クラウドストライク株式会社は9月10日、「2025年版脅威ハンティングレポート」を発表した。
同レポートは、命名された265を超える攻撃者を追跡するCrowdStrikeの脅威ハンターとインテリジェンスアナリストから得た最前線のインテリジェンスに基づいている。
同レポートのハイライトは下記の通り。
・攻撃者は広範囲にわたりAIを武器として活用
北朝鮮関連の攻撃者FAMOUS CHOLLIMAは、生成AIを使用してインサイダー攻撃プログラムのあらゆる段階を自動化。AIを活用した攻撃者の手口は、偽の履歴書の作成、ディープフェイクによる面接の実施、偽名による技術的業務の遂行に至るまで、従来のインサイダー脅威から、スケーラブルで持続的な活動へとその形を大きく変えている。ロシア関連の攻撃者EMBER BEARは生成AIを利用して親ロシア的な言説を拡散し、イラン関連の攻撃者CHARMING KITTENは、大規模言語モデル(LLM)によって作成されたフィッシング誘導文を用いて米国やEUの企業を標的としている。
・エージェント型AIが新たな攻撃対象領域に
CrowdStrikeは、AIエージェントを構築するために使用されているツールの脆弱性を悪用して不正にアクセス権を獲得し、持続的な足場を築き、認証情報を収集して、マルウェアやランサムウェアを展開している複数の脅威アクターを確認。
・生成AIが作成したマルウェアが現実の脅威に
低レベルのサイバー犯罪者やハクティビストはAIを悪用してスクリプトを生成し、技術的な問題を解決して、マルウェアを作成、これまで高度な専門知識を要していた作業もAIによる自動化が可能に。
・SCATTERED SPIDERがアイデンティティを悪用したクロスドメイン攻撃を加速
2025年に活動を再開したSCATTERED SPIDERは、ビッシングやヘルプデスクのなりすましを用いて認証情報をリセットし、多要素認証をバイパスして、SaaSおよびクラウド環境間をラテラルムーブメントしており、あるインシデントにおいては初期アクセスからランサムウェアの展開による暗号化までを24時間以内で遂行している。
・中国関連の攻撃者による継続的なクラウド攻撃の急増
クラウドの侵入件数が136%増加しており、増加した活動のうち40%は中国関連の攻撃者が占める。GENESIS PANDAやMURKY PANDAはクラウドの設定ミスや信頼されているアクセス権を通して検知を回避している。
CrowdStrike で Counter Adversary Operationsの責任者を務めるAdam Meyers氏は「攻撃者は、企業が導入しているAIシステムそのものを標的にしています。AIエージェントはすべて、超人的なアイデンティティを持ち、自律的かつ高速に動作し、システムに緊密に統合されているため、極めて価値の高い標的となります。」とコメントしている。
