AI生成とみられるPowerShellスクリプトを脅威アクターがActive Directoryのマッピングに使用 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > デイリーサイバーアラート > AI生成とみられるPowerShellスクリプトを脅威アクターがActive Directoryのマッピングに使用

デイリーサイバーアラート

AI

PhaaS

Silobreaker-CyberAlert

AI生成とみられるPowerShellスクリプトを脅威アクターがActive Directoryのマッピングに使用

佐々山 Tacos

佐々山 Tacos

2026.07.14

AI生成とみられるPowerShellスクリプトを脅威アクターがActive Directoryのマッピングに使用

The Hacker News – Jul 13, 2026

バイブコーディングにより作成されたとみられるPowerShellスクリプトを活用してActive Directory(AD)情報の列挙が行われたサイバー攻撃事例について、Huntressの研究者らが報告。サイバー犯罪者らがいかにAIを武器として利用し、AD環境のマッピングを行っているのかについてのケーススタディの1つとして紹介した。

 

Huntressの研究者らが観測したこのインシデントは、2026年6月3日に発生したとされる。脅威アクターはまず、元々漏洩していた認証情報のセットを利用してドメインに参加しているWindows ServerへのRDPアクセスを確立。続いて「C:\ProgramData\」フォルダにツールを配置していったとされる。

 

こうしたツールの1つが、AIを活用して生成されたペイロード。Huntressは、プレースホルダー文字列や過剰性能のコード、カラフルに見栄えを良くしたコンソール出力結果など、AI生成コードに特有な兆候をいくつか確認した上で、「AIによって生成されたものであることは否定できない」との結論に達している。

 

Huntressが「非常にアグレッシブ」で「ノイジー」と説明するこのPowerShellスクリプトは、「100% Working AD Information Gathering Script – FULLY FIXED(100%動作確認済み AD情報収集スクリプト – 完全に修正済み)」と名付けられており、LLMとのやり取りを経て作成されたものであろうことが示唆されている。Huntressによれば、このスクリプトは、偵察や情報収集を可能にするために「5段階のカスケード式フォールバックメカニズム」を利用するという。

 

同スクリプトはプライマリドメインコントローラを特定すると、データ収集ルーチンを開始。ADのユーザー、コンピューター、グループ、組織単位(OU)、および信頼関係に関する情報を体系的に収集し、その詳細を一時ディレクトリに保存する。

 

それからおよそ30分後、攻撃者は大量のファイルの操作に使われる正規ツール「s5cmd」と、C#ベースのネットワークシェア列挙ユーティリティ「SharpShares」を投下し、ユーザーからアクセス可能なデータリポジトリを検索したとされる。続く最後の段階では、データ窃取の概要を「Active Directoryインベントリレポート」という形式でまとめたHTMLファイルが作成されたのち、データがCSVファイルに出力されてアーカイブされた後、リモートサーバーへ持ち出されたという。

 

Huntressは、今回発見されたAI生成のスクリプトについて、煩雑かつ過剰性能でAI生成特有の特徴を多数有していたかもしれないが、このスクリプトがもたらす脅威は「非常にリアル」であると指摘。バイブコーディングによってサイバー犯罪への参入障壁が下がり、スキルの低いアクターでも有能で検出されづらいツールを作成できるようになっている背景を踏まえ、シグネチャベースの硬直的な考え方を捨てて行動分析を取り入れ、いかなるLLMでも隠し切れない根本的な行動を捕捉できるようにすることを推奨している。

月額400ドルのPhaaSキット「Forg365」、デバイスコードフィッシングでMicrosoft 365を標的に

The Hacker News – Jul 13, 2026

Microsoft 365アカウントを標的にする新たなフィッシング・アズ・ア・サービス(PhaaS)オペレーション「Forg365」について、Eメールセキュリティ企業ZeroBACが報告。Forg365は、デバイスコードフィッシング、AitM戦術によるセッション窃取、アンチボット検出、AI支援型のルアー作成、そして侵害後のメールボックス操作をサポートしているという。

 

Forg365は、Telegramを通じて月額400ドルまたは年額3,800ドルで提供されているPhaaSキット。利用者はTelegram経由での登録を完了後、クリアネットからアクセス可能なオペレーターパネル(logfriend[.]com/login)を利用できるようになる。ここから、ルアーの作成やフィッシングキャンペーンのセットアップ、取得したトークンの管理などが可能だという。ZeroBACは、「このパネルには、アカウント、リンク、招待、OAuthアプリの設定、リダイレクトリンク、SVG生成、キャンペーン送信、SMTPプロファイル、SMTPローテーション、AIによるメール生成、トークンの保管、アカウント分析、キーワードアラート、閲覧用リンク、ブラウザ拡張機能のサポートなど、成熟したオペレーターのワークフローが反映されている」と説明した。

 

Forg365を利用した攻撃チェーンとしては、ビジネス文書や送金承認を装ったルアーを用いて受信者を欺き、悪意あるリンクをクリックさせる手口が確認されている。送信元ドメインは配信にAmazon SESを使用しており、メッセージ本文にはSendGridがホストする画像や追跡用リソースが含まれるなど、正規Eメール配信インフラが悪用されるという。

 

Forg365には、デバイス認証型フィッシング機能が含まれる。これについてZeroBACは、「Microsoft風の認証コードページを表示し、被害者を正規のMicrosoft Authentication Brokerのサインインフローへと誘導する」と説明。被害者には本物のマイクロソフトの認証画面が表示されるものの、認証コードによって攻撃者が制御するセッションが承認されると付け加えた。

 

加えて、 Forg365プラットフォームの注目ポイントとして挙げられるのが、Chromiumベースのブラウザ向けの拡張機能「ForgCookie」が提供されている点。「マイクロソフトサービス向けの自動SSO Cookie更新」と説明されるこの拡張機能は、侵害済みのアカウントへ継続的にアクセスできるようにするためのアドオンで、トークンの取得とブラウザへのアクセスとの間を仲介する役割を果たすとされる。

 

ZeroBACによれば、Forg365はKali365やSneaky 2FAエコシステムと似たサービスであると考えられ、ルアー作成から配信・検出回避・トークン/セッション処理、侵害後の活動までをサブスクリプションベースのセットアップにまとめたビジネスモデルの業界標準化を反映しているという。Forg365については、侵害済みのEメールアカウントにおいて特定のキーワードをモニタリングしたり、特定のメールスレッドに対してAIを使用しながら返信メッセージを作成したりといった、たような侵害後の活動が可能になっている。

 

この結果、フィッシング実施に必要なスキルの閾値が下がり、経験の少ないアクターでもあらかじめ用意されたテンプレートを利用し、最小限の労力で大規模にキャンペーンを実施できる。また、熟練したオペレーターであればランディングページのカスタマイズからインフラのローテーション、トークンの管理、クッキーデータの生成、および侵害されたアカウントの監視までをこのプラットフォームを通じて行うことができるようになっている。

 

デバイスコードフィッシングに対応したこうした脅威に対抗するためには、必要がない限りデバイスコード認証を無効にすることや、デバイスコード関連のイベント発生後にメールボックスの記録を精査して不審な活動の兆候がないか確認すること、メールフローのルールを監査すること、また現役の従業員に対応しなくなったレガシーなエイリアスを廃止することなどの対策が推奨される。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