クラウドストライクは9月10日、2025年版脅威ハンティングレポートに関する説明会を開催した。同レポートは、2024年7月1日から2025年6月30日までの間に実施された調査結果をまとめたもので、CrowdStrike OverWatchチームによる洞察に基づいている。
テクノロジー・ストラテジスト 林薫氏は、セキュリティの最新動向について、「最近、攻撃者はマルウェアを使わなくなってきている。そのため、マルウェアではなく、攻撃者にフォーカスしたレポートを出している」と語り、同レポートの意義を説明した。
-
クラウドストライク テクノロジー・ストラテジスト 林薫氏
1年間で同社が発見した新たな攻撃者の数は14で、追跡した攻撃者の総数は265を超えるという。
林氏は、最近の攻撃者の特徴として、スピードが上がっていることを挙げた。同社は1つの端末からラテラルムーブメントを始めるまでの時間「ブレイクアウトタイム」を算出しているが、6年前は4時間半だったところ、現在は48分まで短縮されているという。林氏は「50分以内に対応しないと、ラテラルムーブメントが始まってしまう」と指摘した。
また、AIを悪用する攻撃者が増えており、北朝鮮が支援していると思われる攻撃者「FAMOUS CHOLLIMA」によって潜入された企業の数は320以上だという。
以下、同レポートのポイントを紹介しよう。
AIの武器化
攻撃者は生成AIを武器として活動範囲を広げ、攻撃を加速させるとともに、自律型AIエージェントを標的とする傾向が強まっていることがわかった。AIを活用した攻撃者の手口は、偽の履歴書の作成、ディープフェイクによる面接の実施、偽名による技術的業務の遂行と、従来のインサイダー脅威から、スケーラブルで持続的な活動へ大きく変化しているという。
また、同社はAIエージェントを構築するために使用されているツールの脆弱性を悪用して、不正にアクセス権を獲得し、持続的な足場を築き、認証情報を収集して、マルウェアやランサムウェアを展開している複数の脅威アクターを確認している。
こうした攻撃は、エージェント型AIの進化により、企業の攻撃対象領域が形を変えつつあることを示しているという。林氏は「攻撃者はAIを開発し、標的組織のAIツールを攻撃する。しかしAIを使うからといって、必ずしも洗練された攻撃になるわけではない。AIの使い手のスキルによってレベルが変わってくる」と指摘した。
-
サイバー攻撃に悪用されるAIの例
クロスドメイン攻撃
エンドポイント、アイデンティティ、クラウドなど複数のセキュリティ領域にまたがって行われる「クロスドメイン攻撃」も増えていることがわかった。クロスドメイン攻撃においては、攻撃者が従来型の防御をバイパスするため、管理対象外のシステムへと迅速に移動するという。
林氏は「ラテラルムーブメントを行いながら、攻撃を繰り広げるクロスドメイン攻撃はサイロ化したソリューションでは対応できない。総合的な可視性を持つことが重要」と、クロスドメイン攻撃への対処を説明した。
アイデンティティハンティング
パスワードやユーザーIDといったアイデンティティは、依然として、容易でステルス性の高い侵入方法だという。例えば、窃取した認証情報を悪用したビッシングとヘルプデスクに対するソーシャルエンジニアリングはサイバー犯罪の最も有力な手段となっている。
正規のアカウントの悪用を見抜くには、マルチドメインのアプローチ、アイデンティティデータにとどまらないハンティングが必要
クラウドを狙う攻撃
スケール、膨大なデータ、頻繁に発生する設定ミスから、クラウドは攻撃者にとって格好の標的となっている。クラウドの侵入件数は136%増加しており、増加した活動のうち40%は中国関連の攻撃者が占めているという。
例えば、攻撃者は認証情報を窃取して、クラウドのコントロールプレーンを 武器化して、他のクラウドホスト型VMでコマンドを実行する。
こうした攻撃を防御するためのステップとして、林氏は以下を紹介していた。 - 攻撃者を知る - クロスドメインの可視性のギャップ解消 - アイデンティティの保護 - クラウドの防御 - 攻撃者起点のパッチの適用
GoogleアカウントがGmailアドレス「@gmail.com」の変更に対応
