CrowdStrikeの最新年次グローバル脅威レポートでは、AI駆動型攻撃が89%増加し、ゼロデイ悪用が急増し、国家支援アクターがクラウドおよびエッジデバイスの侵害に注力を倍にしていることが判明した。
インターネットの初期段階以来、敵対的活動に減速がかつてないままである。CrowdStrikeが発表したばかりの第12回年次グローバル脅威レポートによると、サイバースペース内の悪意のある活動は加速するだけでなく、その規模を拡大し、標的となった組織の信頼をますます悪用し続けている。
良いニュースは、AIが脅威活動を民主化しているという議論があるにもかかわらず、2025年に政府と企業が対処している敵対者の数は加速度的には増加しなかったということだ。CrowdStrikeの調査結果によると。「昨年の過程で24人の新しい敵対者を追加しましたが、これは前年度に行ったことと同等です」とCrowdStrikeの敵対者対策オペレーション責任者であるAdam Moyersはレポートについてのラウンドテーブルディスカッションで記者団に述べた。「私たちは現在281人以上の敵対者と150の活動クラスタを追跡しています」と彼は述べた。
CrowdStrikeのレポートの主なメッセージは、脅威アクターが以前のツールキット拡張後、回避モードに移行したということだ。「全体的なレポートのテーマは、私たちが言う回避的敵対者です。去年は、それは創意工夫に満ちた敵対者でした。彼らは私たちが観察したいくつかの技術を実験し始めていました。そして今、彼らの焦点は検出の回避です。ですから、私たちは彼らを回避的敵対者と呼んでいます」とMoyersは述べた。
敵対的なAI使用が既知の戦術を増幅
CrowdStrikeのレポートは、AI対応敵対者による攻撃が前年比で89%増加したことを示しており、脅威アクターが生成AIツールを使用してフィッシング誘導メールを改善し、マルウェアスクリプトを生成し、エクスプロイトをトラブルシューティングし、偵察を加速させた。この技術は完全に新しい戦術を生み出さなかったが、既存のものをより速く、より安く、よりスケーラブルにした。
同時に、AI対応侵害はCrowdStrikeによるとより静かになった。マルウェアなし技術は2025年の検出の82%を占め、2020年の51%から上昇し、認証情報悪用および正当なユーザー行動に紛れ込むハンズオンキーボード活動への決定的なシフトを反映している。
「AIを武器として使用する観点から、ソーシャルエンジニアリングに使用できます」とMoyersは述べた。「Renaissance Spiderのようなイクライムグループが生成AIを使用してClick Fixフィッシング誘導メールを変更し、異なる言語にローカライズしたケースを見ています。」
CrowdStrikeはまた、情報作戦にAIが使用されているのを目撃した。Moyersは述べた。「ここ数ヶ月で起きた興味深いケースの1つ」は、postmark-mcpという悪意のあるMCPサーバーで、メール配信サービスPostmarkによって維持される合法的なサーバーになりすましたものだと述べた。「この場合、PostmarkのAPIをLLMと連携させるMCPサーバーは、送信されたすべてのメールに敵対者をBCCするよう悪意を持って作成されました。」
ビッグゲームハンター、支配を強化
CrowdStrikeの調査は、ビッグゲーム狩猟(BGH)ランサムウェアアクターがイクライム領域で支配的な力であり続けた方法を強調している。
ロシア語のAkiraランサムウェアを開発・維持するPunk Spiderおよびその関連するAkira専用リークサイトは、2025年に198件の侵害を実行しました。これは前年比134%の増加です。被害者への羞恥キャンペーンも拡大し、専用リークサイトで指名された組織が36.8%増加しました。
しかし、2025年のBGHアクターの状況はボリュームだけではなく、改善も含まれていました。
厳しく監視されているエンドポイント上でランサムウェアを起爆させるのではなく、BGHアクターはますますWindows Server Message Block(SMB)共有を介してデータをリモートで暗号化し、フットプリントを最小化し、管理されたホスト上でランサムウェアを実行する必要性を回避しています。
他のビッグゲームハンターは管理されていないインフラストラクチャを悪用しました。1つのインシデントでは、イクライムアクターのScattered Spiderは初期アクセスから3時間以内に管理されていない仮想マシンからActive Directoryの認証情報をダンプしました。単一の管理されたエンドポイントのみと対話しています。
サプライチェーン攻撃、規模の武器となる
CrowdStrikeによると、2025年に脅威アクターが使用した回避的戦術の主要な原動力の1つはサプライチェーン攻撃だった。
最も劇的な例は2月に発生し、北朝鮮の国家支援脅威アクターであるPressure Chollimaはまた、Lazarusとしても知られており、歴史上最大の暗号通貨盗難を実行し、デジタル資産管理プラットフォームであるSafeWalletを侵害して14億6000万ドルを盗みました。SafeWalletは暗号通貨取引所Bybitをサポートしています。信頼されたフロントエンドに悪意のあるコードを注入し、実行直後にそれを復元することにより、グループは正当なトランザクション中に資金をリダイレクトしながら検出を回避しました。
