Picus LabsのRed Report 2025によると、AIがサイバー脅威の風景を劇的に変えているという主張は誇張されていることがわかりました。実際、2024年にはAIを駆使した攻撃の顕著な増加は見られませんでした。攻撃者はAIを利用してフィッシングメールの作成や悪意のあるコードのデバッグを効率化していますが、AIの変革力を大規模に活用するには至っていません。
認証情報の盗難の急増
2024年には、認証情報の盗難が3倍以上に増加しました。
攻撃者は、信頼できる送信元を装ってターゲットに偽のリンクや添付ファイルをクリックさせ、ユーザーの認証情報を入力させる手口を使います。さらに、攻撃者はソーシャルエンジニアリングやマルウェアを利用して、ブラウザやパスワードストアに保存された認証情報を取得することもあります。
最近では、デバイスコードフィッシングという手法も多用されており、ユーザーをだまして認証コードを入力させ、その情報を盗むことで不正アクセスを行うケースが増加。さらに攻撃者は特権をエスカレートさせてネットワーク内での拡散を図っているとのこと。このような増加は、継続的かつ強力な認証情報管理とプロアクティブな脅威検出の必要性を強調しています。
MITRE ATT&CK技術の利用
Red Report 2025によると、93%のマルウェアが少なくとも1つのトップ10 MITRE ATT&CK技術を使用しています。攻撃者は依然として既知の戦術、技術、手順(TTP)に依存しており、セキュリティチームはこれらのギャップを特定し対処することが重要です。ちなみに、MITRE ATT&CKはツールそのものではなく、サイバー攻撃の戦術や技術を体系的にまとめたフレームワークのこと。攻撃者がどのような手法を使ってシステムに侵入し、攻撃を行うかを理解するためのガイドラインのようなものです。
トップ10のMITRE ATT&CK技術
MITRE ATT&CKフレームワークは広範ですが、ほとんどの攻撃者はコアセットのTTPに固執しています。Red Reportで提供されたトップ10のATT&CK技術の中で、以下のエクスフィルトレーション(不正に持ち出す手段)およびステルス技術が最も多く使用されています。
- T1055(プロセスインジェクション): 攻撃者は信頼されたシステムプロセスに悪意のあるコードを注入し、検出を困難にします。
- T1059(コマンドおよびスクリプトインタープリタ): 攻撃者はターゲットマシン上の正当なインタープリタ内で有害なコマンドやスクリプトを実行します。
- T1071(アプリケーション層プロトコル): 攻撃者はHTTPSやDNS-over-HTTPSなどの一般的なプロトコルに隠されたコマンドアンドコントロールおよびデータエクスフィルトレーション(不正に持ち出す手段)のためのHTTPSやDNS-over-HTTPSのようなプロトコルなどのウィスパーチャネルを使用します。
The Hacker News『Debunking the AI Hype: Inside Real Hacker Tactics』
これらの技術の組み合わせにより、正当なプロセスが正当なツールを使用してデータを収集し、広く使用されているネットワークチャネルを介して送信します。これらの技術は署名ベースの方法では検出が難しいですが、行動分析を使用して複数の技術を監視し、データを相関させることで異常を検出しやすくなります。セキュリティチームは、通常のネットワークトラフィックとほとんど区別がつかない悪意のある活動を見つけることに焦点を当てる必要があります。
出典
The Hacker News『Debunking the AI Hype: Inside Real Hacker Tactics』
