-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
「ハッカーらはサイバー攻撃の各段階でAIを悪用」マイクロソフトが報告
BleepingComputer – March 7, 2026
脅威アクターらは、偵察、フィッシング、インフラ開発、マルウェア作成、侵害後の活動など、多様なタスクに生成AIツールを使用するようになっているという。マイクロソフトが新たなレポートの中で報告した。
マイクロソフトの脅威インテリジェンスチームによると、AIの悪意ある用途の大半はテキストやコード、メディアの作成。具体的には、フィッシングメールの草案作成やコンテンツの翻訳、窃取データの要約、マルウェアのデバッグ、スクリプト作成やインフラの構成設定の補助などに使われることが多いとされる。こうした用途において、AIは技術的な摩擦を減らし実行を加速させる攻撃力増強装置として機能する一方、目標達成、標的選定、デプロイメントの決定に関しては引き続き人間のオペレーターが担当するという。
マイクロソフトはAIをサイバー攻撃に取り入れている脅威グループを複数観測しており、これにはJasper Sleet(Storm-0287)やCoral Sleet(Storm-1877)など北朝鮮のアクターも含まれる。こうしたアクターは、偽リモートITワーカースキームにおいてAIを悪用しているとされる。マイクロソフトによれば、AIはこのような攻撃の各ステージにおいて以下のような用途で使われているという。
<偵察段階>
- エクスプロイトのリサーチ
- ツールやインフラの探索
- ペルソナナラティブの考案
- 特定の職務市場や役割に合わせた説得力のあるデジタルペルソナの作成
<リソース開発>
- インフラのセットアップ(VPN、プロキシ、トンネリングなど)
- GAN(敵対的生成ネットワーク)ベースの手法を活用した、正当なブランドやサービスに酷似したドメイン名の自動生成
- 履歴書やカバーレターの生成
- 画像の修正や偽造身分証明書の作成
<初期アクセス>
- 標的に合わせてカスタマイズされた完成度の高いフィッシングルアーの作成
- 音声の変調や、ディープフェイク動画のオーバーレイ
- 標的に関するスクレイピングデータに基づく、フィッシングメッセージの動的なカスタマイズ
<永続性確保・防御回避>
- 偽のアイデンティティの調整
- メッセージ/文書の翻訳による言語の壁の排除と、ターゲット企業の同僚との円滑なコミュニケーションの支援
<武器化>
- マルウェアのスクリプト作成およびデバッグ
- ペイロードの動的な細工と再生成
<侵害後>
- データの探索と要約
- 標的環境に合わせたツールの調整
- 恐喝メッセージやランサムノートのカスタマイズや自動生成
AIツールに備われるセーフガードによって上記のようなタスクの実行が妨げられそうな場合、脅威アクターらはジェイルブレイク手法を使ってLLMを欺き、悪意あるコードやコンテンツを生成させているとされる。
マイクロソフトはまた、脅威アクターらあg生成AIを活用するだけでなく、エージェント型AIも実験的に使い始めている旨を共有。しかし現在のところ、AIは自律的な攻撃のためというより、主に意思決定のために使われているという。
AIを活用したこれらの攻撃は従来のサイバー攻撃と類似しているため、防御側は異常な認証情報の使用を検知すること、フィッシングに備えてIDシステムを強化すること、また、将来の攻撃で標的となり得るAIシステムを保護することに注力する必要がある。
フォーチュン500企業や政府機関などが用いる証明書900件超の秘密鍵が漏洩
フォーチュン500企業や政府機関などを保護する有効なTLS証明書2,600件超の秘密鍵が、GitHubやDockerHub上で誤って公開されているという。GoogleとGitGuardianの共同調査で明らかになった。
GitGuardianの研究者らは、GitHubやDockerHubなどの公開コードサイトに誤って投稿されたおよそ100万件の秘密鍵を2021年から追跡してきた。そしてこれらの秘密鍵をGoogleが保有するWebレコードデータベースと照合した結果、漏洩状態の秘密鍵を140,000件の実際の証明書と紐づけることに成功したという。
これらの証明書のうち、2025年9月の時点で2,622件が有効かつアクティブだったとされる。このうち900件以上は、フォーチュン500企業や医療関連事業者、また政府機関を保護する証明書。また約1,300件が、あらゆる手段を尽くしても追跡不能で影響を受ける企業または組織への通知ができなかったとされる。
漏洩した秘密鍵を攻撃者が悪用すれば、Webサイトのなりすましやデータの傍受などが行えるようになる恐れがある。しかしGitGuardianがこの件について600超の組織に通知したところ、返信があったのはほんの9%の組織のみ。この問題に対する関心の低さが伺えたという。
研究者らは、秘密鍵が流出したとしても被害を最小限に抑えられるよう、自動でローテーションされる単発使用の秘密鍵への移行に向けて動くべきだと結論づけている。
【Eブック無料配布中:Codebook 2025 ~サイバーセキュリティ分析レポート~】
Codebookの記事が、Eブックになりました。サイバーセキュリティの2025年を振り返る本書では、昨年1年間を通じてCodebookで発信した重要なニュースの数々とそこから得られる教訓や知見を、弊社インテリジェンスアナリストの見解とともに紐解いていきます。
無料ダウンロードはこちらから:
その他の無料配布中レポート
地政学レポート
【最新版】インテリジェンス要件定義に関するガイドブック
-300x200.png)
OSINT関連レポート
ディープ&ダークウェブレポート