オープンソースエコシステムも同様に脆弱でした。自己増殖型の情報盗聴マルウェアShaiHuludを配布する侵害されたnpmパッケージは、発見前に200万回以上ダウンロードされました。別のキャンペーンでは、敵対者関連パッケージは8,000回以上ダウンロードされ、多くの場合、元の標的をはるかに超えた下流ユーザーを感染させる依存関係チェーンを通じて拡大しました。
ゼロデイ悪用が加速
2025年中、CrowdStrikeによると、開示と悪用の間のレースは数日、時には数時間にまで絞られました。
研究者は、ゼロデイ悪用が2025年に前年比42%増加したこと、敵対者が初期アクセス、リモートコード実行、および特権昇格のために数十の以前は未知の脆弱性を兵器化したことを報告しています。
さらに懸念されることは、イクライムの平均ブレークアウト時間(初期アクセスからラテラルムーブメントまでのウィンドウ)がわずか29分に低下し、2024年から速度が65%向上したことです。最も極端なケースでは、攻撃者は27秒で移動しました。
特に中国関連のアクターは迅速な運用化を実証しました。複数のケースでは、公開開示から2〜6日以内に悪用が開始されました。防御者にとって、ネットワークがプローブされたり侵害されたりする前に評価、優先順位付け、パッチを適用する余地はほとんどありませんでした。
ゼロデイは戦術的利点以上のものになりました。それらは戦略的加速装置となり、エッジデバイスへのステルス進入、VPNアプライアンス、メールサーバー、および企業ソフトウェアが防御を調整する前に可能にしました。
そして、ますますその進入ポイントはクラウドへの直進につながりました。
クラウドが新しい戦場になる
企業がSaaSおよびハイブリッドアイデンティティシステムへの依存を深めるにつれて、敵対者は引き続き追従しています。
CrowdStrikeは、クラウド対応の侵害が2025年全体で37%増加した一方、国家関連アクターによるアクティビティが266%急増したことを述べています。有効なアカウント悪用はクラウドインシデントの35%を占めており、攻撃者がマルウェアではなく盗まれた認証情報とセッショントークンを活用したことを強調しています。
「本当に興味深いのは、クラウド侵害の35%が効果的に正当な認証情報を使用しているということです。そして、国家脅威アクターがクラウド関連の侵害活動で266%増加したことに気づきました。これは、国家国家がここ数年イクライムアクターが気付いてきたことを認識したことを示唆しています。クラウドは理想的なターゲットなのです。」とMoyersは述べた。
敵対者中間フィッシングキットは好ましいツールになり、脅威アクターが認証フローをインターセプトし、Microsoft 365およびSalesforce環境のライブセッショントークンをキャプチャできるようにしました。オンプレミスとクラウド認証を同期するハイブリッドアイデンティティシステムは、特に魅力的なターゲットになり、侵害されると広いアクセスを提供しました。
侵入するのではなく、攻撃者はますますログインするようになりました。そして、その戦略がより体系的であったのはどこでもなく、中国関連のアクターに属するキャンペーンでした。
中国関連のアクティビティが地域とセクターにわたって拡大
CrowdStrikeの分析は、中国関連の敵対者が2025年に全体的な標的型侵害活動を38%増加させ、持続的なグローバルなペースを維持したことを示唆しています。ロジスティクス標的化は85%増加し、電気通信は30%増加し、金融サービスは20%増加しており、すべてのセクターが長期的なインテリジェンスおよび経済的優先事項に合致しています。
活動の大部分を推進していたのは「中国の脅威アクターによって活用されるゼロデイ脆弱性とエクスプロイトの大幅な増加」だったとMoyersは述べた。
一貫したパターンが浮かび上がりました。周辺の妥協が最初。中国関連のアクターによって悪用された脆弱性の67%は即座のリモートコード実行を可能にし、40%はVPN、ファイアウォール、ゲートウェイなどのエッジデバイスを標的にしました。このインフラストラクチャはしばしば堅牢な監視と適切なパッチが不足しています。一部のキャンペーンでは、敵対者は開示から2〜3日以内にエクスプロイトを運用しました。
「私たちがOperator PandaおよびVanguard Pandaとして追跡するSalt Typhoonのようなアクターを考えると、またはVolt Typhoonとしても知られており、ネットワークデバイスを標的にすることは中国にとって重要です。彼らはそこに多くの脆弱性を見つけ、それらはそれらのデバイスで管理されていないため、それらはレーダーの下にとどまることができます」とMoyersは述べた。
中国の侵害は決してスマッシュアンドグラブ作戦ではありません。複数のケースでは、アクターは数ヶ月、時には数年間、持続的なアクセスを維持し、短期的な中断よりも長期的なインテリジェンス収集を優先することがCrowdStrikeが述べました。
合わせて、2025年のトレンドは明確な物語を語っています。敵対者はより速く、より静かであり、AIツールやSaaSプラットフォームからオープンソースコード、周辺デバイスまで、モダンインフラストラクチャに組み込まれた暗黙のトラストを悪用することをいとわない。
翻訳元: https://www.csoonline.com/article/4136276/the-rise-of-the-evasive-adversary.html
