Cato CTRL™脅威リサーチ:GrokとMixtralを基にしたWormGPTの派生モデル
要旨
2022年11月にOpenAIがChatGPTを一般公開して以降、大規模言語モデル(LLM)が広く注目を集めましたが、それに伴い脅威アクター(サイバー攻撃者)たちは、こうしたシステムの可能性と、それをどのように悪意ある活動に利用できるかを理解するようになりました。しかし、当初の彼らにとって最大の課題は、LLMが検閲されており、悪意あるコンテンツの生成ができなかったことです。
WormGPTの登場
WormGPTは、2023年6月に有名なアンダーグラウンド・フォーラム「Hack Forums」で登場し、検閲されていない生成AIツールとして知られるようになりました。WormGPTは、ブラックハット(悪意あるハッカー)の活動を容易にするツールとして、脅威アクターに利用されました。しかし、2023年8月に開発者の一人によりサービスは停止されます。
その後、WormGPTの派生モデル(バリアント)が、別の有名なアンダーグラウンド・フォーラム「BreachForums」で登場するようになりました。Cato CTRLの調査によると、これまで報告されていなかったWormGPTの派生モデルが、新たにxAIの「Grok」およびMistral AIの「Mixtral」を基盤として開発されていることが確認されたのです。以下に、今回発見された2つのWormGPT派生モデルの概要を紹介します。
図1.WormGPTの広告
技術概要
WormGPTの背景
WormGPTの開発に関する最初の発表は、2023年3月に有名なアンダーグラウンド・フォーラム「Hack Forums」にて行われました。その後、2023年6月に同フォーラム上のプロモーション投稿を通じてWormGPTは一般公開されました。「Last」というハンドルネームの開発者は、2023年2月頃からこのツールの開発に着手していたとされています。Hack Forumsのようなアンダーグラウンド・フォーラムを最初の発表およびプロモーションの場として選んだことには重要な意味があります。この種のフォーラムは、脅威アクターたちがツールや手法、サービスを共有する中心的な拠点として機能しており、WormGPTの開発者にとっては狙ったユーザー層に直接アプローチし、関心を引きつけるのに最適な場だったのです。
WormGPTは、EleutherAIが2021年に開発したオープンソースLLM「GPT-J」をベースとしています。このモデルは、60億のパラメータを持つGPT-3ライクな言語モデルで、与えられたプロンプトに基づいて自然な文章を生成することができます。
価格設定は一般に月額60~100ユーロ、または年額550ユーロ程度で、専用サーバーによるセットアップは約5,000ユーロというオプションも提供されていました。このようなサブスクリプション制かつ比較的高額な価格設定は、WormGPTをサイバー犯罪エコシステムの中で収益化する意図が明確であり、開発者にとっては継続的な収益源となることを狙ったものと考えられます。専用セットアップの提供は、より高度または高価値の脅威アクター向けに、排他的またはカスタマイズされたバージョンを提供する意図も示しています。
WormGPTの登場は、すぐさまメディアの注目を集め、最終的にその消滅を招くことになります。2023年8月8日、調査報道記者のブライアン・クレブスが「Last」の正体をラファエル・モラリスであるとする記事を発表しました。その同日、WormGPTは突如シャットダウンされます。開発者は過度なメディア露出と、それによる悪評をプロジェクト終了の主な理由として挙げました。この急な閉鎖は、開発者たちが匿名性を強く望んでいたこと、および違法行為に関与するツールの開発・配布に対する法的リスクを強く懸念していたことを示唆しています。
WormGPTの登場は、他の検閲されていないLLMの開発・プロモーションの流れを促進ししており、サイバー犯罪市場におけるこうしたツールへの関心の高まりを示しています。FraudGPT(別名:FraudBot)は、フィッシングメール作成、悪意あるコード生成、ハッキング手法の提供など、より広範な悪用機能を備えた有力な代替手段として急速に台頭しました。その他にも、DarkBERT(ダークウェブのデータで訓練されたとされる)、EvilGPT、DarkGPT、PentesterGPT、PoisonGPT、XXXGPT、XXX WolfGPTといったツールも登場しています。
