サイバー攻撃は「侵入」から単に「ログイン」へシフトしており、AI は現在、人間のディフェンダーを圧倒する高速操作を自動化しています。
Cloudforce One は MOE を労力と運用成果の冷徹な比率として説明しており、現代の脅威アクターはキャンペーンのすべての段階をこれを中心に最適化しています。
高価なゼロデイを浪費する代わりに、攻撃者は、セッショントークン盗難、レピュテーションベースのインフラストラクチャ、および多くの犠牲者に渡って再利用できる AI 生成のツールなど、安価でスケーラブルな手法を好みます。
AI は潜在的な侵入者の技術的障壁を低下させ、低スキルのアクターに、かつては高度な専門知識を必要としていたタスクを実行する能力を与えます。
Cloudforce One(Cloudflare の 脅威研究チームが述べる新しいメトリクス)は、重要なのは攻撃者の有効性の尺度(MOE)、つまり最小限の努力でどれだけの損害を与えることができるかです。
Cloudforce One は、AI 支援のオペレータが高価値データを特定し、単一のサプライチェーンスタイルの攻撃で数百の企業 SaaS テナントを侵害したキャンペーンの 1 つに注目しています。
この自動化は、ボットと流出した認証情報によって加速されています。Cloudflare のテレメトリは、ネットワーク上のログイン試行の 94% がボットからのものであり、ログインの 63% は他の場所で既に侵害された認証情報を含んでいることを示しています。
レポートによると、大規模言語モデルは、リアルタイムネットワークマッピング、エクスプロイト開発、ディープフェイク作成に使用されており、複雑な侵入をほぼ「ワンクリック」操作に変えています。
そのデータは、AI と自動化が継続的に盗まれたパスワードを規模でテストし、アイデンティティを主要な戦場に変えている世界を強調しています。
兵器化された SaaS と PaaS
レポートは、脅威アクターがますます「XaaS に頼る生活」をしており、信頼されたクラウドサービスを悪用して目の前に隠れていることを警告しています。
明らかな悪意のあるインフラストラクチャを構築する代わりに、グループは Google Drive のようなプラットフォーム、Microsoft Teams、Amazon S3、Amazon SES や SendGrid などの一括メール サービスを通じてコマンドアンドコントロール(C2)とフィッシング キャンペーンをルーティングします。
Cloudforce One は、このアプローチを標準化した複数の国家支援グループをプロファイリングしています。中国に関連した「FrumpyToad」は、Google Calendar をロジックベースの C2 チャネルとして使用し、イベント説明に暗号化されたコマンドをエンコードして、通常のカレンダー トラフィックと混ざるクラウド間制御ループを作成しています。
別の中国のグループ「PunyToad」は、暗号化されたトンネリングとクラウド コンピューティングに依存して、発信元 IP をマスクし、被害者の環境内での長期的な永続性を優先する弾力的なアーキテクチャを構築しています。
ロシアの「NastyShrew」は、Teletype.in や Rentry.co などのパブリック ペースト サイトを使用して回転する C2 インフラストラクチャを調整し、感染したホストはポーリングして新しいエンドポイントを取得します。
北朝鮮に関連した「PatheticSlug」は、XenoRAT ペイロードをホストするために Google Drive と Dropbox を使用し、密かな C2 のために GitHub を使用して、トラフィックを開発者のワークフローとほぼ区別できなくしています。
イランのグループ「CrustyKrill」は、Azure Web Apps および ONLYOFFICE のようなドキュメント プラットフォームでフィッシングおよび C2 コンテンツをホストし、スプーフされたログイン ページに正当なエンタープライズ サービスの外観を与えています。
ID 攻撃も MOE を最大化するように進化しています。レポートは、LummaC2 などのインフォスティーラー ファミリを強調しており、感染したエンドポイントからアクティブなセッション トークンを収集して、攻撃者が多要素認証をバイパスして直接認証後のアクティビティにジャンプできるようにします。
Cloudforce One は、2025 年の LummaC2 インフラを破壊するグローバル操作に参加しましたが、初期感染からランサムウェア配備までの時間をさらに圧縮する後継バリアントが既に出現しています。
テレメトリは、最近のキャンペーンの 31.4 Tbps ベースラインを示しており、世界中の住宅用プロキシと侵害されたデバイスを兵器化する Aisuru のような大規模なボットネットによって駆動されています。
同時に、Cloudflare は、新しい記録を設定し、人間の対応ウィンドウを縮小する ハイパーボリューミトリック DDoS 攻撃を測定しています。
これらの攻撃は、インフラストラクチャ容量を枯渇させるように設計されており、並行する ID およびクラウド悪用操作は静かにデータ盗難または破壊に向かって移動します。
AI エージェント、新しい CVE、および自律防御
Cloudforce One は AI を自分自身に対抗させ、AI コーディング エージェントにタスクを割り当てて、「ドッグフーディング」調査の一部として独自のセキュリティ姿勢を分析させました。
その取り組みは、OpenCode AI エージェント内の重大なマークダウン レンダリング フローである CVE‑2026‑22813 を発見しました。これにより、Web インターフェイスの無修正 HTML インジェクションを通じて未認証のリモート コード実行が可能になり、9.4 CVSS スコアを獲得しました。
このケースは、AI エージェントとオーケストレーション ツールがいかに攻撃の対象およびアンプレイファイアーになっているか、特に CI/CD またはシェル アクセス ワークフローに接続されている場合に、いかに攻撃の対象およびアンプレイファイアーになっているかを示しています。
高速で AI 強化されたオペレーションのこの新しい時代を乗り切るために、Cloudflare は、人間中心の警告駆動セキュリティはもはや十分ではないと主張しています。
代わりに、組織は、テレメトリ、リアルタイム分析、および自動対応を融合させて、攻撃者の MOE をできるだけゼロに近づけるために駆動する自律防御モデルを採用する必要があります。
これは、SaaS 統合の強化、リレーと DMARC ギャップの閉鎖、トークン盗難の検出、および「ランド オフ ザ ランド」動作のクラウド ツーリングの監視が、次の産業規模の侵害の骨幹になる前に行うことを意味します。
翻訳元: https://gbhackers.com/ai-accelerates-high-velocity/
