Passwork ノーサンプトンシャーの英国運送会社KNP Logistics Groupは、大量生産の電球よりも長い歴史を持つ企業でしたが、壊滅的なセキュリティ侵害により700人以上の従業員が職を失い、倒産しました。この158年の歴史を持つ企業は、ランサムウェア攻撃の犠牲となりました。
KNPの画面に現れたAkiraランサムウェアグループからのメッセージは、背筋が凍るほど直接的でした。「これを読んでいるということは、あなたの会社の内部インフラが完全または部分的に死んでいることを意味します。私たちが到達できたすべてのバックアップ—仮想、物理—は完全に削除されました。」
KNP Logisticsの従業員は、おそらくPassGANというパスワード推測用の生成的敵対ネットワーク(GAN)について聞いたことがなかったでしょう。このシステムとHashcatを組み合わせることで、 最大73% 多くのパスワードをHashcat単体よりも一致させることができます。 Akiraがこのツールを使用した証拠はありませんが、パスワードクラッキングに利用できるもの、そして弱いパスワードセキュリティがいかに組織を容易に推測される認証情報を悪用するランサムウェア攻撃にさらすかを示しています。
AI搭載のパスワード攻撃は脅威の状況を一変させました:攻撃者は今や機械に人間のように考えさせますが、そのスピードも賢さも粘り強さも人間以上です。これは新たな時代の到来を意味し、従来の防御策はAIに対してますます太刀打ちできなくなっています。
AIによるパスワード推測とは?その仕組みは?
AIによるパスワードクラッキング攻撃は、生成的敵対ネットワーク(GAN)などの機械学習アルゴリズムを使い、人間の行動や漏洩した認証情報のパターンを分析してパスワードを予測します。従来の総当たり攻撃がすべての組み合わせを機械的に試すのに対し、AIモデルは数十億件の漏洩パスワードデータから極めて高い確率で推測を行います。
これは、鍵屋がすべての鍵を試すのではなく、何百万人もの人々を研究し、あなたがどの鍵を選ぶか正確に知っているようなものです。PassGANは、スティーブンス工科大学とニューヨーク大学の研究者によって開発され、この変化を体現しています。パスワードを総当たりで解読するのではなく、驚くべき精度で予測します。
従来型からAI搭載攻撃へのシフト
これまで、インシデント後の報告はお決まりのパターンでした。「攻撃者は辞書攻撃を使い、従業員の弱いパスワードを悪用した。」教訓は明確で、セキュリティ意識を高め、研修を更新し、次に進むというものでした。今日では、AI搭載攻撃によりパスワードの推測はこれまでになく容易になっています。
攻撃の全容
KNP Logistics攻撃でAIがパスワード推測に使われた証拠はありませんが、公的な報告やサイバーセキュリティの助言からまとめられた攻撃チェーンの新たな全体像は、犯罪者がいかに狡猾であるかを示しています:
- ターゲット選定。 Akiraの攻撃者はオープンソースインテリジェンス収集を用いてKNP Logisticsを標的にしました。従業員のLinkedInプロフィールを分析し、企業構造を把握、主要人物を特定し、ソーシャルエンジニアリング用データを収集しました。
- 権限昇格。 ネットワークへのアクセス獲得後、攻撃者はバックドアアカウントを作成し、システム権限を昇格させて足場を固めました。この多層的アプローチにより、セキュリティチームが最初の侵入口を発見しても継続的なアクセスが保証されました。
- ラテラルムーブメント。 攻撃者はネットワーク内を横断し、重要なシステムを特定・アクセスしました。ネットワークをマッピングし、財務システム、データベース、顧客情報、高価値資産などの重要データを特定しました。
- データ流出。 攻撃者はランサムウェア展開前にファイル転送ツールを使い、大量の機密データを盗み出しました。
- ロックダウンと影響。 最後に、攻撃者はAkiraランサムウェアを展開し、ネットワーク全体の重要ファイルを暗号化しました。この攻撃でKNPの業務は麻痺し、ITシステムは完全に停止。約500万ポンドの身代金が要求され、72時間の期限が設けられました(同社は支払いませんでした)。
Akiraはダブルエクストーション戦術を用い、システムの暗号化と盗んだ機密データの公開を同時に脅迫しました。この手法は、業務停止と評判失墜の両面から被害者に支払いを迫り、バックアップによる復旧能力があっても支払いを促す強力な動機となります。
AI搭載攻撃 vs 従来手法
今、こうした攻撃がAIの能力で強化されたと想像してください。従来型とAI搭載攻撃の違いは単なるスピードではなく、同じ問題への根本的に異なるアプローチです:
- ブルートフォース(総当たり)。 すべての文字の組み合わせを機械的に試してパスワードを解読します。8文字のパスワードの場合、複雑さによって解読時間は大きく異なり、単純なパスワードは即座に、大小英数字混在なら数年かかることもあります。
- 辞書攻撃。 一般的なパスワードやフレーズのリストでパスワードを試します。パスワードに辞書単語が含まれていれば、この方法は基本的な文字置換ルールと組み合わせることで50~67% の人間が作成したパスワードを数時間で解読します。
- クレデンシャルスタッフィング。 盗まれたユーザー名とパスワードの組み合わせを複数のサービスで数分以内に試し、最大2%の成功率で異なるプラットフォーム間のパスワード再利用を悪用します。
- AI攻撃。 現代のAIはパスワードパターンを分析し、大規模な漏洩データベースから学習し、ありそうな文字列を予測します。AI搭載ツールは一般的なパスワードの51% を1分で解読できると報告されています。
