概要
脅威アクターは急速に人工知能(AI)を利用し、初期アクセスから完全なドメイン侵害までを30分未満で達成しています。これにより、セキュリティチームには誤りや遅延の余地がほとんどありません。
脅威アクターの手法
企業が開発、アイデンティティ、クラウドワークフローでAIを採用するにつれて、攻撃者は同じツールを利用して水平展開や自動調査を行い、機械速度で後処理をスケーリングしています。
事例
CrowdStrikeの最新の脅威インテリジェンスによると、eCrimeの「ブレイクアウト時間」は2025年に39分に短縮され、最速で観測されたブレイクアウトはわずか27秒でした。
また、LAMEHUGマルウェアはHugging Face APIを介してLLMを使用し、ハードウェアやプロセスなどの情報を列挙するコマンドを生成しました。これにより、リモートシステムでの調査が可能になりました。
AIの利用状況
CrowdStrikeは、2025年にAIを活用した攻撃者が前年比89%増加し、82%の検出がマルウェアなしで行われたと報告しています。これにより、認証情報やツールを使用して通常の操作に溶け込む侵入が増えています。
対策
この新しい「代理型脅威者」時代では、検出、調査、応答がAI速度で行われる必要があります。クロスドメインテレメトリー、強力なアイデンティティセキュリティ、および数分以内に動作する自動的な封じ込め機能を備えていないと、組織は単一の侵害されたアカウントから完全なドメインアクセスまでをAI装備の脅威者が30分未満で達成してしまう可能性があります。