- KONNIはAI生成マルウェアを使用し、標的をブロックチェーンおよび暗号資産開発者へと移している
- フィッシングの誘導によりAI生成のPowerShellバックドアが配布され、機密性の高い開発者環境へのアクセスが可能になった
- CPRはAI主導の防御、より強力なフィッシング対策、そしてより厳格なクラウドアクセス制御を提言
セキュリティ研究者は、生成AI(Gen AI)の助けを借りて開発されているマルウェアがさらに見つかったと報告している。サイバー犯罪におけるAIツールの利用が理論から実践へ移行する中、防御側もまた自らの技術スタックにAIを組み込み始めるべきだという。
セキュリティ企業のCheck Point Research(CPR)は、10年以上にわたり活動してきた、北朝鮮の国家支援を受けた既知の脅威アクターであるKONNIについて詳述した。
CPRによれば、KONNIは韓国の政治家、外交官、学者など、同様の標的を狙うことで知られている。しかし、政治・外交分野の標的を10年以上追い続けた後、KONNIはソフトウェア開発者――とりわけブロックチェーンおよび暗号資産の開発者――へと関心を移した。
AI生成のPowerShellバックドア
CPRによると、最新のキャンペーンではKONNIが、非常に説得力のあるフィッシング誘導文を用いてIT技術者にメールを送り、クラウドインフラ、ソースコードリポジトリ、API、そしてブロックチェーン関連の認証情報へのアクセスを試みていたという。
誘いに乗った人は、AI生成のPowerShellバックドアを展開してしまい、攻撃者はそのコンピュータ、ひいてはそこに保存されているあらゆる機密情報へアクセスできるようになった。
「このキャンペーンの決定的な特徴は、AI生成のPowerShellバックドアの展開にあり、人工知能がマルウェアの開発と展開を加速させていることを示している」とCPRは報告書で述べた。
「まったく新しい攻撃手法を持ち込むのではなく、AIはより速い反復、より容易なカスタマイズ、そしてより高い柔軟性を可能にする。」
報告書はまた、これはサイバーセキュリティの専門家もアプローチを変える、あるいは進化させる必要があることを意味すると強調している。AI生成マルウェアはより速く、より大きく変化でき、従来のシグネチャベースの検知を容易に回避してしまう。
「組織は開発環境を高価値の標的として扱うべきだ」とCPRは結論づけている。防御のためには、まずコラボレーションおよび開発者のワークフロー全体でフィッシング対策を強化すること。その後、強力なアクセス制御で開発環境とクラウド環境を保護し、最後にAI主導の脅威防止を用いて、攻撃チェーンの早い段階で未知のマルウェアを遮断すべきだという。
