クラウドストライクはこのほど、「2025年版 グローバル脅威レポート」に関する説明会を開催した。同レポートは250を超える特定された攻撃者グループ、140の新たな活動クラスターの追跡結果をまとめたもの。

同レポートでは、注目すべきポイントとして、以下について説明している。

  • 中国のサイバースパイ活動が凶悪化
  • 生成AIによりソーシャルエンジニアリング攻撃が急増
  • イランが生成AIを悪用して脆弱性を調査・攻撃
  • 侵入からログインへ – マルウェアを用いない攻撃が急増
  • インサイダー脅威が引き続き増加
  • レイクアウトタイムが劇的に短縮
  • クラウド環境を狙う攻撃が増加
  • 引き続き狙われているパッチが適用されていない脆弱性

以下、「中国のサイバー攻撃」「生成AI×ソーシャルエンジニアリング攻撃」について、紹介する。

成長を続ける中国のサイバー組織

同社は2024年に中国に関連する新たな敵対勢力を7つ特定し、スパイ攻撃が150%増加し、金融サービス、メディア、製造業、産業セクターを標的とする攻撃が急増して最大で300%増となったことを明らかにした。

ファルコン コンプリート マネージャー 鵜沢裕一氏は、「中国のサイバー攻撃が増えていることは憂慮すべき事項」と語った。

  • クラウドストライク ファルコン コンプリート マネージャー 鵜沢裕一氏

こうした中国の動きにおいて最も注目すべきは、政府がサイバー能力強化に向けて数十年間にわたって投資を行ったことで、中国はロシアと並ぶ能力を獲得したことだという。

鵜沢氏は「中国のサイバー犯罪者はこれまで攻撃を隠そうとしておらず、隠匿化の部分ではロシアに劣っていたと考えている。しかし、彼らはロシアと並ぶ、攻撃を隠蔽する力をつけた」と説明した。

中国の組織がサイバー攻撃を行う背景には、台湾の再統一など地政学的な野心などがあるが、鵜沢氏は「効果を上げていると言わざるを得ない」との見方を示した。

  • 2024年にFalcon OverWatchが阻止した中国関連の攻撃件数

さらに、鵜沢氏は中国関連の攻撃について最も懸念すべき点として、セキュリティを重視した手法を挙げた。これまでは、侵入してデータを窃取するにとどまっていたが、現在は攻撃を隠匿するために、中継基地を確立してボットネットを使用するなど、長期潜伏のための投資が行われているという。

これにより、中国のサイバー攻撃者の追跡と対策が困難になっていることを確認しているそうだ。鵜沢氏は「攻撃者の専門性を理解すれば防御策を理解できる」として、攻撃者の専門性を理解することの重要性を指摘した。

生成AIによりソーシャルエンジニアリング攻撃が急増

AIを悪用したフィッシングやなりすましにより、2024年上半期から下半期にかけてボイスフィッシング(ビッシング)が442%増となったことがわかった。

CURLY SPIDER、CHATTY SPIDER、PLUMP SPIDERのような高度なサイバー犯罪グループが、ソーシャルエンジニアリングの手口を使って認証情報を窃取し、検知を回避しながらリモート接続を行っているという。中でも、ビッシングとヘルプデスクに対するソーシャルエンジニアリングが急増している。

鵜沢氏は、ソーシャルエンジニアリングを用いた攻撃が増えた背景について、「エンドポイントの技術が高度化したことで、攻撃者は間違いやすい人間を標的にし、正規のアクセス権を獲得して侵害する方法が確立されている」と説明した。

具体的には、ITサポートを装ってリモート接続を行って不正行為を行ったり、ヘルプデスクを装って従業員にパスワードやMFA(多要素認証)のリセットを要求したりする。

加えて、鵜沢氏は攻撃者について注目すべき点として、生成AIを悪用したコンテンツの精度の高さを挙げた。人間が作ったフィッシングコンテンツと生成AIが作ったコンテンツのクリック率を比較したところ、それぞれ12%と54%となり、生成AIが効果的なフィッシング攻撃を実施できることが明らかになったという。

また、ディープフェイク動画を用いた活動によって攻撃者に送金された金額は2億5600万ドルに上るインシデントも起こっている。

鵜沢氏は、今回の調査結果を基に、攻撃者の脅威から組織を守るための対策として、以下を紹介した。

  • アイデンティティを保護する対策
  • クラウドの保護
  • クロスドメイン環境の可視化
  • 攻撃者情報に基づいた対策
  • 自身の組織を狙う攻撃者を知ること