出典:Mikalai Lipski(Alamy Stock Photo経由)
脅威アクターは、悪意ある活動を推進するために、生成AI(GenAI)ツールにますます依存しています。
これはCrowdStrikeの「2025年脅威ハンティングレポート」によるもので、本日公開され、脅威の状況におけるいくつかのトレンドを概説しています。例えば、2025年前半のボイスフィッシング(またはビッシング)攻撃の件数は、2024年全体で記録された攻撃件数を上回り、ハンズオンキーボード侵入は前年比27%増加しました。しかし、最も注目すべき統計のいくつかは、脅威アクターがGenAIをどのように活用して活動を強化しているかに関するものでした。
これまで、GenAIを利用した新たな攻撃の多くはプロンプトインジェクションや、(ChatGPTを使ってフィッシングメールを作成するなどの)基本的なソーシャルエンジニアリングのトリックが中心でしたが、それは急速に変化しています。これらの基本的なコンセプトがより高度な方法で応用されており、「技術的」なAI攻撃がますます多く出現しているのが見受けられます。
CrowdStrikeは、同レポートの中でこの高度化を強調し、IT技術者詐欺などの攻撃者が、LLMを使って戦術、技術、手順(TTP)を強化している様子を説明しています。
AIを利用するハッカー
CrowdStrikeによれば、脅威アクターはGenAIモデルをソーシャルエンジニアリング、技術的、情報操作のために活用し、「脅威アクターの活動におけるスピード、専門知識へのアクセス、スケーラビリティの向上に寄与している可能性が高い」としています。
さらに、組織がAIをますます統合していることで、脅威アクターが悪用できる新たな攻撃対象領域が生まれています。CrowdStrikeは、4月に複数の脅威アクターがCVE-2025-3248として追跡されているLangflow AIの脆弱性を悪用し、認証なしでリモートコード実行を達成した事例を強調しました。Langflow AIはAIエージェント構築に使われる人気ツールです。
「この活動は、脅威アクターがAIツールを周辺的なアプリケーションではなく統合インフラとして捉え、主要な攻撃ベクトルとして標的にしていることを示しています」とレポートは述べています。「組織がAIツールの導入を続けるにつれ、攻撃対象領域は拡大し、信頼されたAIツールが次なる内部脅威として浮上するでしょう。」
ソーシャルエンジニアリングの分野では、攻撃者はAIを使って自然な言語のフィッシングメールを生成し、オンライン上の存在感と一致するデジタルペルソナを作り、標的からの反応を得るために必要な文書やファイルを巧妙に作成しています。
技術的な活動においては、AIがマルウェアや脆弱性エクスプロイトの開発支援、進行中の攻撃への技術サポート、標的の偵察における情報収集の強化に利用されています。また情報操作の分野では、攻撃者はGenAIを使って偽情報コンテンツや信頼性の高そうなメディアインフラ、ターゲットを絞ったプロパガンダを異なる言語に翻訳して作成しています。
CrowdStrikeは、国家主体のアクターと「eCrime」アクターの両方が生成AIの利用から恩恵を受けていることを強調しました。
「イランや北朝鮮に関連する国家主体の敵対者は、サイバー作戦をより迅速かつ効率的に、そして検知されにくくするためにGenAI技術をますます採用しています。彼らは公開されているモデルを利用して、偵察、脆弱性調査、フィッシングキャンペーンのコンテンツやペイロードの開発を支援しています」とCrowdStrikeのレポートは述べています。「リソースの少ない脅威アクター(eCrimeやハクティビストを含む)も、タスクの自動化やツールの改善(スクリプト生成、技術的な問題解決、マルウェア開発、インフラ強化など)にGenAIを活用しています。」
最終的に、CrowdStrikeは脅威アクターがGenAIを現在の攻撃手法を強化するために利用しており、完全に置き換えるものではないと見ています。
IT技術者詐欺
AI革命の恩恵を受けている攻撃者の一例が、偽IT技術者です。これらの人物は、求職者を装って雇用され、特権的な企業データにアクセスすることを目的としており、特定の組織にとって大きな悩みの種となっています。これらの労働者は、北朝鮮と関連付けられることが多いものの、さまざまなバックグラウンドを持つ場合もあり、時には数か月間実際に業務を行うこともあるため、見分けるのが困難です。
CrowdStrikeのレポートは、「Famous Chollima」として追跡している北朝鮮関連の脅威アクターにスポットライトを当てています。研究者たちは、過去12か月間にFamous Chollimaの工作員がソフトウェア開発者として不正に雇用された320件の事例を追跡しました。
CrowdStrikeは、この敵対者の高い活動ペースの理由を「採用および雇用プロセスのあらゆる段階でワークフローを自動化・最適化するGenAI搭載ツール」にあるとしています。工作員はAIを使って履歴書やカバーレターを作成し、偽のデジタルペルソナを作り、ビデオ面接時に本当の身元を隠す(ディープフェイク技術を利用)、英語がより流暢に見せる、必要に応じて業務を支援するなどに活用しています。
「一度雇用されると、FAMOUS CHOLLIMAのIT労働者はGenAIコードアシスタント(Microsoft CopilotやVSCodiumなど)やGenAI翻訳ツールを使い、日々の業務や正当な職務に関するやり取りを支援しています」とCrowdStrikeのレポートは述べています。「一般の従業員も同様の方法でGenAIを使うかもしれませんが、特に英語でのコミュニケーションを可能にするこれらのツールはFAMOUS CHOLLIMAにとって極めて重要です。これらの工作員は英語が流暢ではなく、同時に3~4つの仕事をしている可能性が高く、業務の完遂や複数のコミュニケーション対応にGenAIを必要としています。」
Famous Chollima(および同様の他の攻撃者)への対策として、CrowdStrikeは、採用時にプロフェッショナルなオンラインプロフィールを確認する強化された本人確認プロセスの導入、リアルタイムのディープフェイク対策、リモートアクセスのセキュリティコントロールの強化(特にジオロケーションマスキングやエンドポイントセキュリティ回避の試みへの対応)、採用担当者やIT担当者向けの関連トレーニングプログラムの作成を推奨しています。