2025年上半期のサイバー脅威について調査してみました。
昨今は、攻撃者が人工知能(AI)を積極的に活用し、その手口を多様化させていることで、これまで以上に動的かつ危険なものとなっています。また、AIを基盤とした初のマルウェアとされる「LameHug」の登場は、サイバー攻撃の新たな転換期を示す事象です。今回、以下の記事群を参考に脅威動向に関する情報を読み解き、そこから得られた知見を自身の学びとして整理しました。
参考:
2025年上半期のサイバー脅威動向
2025年上半期、脅威アクターはAI、特に大規模言語モデル(LLM)を攻撃の規模、洗練度、効果を高めるために取り入れ、戦術、技術、手順(TTP)を絶えず進化させています。メール攻撃の領域では、LLMは効果的なフィッシングメールを高速で作成する明確な機会を提供しています。Darktraceの観測によると、2025年1月から5月にかけて検出された悪意のあるメールは1,260万通を超え、そのうち25%以上がVIPユーザーを標的としていました。QRコードを悪用したフィッシングも一貫した手口であり、2025年2月には100万通以上が検出されています。さらに、フィッシングメールに大量のテキストや多段階のペイロードが含まれる割合が前年比で増加し、上半期には32%のメールが高容量のテキストを含んでいました。これはLLMが大量かつ信憑性のあるテキスト生成に利用されている可能性を示唆しています。
また、「ClickFix」と呼ばれるソーシャルエンジニアリングも観測されています。これは人間とテクノロジーの接点を悪用し、ユーザーを騙して悪意のあるコードを実行させる手口です。攻撃者は不正なウェブサイトに偽のCAPTCHAを装う悪意のあるプラグインを注入し、ユーザーは人間認証を行っていると信じながら、実際にはシステム上でPowerShellコードを実行させられていました。この活動は政府、医療、小売など幅広い分野で見られます。
ランサムウェアとSaaSの悪用も深刻化しています。FlowerStormやMamba2FAのようなフィッシングキットの台頭は、正規サービスを模倣して多要素認証(MFA)を回避し、高度な攻撃への参入障壁を低下させています。侵害された資格情報が依然として弱点となっており、RDPサーバーやVPN、SaaSアカウントへの不正アクセスを通じた初期侵入が多数報告されています。特にSaaS環境内でのファイル暗号化は増加傾向にあり、シングルサインオン(SSO)のため保護が手薄になりがちなSaaSアカウントが標的とされています。QilinやRansomHubといったRaaS(Ransomware-as-a-Service)グループの活動も活発化しており、攻撃の複雑化と高速化が進んでいます。
エッジデバイスの悪用も続いており、Ivanti Connect SecureやSimpleHelpなどの脆弱性が悪用されています。Darktraceは、Trimble Cityworksの脆弱性(CVE-2025-0994)について、脆弱性が公開される前の1月19日という早い段階で悪用の兆候を検出していました。これは、公開されたCVEが存在しない場合でも、インターネットに接続されたシステムの悪用を検知する能力の重要性を強調しています。
AIマルウェア「LameHug」の詳細
LameHugは、AIを基盤とした初のマルウェアとされ、Windows 10およびWindows 11デバイスからのデータ窃取を目的としています。このマルウェアは、ロシア政府と関連するハッカーグループAPT28によるものとされ、ウクライナの政府関係者やセキュリティ・防衛部門を標的としています。
技術的にはPythonで書かれており、Hugging Face APIを通じてAlibabaが公開するLLM「Qwen2.5-Coder-32B-Instruct」を悪用します。このLLMは自然言語の指示を実行可能なコードやシェルコマンドに変換する能力を持ち、LameHugはこれを利用して、被害者のデバイスから機密データを収集するためのコマンドを動的に生成します。この手法は、従来の静的なマルウェアとは異なり、感染システムの状況に応じて柔軟に攻撃戦術を変更できるため、セキュリティソフトウェアによる検出を困難にする可能性があります。
拡散は、AI画像生成ツールなどを装ったZIPファイルを添付した不正メールによって行われます。感染後、LameHugはシステム情報を収集してテキストファイルに保存し、ドキュメントやデスクトップなどの重要なディレクトリから機密ファイルを検索して攻撃者に送信します。現状、LameHugは実証実験段階にあると分析されていますが、将来的にはより洗練されたAI駆動型攻撃への発展が予想され、防御側はAIモデルのエンドポイント監視やAPIトラフィック分析といった新たな対策の導入が求められます。
進化する脅威へのアプローチ
このような進化する脅威に対し、Darktraceは異常検知(Anomaly-based detection)を研究の中核に据えています。同社のCyber AI Analystは、AIのスピードと規模で脅威を分析し、インシデント発生時には自動的に振る舞いを関連付けてサマリーを提示することで、SOCアナリストの初期対応を支援します。また、クラウド検知応答(CDR)と自動化されたクラウドフォレンジック機能は、クラウド環境でのインシデント対応を迅速化し、調査時間を数時間から数分に短縮します。今日の脅威環境では、従来の静的ルールやシグネチャベースの検出ツールは追いつくのに苦労するため、通常の振る舞いからの逸脱を特定する異常検知ツールは、もはや選択肢ではなく不可欠と考えられています。
おわりに
今回、2025年上半期のサイバー脅威動向を体系的に読み解くことを通じて、攻撃者がAIを高度に活用し、フィッシングキャンペーンを前例のない規模と速度で自動化している現状を改めて認識しました。
また、AIを基盤とする初のマルウェア「LameHug」の登場は、攻撃手法が新たな段階に入ったことを示す象徴的な出来事であると感じます。
この動向からは、私たちが直面するセキュリティリスクが常に進化しており、従来の静的な防御策だけでは対応が困難になっていることがわかります。継続的に最新の情報を追い、自身の知識をアップデートしていくことの重要性を再確認する機会となりました。今後は、異常検知のようなプロアクティブな防御技術についても、さらに学びを深めていきたいと思います。