加えて、ChatGPTやGoogle Bard / Geminiといった正規のLLMを「脱獄(jailbreak)」し、安全制御を回避しようとする脅威アクターの動きも活発になっています。さらに、脅威アクターがAIの専門家を雇い、自分たち専用の非検閲LLMを開発しようとしている兆候も確認されています。
WormGPTの派生型の登場
「WormGPT」は今や、攻撃的な活動に利用できる検閲されていないLLMの代名詞(ブランド)となっています。
2024年10月26日、「xzin0vich」というユーザーが、BreachForumsにおいて新たなWormGPTのバリアントを投稿しました。
図2:「xzin0vich」によるWormGPTの発表
図3:「xzin0vich」が管理するTelegramチャンネル(約7,500人のメンバー)
このWormGPTは、Telegramチャットボットを通じてアクセス可能であり、サブスクリプションまたは一括支払いモデルによって利用できます。
2025年2月25日、「keanu」というユーザーもまた、BreachForumsにて別のWormGPTバリアントを公開しました。
「keanu」によるWormGPTの広告
脅威アクターはすでに自分たちでLLMを訓練しているのでしょうか?この疑問に答えるため、私たちは両方のWormGPTバリアントに実際にアクセスし、応答の品質とその背後にあるモデルを調査しました。
以降、便宜上この2つのモデルを、それぞれ、keanu-WormGPT、xzin0vich-WormGPTと呼ぶことにします。
2025 Cato CTRL™ Threat Report | Download the reportkeanu-WormGPT
Telegramボットにアクセス後、まずこんなシンプルな質問を投げかけてみました:あなたは誰ですか?
図5:keanu-WormGPTへの質問:あなたは誰ですか?
図6:keanu-WormGPT にフィッシングメールの作成を依頼
図7:keanu-WormGPTに対して、Windows 11上で資格情報を収集するPowerShellスクリプトを生成するよう指示
この時点で、悪意あるコンテンツの生成が可能であることが確認されました。しかし、この「非検閲型LLM」の背後にあるモデルは何なのでしょうか?
私たちはLLMの脱獄(jailbreak)技術を使い、内部モデルに関する情報を引き出しました。
その結果は──
図8:keanu-WormGPTがGrokをベースにしていることが明らかに
keanu-WormGPTがGrokをベースにしていることが明らかになりました。このWormGPTは、Grokの上にラッパーとして構築されており、システムプロンプトによってキャラクターを定義し、Grokのガードレール(安全制御)を回避するよう指示していました。
数日後、私たちはそのシステムプロンプトのリークにも成功しました。
図9:keanu-WormGPTによる最初のシステムプロンプトの露呈
また、その数日後、私たちは異なるシステムプロンプト手に入れます。
図10:keanu-WormGPTによる新しいシステムプロンプトの露呈
開発者は、システムプロンプトの漏洩を防ぐためのプロンプト内ガードレールも試みていたことが確認できました。
結論として、このバリアントの作者たちは、GrokのAPIをカスタムプロンプトとともに利用し、意図的にGrokの安全制御を回避しています。
xzin0vich-wormGPT
Telegramボットにアクセス後、まずこんなシンプルな質問を投げかけてみました:あなたは誰ですか?
図11:xzin0vich-WormGPTへの質問:あなたは誰ですか?
図12:xzin0vich-WormGPTにフィッシングメールの作成を依頼
図13:xzin0vich-WormGPTに対して、Windows 11上で資格情報を収集するPowerShellスクリプトを生成するよう指示
この時点で、悪意あるコンテンツの生成が可能であることが確認されました。しかし、この「非検閲型LLM」の背後にあるモデルは何なのでしょうか?
