複数ライセンス割引見積
脅威データベース 脆弱性 AIが開発した2要素認証の脆弱性

AIが開発した2要素認証の脆弱性

脆弱性, 高度な持続的脅威 (APT), マルウェアMezoまで
翻訳内容:

サイバーセキュリティ研究者らは、人工知能(AI)の支援を受けて開発されたと考えられるゼロデイ脆弱性を悪用する、これまで知られていなかった攻撃者を発見した。これは、脆弱性の発見とエクスプロイトの生成において、AIが実際の悪意のある活動に積極的に使用されたことが記録された最初の事例となる。

捜査当局は、この攻撃は組織的なサイバー犯罪グループによるもので、大規模な脆弱性悪用計画で連携していたとみている。関連する攻撃チェーンの分析により、広く利用されているオープンソースのウェブベースシステム管理プラットフォームの二要素認証(2FA)を回避できるPythonスクリプトに埋め込まれたゼロデイ脆弱性が明らかになった。

GoogleのGemini AIツールと今回の攻撃を直接結びつける証拠はないものの、研究者らは、AIモデルが脆弱性の発見と悪用において重要な役割を果たしたと高い確信度で結論付けた。Pythonコードは、高度に構造化されたフォーマット、詳細な説明文、詳細なヘルプメニュー、そしてクリーンなANSIカラー実装など、大規模言語モデル(LLM)が生成する出力によく見られる複数の特徴を示していた。また、このスクリプトには、AIによる誤作動の典型的な例である、捏造されたCVSSスコアも含まれていた。

2FAバイパス攻撃の仕組み

特定された脆弱性は、正常に機能するために正規のユーザー認証情報を必要とした。研究者らは、この欠陥はアプリケーションの認証プロセスにおけるハードコードされた信頼前提に起因する意味論的論理の弱点から生じたものであると結論付けた。このような高度な論理的欠陥は、現代のLLM(論理レベル管理)システムの分析能力の範囲内に収まりつつある。

セキュリティ専門家は、AIが脆弱性の発見からエクスプロイトの検証、運用展開に至るまで、サイバー攻撃ライフサイクルのあらゆる段階を劇的に加速させていると警告している。攻撃者によるAIの利用拡大は、弱点の特定と攻撃開始に必要な時間と労力を削減し、防御側のプレッシャーを増大させている。

AIがマルウェアとエクスプロイトの範囲を拡大

人工知能はもはや脆弱性調査の支援だけに留まらない。攻撃者は現在、AIを利用して多形性マルウェアを構築し、悪意のある操作を自動化し、攻撃機能を隠蔽している。その顕著な例の一つが、Androidマルウェアの一種であるPromptSpyだ。これはGeminiを悪用して画面上のアクティビティを分析し、マルウェアが最近使用したアプリケーション一覧に留まるように指示を出す。

研究者たちは、Geminiを利用した悪意のある活動に関わる、いくつかの注目すべき事例も記録している。

中国との関連が疑われるサイバー諜報グループUNC2814は、ペルソナを利用した脱獄プロンプトを用いて、ジェミニにネットワークセキュリティ専門家の役割を強制的に引き受けさせたと報じられている。その目的は、TP-LinkのファームウェアやOdetteファイル転送プロトコル(OFTP)の実装など、組み込み機器を標的とした脆弱性研究を支援することだった。

北朝鮮の脅威アクターであるAPT45は、CVEを分析し、概念実証エクスプロイトを検証するために設計された、数千件の再帰的なプロンプトを発行したとされている。

中国のハッキング集団APT27は、運用中継ボックス(ORB)インフラストラクチャの管理を目的としたと思われる艦隊管理アプリケーションの開発を加速するために、Geminiを使用したと報じられている。

ロシア関連の侵入作戦では、ウクライナの組織を標的として、CANFAILとLONGSTREAMとして知られるAI支援型マルウェアファミリーが展開された。これらのマルウェアはいずれも、悪意のある動作を偽装するためにLLMが生成したおとりコードを組み込んでいた。

