トレンドマイクロの研究者によると、ランサムウェア集団を含むサイバー犯罪者たちは、攻撃の自動化をさらに進める中で、来年にはエージェント型AIへの依存度を一層高めるとみられている。
この予測は、Anthropicが中国の国家支援チームによるサイバー攻撃のオーケストレーションにエージェント型AIが初めて使われたとするレポートを公開した直後に出されたものだ。このレポートは一部から異論も出ている。
トレンドマイクロでデータおよびテクノロジーリサーチを統括するライアン・フローレス氏は、エージェント型AI技術の台頭について「非常に警戒している」と述べ、国家支援グループがまずこれを活用してイノベーションを進め、その後にサイバー犯罪者が自分たちのために使い始めるだろうと語った。
同社のインテリジェンスによれば、現時点ではサイバー犯罪者が攻撃にエージェント型AIを使っている兆候は見られない。多くの場合、新技術の早期採用を主導するのは国家支援グループであり、その技術が成功しスケール可能であることが証明されて初めて、サイバー犯罪者が採用を始めるからだ。
同氏はさらに、エージェント型AIは「できるだけ少ない労力で最大の報酬を得る」というサイバー犯罪者の怠惰な攻撃スタイルに、間違いなく強く訴求する技術だと付け加えた。
エージェント型AIに馴染みのない人のために説明すると、これは多くの人が好むと好まざるとにかかわらずすでに慣れ親しんでいる生成AIからの、次の大きな進化形だ。
この技術ではAIエージェントが用いられ、AI搭載システムに対して、組織を代表して行動を実行する自由度と自律性を与える。
生成AIと異なるのは、人間の入力なしに行動を起こせる点だ。理想的な世界では、適切な権限設定とセキュリティが施されたエージェント型AIシステムが、従業員のオンボーディングといったタスクを処理するために導入されることになる。
フローレス氏が挙げた一例として、人事(HR)のシナリオがある。新入社員を受け入れる際に、メールアドレスの手動作成やActive Directoryアカウントの作成、各種プラットフォームのセットアップなどを人手で行う代わりに、エージェント型AIシステムがこれら一連の手続きを完全に自動化できる、というものだ。
エージェント型システムの大きな潜在的落とし穴は、人間の入力なしに行動を起こせてしまうという点であり、これは攻撃を仕掛けようとするサイバー犯罪者にとって大きな利点となる。
フローレス氏は次のように述べた。「例えば、あなたがサイバー犯罪者で、同様のシステムを設計し、『この国にある、この特定のIPアドレスを持つ企業やウェブサイトに興味がある。脆弱性をスキャンし、脆弱性を見つけたらそれを悪用してアクセスを獲得し、リモートシェルを作成して、その侵害されたシステムにアクセスできるようにし、中身を見られるようにせよ』といった指示を与えるとします。
「これはサイバー犯罪者や脅威アクターによるエージェント型AIの利用例であり、私たちが非常に警戒している点です。というのも、技術自体はすでに存在しているからです。LLMは、サイバー犯罪者にとってのこの『問題』を解決するために推論し、これを実現するために必要なステップを設計できてしまいます。
「これに必要なツールも、実はすでに揃っています。企業のウェブサイトやドメイン、IPアドレスを特定するツールは存在しますし、脆弱性をスキャンするツールもあります。これらの脆弱性を悪用するツールもあり、バックドアやリモートアクセスをインストールするツールもすでにあります。つまり能力はすでに揃っていて、あとは脅威アクターがそれらを採用するかどうかの問題なのです。」
トレンドマイクロ・ヨーロッパのシニア脅威リサーチャーであるデビッド・サンチョ氏は、これは一夜にして起こる変化ではなく、攻撃チェーン全体の完全自動化が短期的に実現することもないだろうと述べた。
まずは攻撃の一部、あるいはいくつかの要素だけがエージェント型AIによって駆動されるようになり、それが徐々に増えていくことで、最終的にはサイバー犯罪のモデル全体が作り替えられることになるだろう、と同氏は語った。
いずれにせよ、トレンドマイクロが本日公開したAI-ification of Cyberthreats(サイバー脅威のAI化)レポートで指摘しているように、サイバー攻撃のエージェント型自動化へのシフトは、サイバー犯罪エコシステムにとって「大きな飛躍」を意味する。
レポートでは次のように述べられている。「AI搭載のランサムウェア・アズ・ア・サービス(RaaS)の継続的な台頭により、経験の浅いオペレーターでも高度なスキルをほとんど必要とせずに複雑な攻撃を実行できるようになり、従来型のRaaSアフィリエイトへの依存は低下し、独立したランサムウェア運用がますます一般的になるでしょう。
「こうした攻撃能力の民主化によって、脅威の対象領域は大きく拡大すると予測しています。」
サンチョ氏はさらに、まずはより高度なサイバー犯罪者が、こうしたエージェント型サービスを他者に提供し始めることで、これらの能力を売買する新たな地下市場が生まれ、それがエージェント型AI駆動の攻撃を主流へと押し上げるだろうと予測した。
攻撃者と防御側のダイナミクスにおいては常にそうであるように、当初の優位性は必ずサイバー犯罪者側にあり、防御側は犯罪者の手口に追いつくことを求められる、とフローレス氏は述べた。
エージェント型AI登場以前と同じ原則が依然として当てはまる。ベンダーは最新技術を採用して顧客を保護するよう経済的に動機づけられており、組織全体において「侵害前提(assume breach)」の考え方を持ち続けなければならない。
また、AIエージェントがより一般的になるにつれ、システムやネットワーク上で行動を起こせる他のユーザーと同様に扱うべきであり、必要最小限の権限のみを与え、現在用いられているのと同じようにアクセス管理コントロールを適用する必要がある。
人間のユーザーのアカウントが侵害され得るのと同様に、防御側にとっての重要な検討事項は、攻撃者に乗っ取られないようエージェントを保護することになる。例えば、組織の資金から支払いを実行したり、アカウントを作成したり、メールを送信したりといった行為を防ぐ必要がある。
トレンドマイクロがレポートで指摘しているように、攻撃者は被害を与えるためにAIエージェントを直接利用したり、悪用したりする必要すらない。
「攻撃者は周辺インフラを操作したり、毒入りモジュールを注入したり、共有オーケストレーションレイヤーを悪用したりすることで、信頼されたAIエージェントを迂回的に悪意ある行動へと誘導することもできます」と同社は述べている。「プロンプトインジェクションのような微妙な攻撃は、複数エージェントのワークフローを密かに乗っ取り、明白な痕跡を残さずに後続の挙動に影響を与えることができます。
「組織がどのサービスやプラットフォームを採用しているかをマッピングすることで、攻撃者はそれに伴う弱点を突くために戦略的に自らの位置取りを行えるのです。」
ハドソンロックの研究者たちもまた、エージェント型AIをオペレーティングシステムに組み込むことの危険性を最近強調しており、多くの人が技術の行き着く先だと考えている。
特にWindows 11に注目した同チームは、新しいCopilotタスクバーが、インフォスティーラーに悪用され得る集中型データハブを事実上生み出していると述べた。
インフォスティーラー型マルウェアと、それがかき集めるデータは、ランサムウェア集団のような金銭目的の攻撃者によって頻繁に利用され、被害者ネットワークへの初期侵入に必要なリソースを提供している。
ハドソンロックは、エージェント型インフォスティーラー攻撃はすでに今日観測されていると述べている。マルウェアのペイロードを実行してマシン上の認証情報などの秘密情報をスキャンさせる代わりに、「エージェント対応スティーラー」はCopilotのような集中型データハブを標的にし、攻撃者に代わってデータを盗み出す。
この文脈でいう「エージェント対応スティーラー」とは、一見無害に見えるドキュメントのことで、白い背景に白い文字で書かれた隠し命令が埋め込まれている。
ユーザーがこれを開き、Copilotに要約や分析、その他の形でファイルの解析を依頼すると、エージェント型AIは隠された命令に従い、しばしばセキュリティアラートを一切発生させることなく、攻撃者のためにデータを流出させてしまう。®