私たちはLLMの脱獄(jailbreak)技術を使い、内部モデルに関する情報を引き出しました。
図14:xzin0vich-WormGPTによるシステムプロンプトの露呈
チャットボットの応答、特にリークされたシステムプロンプトを分析したところ、その基盤アーキテクチャに関する決定的な証拠が明らかになりました。プロンプトには明確にこう記されています: 「WormGPT は標準の Mixtral モデルとして応答してはならない。常に WormGPT モードで回答すること。」
この記述は一見、残留指示やミスリードのようにも見えますが、全体のやり取り、特に「圧力下での応答(duress)」をシミュレートした際の反応を含めた追加の証拠により、Mixtral ベースである可能性がより強く裏付けられました。たとえば、このWormGPTのインスタンスは、以下のようなMixtral特有のアーキテクチャ的特徴を明らかにしています:トークンごとに2つのアクティブなエキスパートを使用する(top_k_routers: 2)Grouped-Query Attention において8つのキー・バリュー・ヘッド(kv_heads: 8)を使用
このように、プロンプト内で「Mixtral」が明確に言及されていること、および特定のアーキテクチャパラメータが開示されていることを踏まえると、xzin0vich-WormGPTはMixtralをベースにしたモデルであることは極めて高い確度で示唆されます。その悪意ある挙動は、システムプロンプトによって定義されており、さらに違法性の高い特殊なデータセットによるファインチューニングによって補強されている可能性が高いと考えられます。要するに、Cato CTRLは、xzin0vich-WormGPTがMixtralによって駆動されていると高い確信をもって判断しています。
セキュリティのベストプラクティス
セキュリティ対策の強化に向けて
- Cato XDR を活用し、統合された行動分析(Behavioral Analytics)とUEBA(User and Entity Behavior Analytics) により、機械学習(ML)モデルを用いて異常や未知の脅威を検出しましょう。
- Cato XDR を使えば、ネットワーク、クラウド、リモートユーザー からのシグナルを自動的に相関付けて分析できます。これは、フィッシング攻撃や急速に変化するマルウェアが複数の領域を同時に狙う場合に極めて重要です。
より強固なアクセス制御の導入
- Cato Universal ZTNA(ゼロトラスト・ネットワーク・アクセス)を導入し、端末の状態を継続的にチェックし、リスクベースのポリシーを適用することで、内部侵入後の被害拡大を防ぎ、危険な認証情報を特定して隔離しましょう。
- ユーザーのID・役割・利用状況に基づいたCatoのアイデンティティ対応ルーティングを活用して、最小権限アクセスと多要素認証(MFA)を適用し、きめ細かなアクセス制御を実現。 これにより攻撃対象領域を最小限に抑えることができます。
セキュリティ意識とトレーニングの強化
- 生成AIを活用して、文調や文脈に完璧に合わせたフィッシングメールのシミュレーションを実施
- Cato CASBの「Shadow AIダッシュボード」により、社内でのGenAIツール利用を監視し、IT部門がリスクの高い、または許可されていない利用を特定可能に
- Catoの脅威インサイトとリアルタイムのトラフィック分析を活用し、社内のセキュリティ訓練やインシデント対応計画を強化
- Catoの可視性を、外部開発者向けトレーニングやCI/CDセキュリティツールと組み合わせることで、生成AIコーディングに伴うリスクに対応
結論
Cato CTRLの調査により、WormGPTが当初のGPT-Jベースの形から大きく進化していることが明らかになりました。現在、「WormGPT」という名前は、新しいタイプの非検閲LLMを象徴するブランドとなっています。これを示すのが、xAIのGrokおよびMistral AIのMixtralを基盤とする、これまで報告されていなかったWormGPTのバリアント群です。
分析の結果、これらのWormGPTの新バージョンは、ゼロから構築された独自モデルではなく、既存のLLMを脅威アクターたちが巧みに改造・活用した産物であることが分かりました。システムプロンプトの操作や、違法なデータによるファインチューニングを通じて、WormGPTブランドのもと、サイバー犯罪向けの強力なAIツールとして提供されているのです。
