavaScript）へと移行しました 。

国家の尖兵か、サイバー犯罪者か？複雑な「帰属」の謎

GreyVibeの活動はウクライナの軍や政府、重要インフラを標的としており、明らかにロシアの国益に沿った諜報活動です。WithSecureもオペレーターがロシア語を話し、モスクワ時間帯（UTC+3） で活動していることから、この点については高い確信を持っています 。

しかし、GreyVibeを単純な「国家の支援を受けたハッカー集団（APT）」と断定することには慎重です。そこには、サイバー犯罪組織との複雑な関係を示唆する以下のような証拠が複数あるからです。

• PhantomRelayの亜種が、GreyVibeとは無関係のサイバー犯罪クラスターからも見つかっている。
• 使用された特殊なISOファイルビルダーが、悪名高い「TrickBot」のエコシステムと関連している可能性がある。
• 開発者がテスト用のマルウェアサンプルをVirusTotalにアップロードするなど、APTにあるまじきずさんな行動が見られる。
• 「letsrollboyos」や「cuteuwu」といったインターネットスラングを命名規則に使用している。
• 一部の感染端末で、**仮想通貨のマイニングツール「XMRig」**を展開していた 。

WithSecureは、ロシア情報機関がサイバー犯罪グループを取り込んで活動させる前例があると指摘しつつ、GreyVibeの正確な立場（国家に吸収された元犯罪者か、契約ベースの協力者か）は不明としています。総じて、純粋な技術力では「中～低度」と評価されるGreyVibeが、AIを積極的に武器化することで「自らの実力以上の致命的な打撃力を発揮している」というのが現状の評価です 。

用語解説

• RAT (Remote Access Trojan)：遠隔操作型ウイルス。感染したパソコンを外部から自在に操作し、情報窃取などを行う。
• APT (Advanced Persistent Threat)：特定の組織や国を標的に、長期間にわたり潜伏・攻撃を継続する高度なサイバー攻撃集団。
• VirusTotal：ファイルやURLを複数のアンチウイルスエンジンで検査できる無料のオンラインサービス。