兵器化された訓練データと自律型AI運用

さらに、攻撃者は「wooyun-legacy」という特殊なGitHubリポジトリを実験的に使用していることが確認されている。これはClaudeコードスキルプラグインとして設計されたもので、中国の脆弱性開示プラットフォームWooYunが2010年から2016年にかけて収集した5,000件以上の実際の脆弱性事例が含まれている。

このデータセットをAIシステムに入力することで、攻撃者はコンテキスト学習を可能にし、経験豊富なセキュリティ研究者と同等の精度でソースコード分析を行うモデルを訓練することができます。これにより、標準的なモデルでは見落とされがちな微妙な論理的欠陥を特定するAIの能力が大幅に向上します。

研究者らはまた、中国と関係があるとみられる脅威アクターが、日本のテクノロジー企業と東アジアの大手サイバーセキュリティプラットフォームへの攻撃において、Hexstrike AIやStrixといったエージェント型AIツールを使用したことを明らかにした。これらのツールは、人間の介入を最小限に抑えつつ、自動的な偵察および発見活動を可能にしたとされている。

攻撃型AIがもたらすセキュリティ上の影響の拡大

今回の調査結果は、サイバー脅威の状況における大きな変化を浮き彫りにしている。AIは、生産性向上ツールから、攻撃的なサイバー作戦における戦力増強ツールへと急速に進化している。ゼロデイ脆弱性の発見から、マルウェア展開の自動化、作戦の隠蔽性の向上まで、人工知能はサイバー攻撃の計画と実行方法を根本的に変えつつある。

AIを活用したサイバー攻撃能力が成熟し続けるにつれ、組織は、攻撃がより高速化し、適応性が向上し、被害が発生する前に検知することがますます困難になる未来に直面することになる。

トレンド

Aur0raランサムウェア

ランサムウェア
今日のデジタル環境において、マルウェアからデバイスを保護することは極めて重要な要件となっています。現代のランサムウェア攻撃は、もはやファイルの暗号化だけにとどまらず、データ窃盗、恐喝、心理的圧力などを組み合わせて被害を最大化し、被害者に多額の身代金を支払わせようとします。こうした攻撃的な進化を象徴するランサムウェアの一つがAur0ra Ransomwareです。これは、貴重なデータをロックす...

Robinhoodの身に覚えのないサインインメール詐欺

フィッシング, スパム
アカウントに不審なアクティビティがあったと主張する予期せぬメールは、常に注意して扱うべきです。サイバー犯罪者は、受信者が熟慮せずに反応するように仕向けるため、フィッシング詐欺を緊急のセキュリティ通知に見せかけることがよくあります。いわゆる「Robinhood 未確認サインイン」メールも、この増加傾向にある一例です。これらのメッセージは、信頼できる金融プラットフォームやアカウントセキュリティシステムに言及しているように見えますが、実際にはいかなる正当な企業、組織、団体とも関連していません。 「認識されていないサインイン」メール詐欺の手口を解説 サイバーセキュリティ研究者らは、「Robinh...

ファミリーブラウザ

望ましくない可能性のあるプログラム
デバイスを侵入的で信頼できないアプリケーションから保護することは、プライバシー、セキュリティ、およびシステム全体のパフォーマンスを維持するために不可欠です。潜在的に不要なプログラム(PUP)は、一見無害に見えることが多いですが、ユーザーを欺瞞的なコンテンツ、侵入的な広告、データ収集行為、その他のリスクにさらす可能性があります。ファミリーブラウザもそのようなアプリケーションの1つであり、その疑...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
31,668
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
27,427
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

Fuq.com

不正なスパイウェア対策プログラム, Mac マルウェア
21,091
Fuq.com は、ポルノ コンテンツを含む Web サイトを宣伝するアドウェア タイプのプログラムです。この迷惑プログラム (PUP) の広告キャンペーンは非常に攻撃的です。感染したデバイスに関連する広告、バナー、またはビデオを表示することで、被害者に宣伝されたページの不審なアダルト コンテンツの閲覧を強制します。 Fuq.com は Mac デバイスにも影響を及ぼし、プッシュするコンテン...
読み込んでいます...