AIは高度なパスワードクラッキング攻撃を民主化し、かつては膨大な計算資源が必要だったものを、あらゆる攻撃者が利用可能な作業に変えました。人間のパスワード作成パターンを理解することで、AIは新しい認証情報を予測し、数秒でシステムを突破します。こうした攻撃は、従来ならセキュリティチームが検知するのに数日かかっていました。
AI搭載攻撃の検知方法
AI駆動型攻撃は従来の総当たり攻撃とは異なります。より高速で、しばしば発見が困難です。その人間らしい行動パターンは、単純な失敗率分析を超えた監視戦略を必要とします:
- 認証異常。 失敗がほとんどない高い成功率、異常な地理的場所からの正規認証、深夜のアクセスパターン。
- 行動指標。 アカウントをまたいだ急速な認証情報テスト、作成パターンに従った人間らしいパスワード試行、OSINTによる特権アカウントの標的化。
- システムレベルの警告。 予期せぬGPU使用率の急上昇、ニューラルネットワーク処理に一致するメモリパターン、AIインフラやC&Cサーバーへのネットワークトラフィック。
- 高度な検知。 高成功率の認証イベント用SIEMルール、ユーザー・エンティティ行動分析(UEBA)による逸脱検知、早期侵害検出用ハニートークン、自動化テストのAPI監視。
データ侵害防止のベストプラクティス
次のKNPになるか、安全を保つかは準備次第です。堅牢なデータ侵害防止計画は現代ビジネスの必須事項です。実際に効果があるのは次の通りです:
- ビジネス用パスワードマネージャーの導入。 人間が作成したパスワードを排除し、暗号学的にランダムな認証情報を使用します。
- 従業員教育。 AI搭載のソーシャルエンジニアリング、認証情報を収集するフィッシング、疑わしい認証リクエストを見抜く訓練を行います。
- パスワードの定期変更。 パターン分析を妨害し、露出期間を短縮するため30~90日ごとにパスワードを変更します。
- 多要素認証(MFA)の徹底。 ハードウェアセキュリティキー、TOTPアプリ、生体認証を組み合わせ、パスワードが漏洩してもアクセスを守ります。
- ゼロトラストアーキテクチャの確立。 最小権限原則、継続的な検証、マイクロセグメンテーションを適用し、侵害を封じ込めます。
- AI特有の脅威の監視。 UEBAやリアルタイムアラートで異常な認証パターンやアクセス行動を監視します。
- ソフトウェアとデバイスの最新化。 すべてのシステムで最新のセキュリティパッチを維持します。古いソフトウェアはAIが悪用できる侵入口になります。
- 認証情報管理の強化。 最新のビジネスパスワードマネージャーは生成・共有・監査を自動化し、最も弱いセキュリティリンクを強力な防御へと変えます。
どんなに高度なAIも、適切に管理された認証情報には無力です。現代のパスワード管理プラットフォームはこれらすべてを自動で処理します。
ビジネス用パスワードマネージャーの役割
AI攻撃は予測可能な人間の行動を突きます。解決策は、予測可能性を完全に排除することです。Passwork (Registerによるレビューはこちら)のようなビジネス用パスワードマネージャーは、数理的にランダムでパターン認識に耐性のある認証情報を生成します。チームはこれらのパスワードを安全に保存・管理・自動入力・社内共有できます。
Passworkは消費者向けツールでは実現できない機能を提供します:
- 認証情報の集中管理。 ITチームは実際のパスワードをユーザーに公開せずに、アクセス権の付与・変更・剥奪が可能です。退職者のアクセスも即座に消えます。
- チーム重視の設計。 共有サービスアカウント、部門別アクセス、コンプライアンス監査などビジネス現場に即した設計です。マーケティングチームは実際のパスワードを知らずにSNSアカウントへアクセスできます。
- 深い統合性。 既存のセキュリティインフラ(SIEM、Active Directory、SSO、監視ツール)とシームレスに連携し、セキュリティエコシステムの一部となります。
- コンプライアンス自動化。 詳細な監査ログとポリシー強制が自動で行われます。次回の監査はドキュメント作業のみで済み、慌てる必要がありません。
パターンなし。ロジックなし。予測可能性なし。ただ数学的なランダム性がAIの予測モデルを高価なランダム推測器に変えます。それがあなたのビジネスを救うかもしれません。結局、たった一つの予測可能なパスワードがKNP Logisticsの 完全停止 と700人の失業を招いたのです。
結論
AI搭載のパスワード攻撃はすでに現実です。ランサムウェア攻撃の増加は、あらゆる規模の企業に重大な脅威をもたらしています。問題は「自社が攻撃されるかどうか」ではなく、「備えができているかどうか」です。AIによるパスワードクラッキングの脅威は増大しており、PassGANのようなツールがその代表例です。
158年の試練を乗り越えたKNP Logisticsも、ノートパソコンより安価なAIシステムによって一瞬で壊滅しました。従来のセキュリティ対策は、継続的に学習し機械の速度で攻撃する敵には通用しません。
今すぐ適応し、Passworkのようなビジネス用パスワードマネージャーを導入した組織は、セキュリティアーキテクチャから人間の予測可能性を排除できます。
パスワードセキュリティをAIから守る準備はできていますか?Passworkを www.passwork.proでご覧ください。
寄稿:Passwork
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/10/16/machine_learning_meets_malware/
