検索
特集/連載

次なる標的は「AIエージェント」 なぜ狙われるのか?AIエージェント防御の要諦

生成AIの武器化が進み、企業の「AIエージェント」が新たな攻撃面になっている。サイバーセキュリティの国際会議「Black Hat USA 2025」でCrowdStrikeが最新の脅威動向を示した。

Share
Tweet
LINE
Hatena

関連キーワード

人工知能 | セキュリティリスク


 生成AIの活用が進む一方で、業務に深く組み込まれるAIエージェント(自律的にタスクを実行するAI)が、攻撃者の格好の標的になりつつある。セキュリティベンダーCrowdStrikeは、2025年8月にラスベガスで開催されたサイバーセキュリティの国際会議「Black Hat USA 2025」で、レポート「CrowdStrike 2025 Threat Hunting Report」を公表。このレポートは、攻撃者がAIエージェントをクラウドサービスと同等の攻撃対象として見なしている実態を示した。

AIエージェントはなぜ狙われるのか

 CrowdStrikeは、サイバー犯罪者や西側に敵対する国家がAIを急速に攻撃手段として取り込み、企業のAIエージェントを新たな侵入口として狙っていると警告した。レポートでは生成AIが攻撃手口の高速化と拡大を可能にし、従来は高度な技術を必要とした、端末を直接操作する「ハンズオン・キーボード攻撃」への参入を容易にしていると指摘している。さらに、業務自動化を担うAIエージェント自体が、企業運営を支える重要インフラとして攻撃対象に組み込まれつつあることを明らかにした。

 CrowdStrikeの対敵作戦部門責任者アダム・マイヤーズ氏は「AIの登場は企業の運営方法と攻撃手法を根本から変えた」と述べる。攻撃者は生成AIを活用し、ソーシャルエンジニアリングの手口を拡大。攻撃のスピードを高め、ハンズオン・キーボード攻撃を仕掛けるためのハードルを下げているのを確認している。同時に、企業が導入しているAIシステムそのものを狙っている。

 AIエージェントは自律性と高速性を備え、業務に深く統合された「超人的」な存在であり、一度乗っ取られると被害は極めて大きい。攻撃者はAIエージェントをクラウドサービスや特権アカウントと同様にインフラとして扱い、攻撃している。「今後のサイバーセキュリティの主戦場は、ビジネスを動かすAIをいかに守るかに移っている」とマイヤーズ氏は指摘する。

 レポートは、自律ワークフローと「ノンヒューマンアイデンティティー」(NHI:Non-Human Identity、非人間ID)が企業の攻撃面の中核になったと結論付けている。非人間IDとは、システムやIoT(モノのインターネット)デバイスに与えられたID全般を指す。

国家・犯罪グループの最新動向

 CrowdStrikeは265以上の脅威アクターおよびグループを追跡しており、各陣営でのAI活用が加速している実態を示した。例えば以下の点だ。

  • 北朝鮮系「FAMOUS CHOLLIMA」
    • ディープフェイクを用いた面接、偽履歴書の作成、偽の身元での技術タスク実行など、内部者攻撃の各工程を生成AIで自動化。
  • ロシア系「EMBER BEAR」
    • プロパガンダの拡散・強化に生成AIを活用。
  • 中国系「Genesis Panda」「Murky Panda」
    • クラウドを重点攻撃し、設定ミスや信頼済みアクセス権を悪用して検出を回避。2025年上半期のクラウド侵入は2024年通年比で136%増。中国系によるクラウド侵入は前年比で40%増。
  • イラン系「CHARMING KITTEN」
    • 米欧組織を狙うフィッシングの囮文面作成に大規模言語モデル(LLM)を利用。
  • 「SCATTERED SPIDER」(別名:Octo Tempest、Muddled Libraなど)
    • 英国では、小売大手Marks and Spencer(M&S)を攻撃したことで悪名高い。同グループはヘルプデスクへのなりすましで認証情報のリセットを誘導し、MFAを回避してSaaSやクラウド環境で横移動した。あるインシデントでは、初期アクセスからランサムウェア(身代金要求型マルウェア)の展開による暗号化まで24時間未満で到達した。

攻撃下のAIエージェント

 AIの悪用で新たに顕著なのは、AIエージェントが企業の新しい攻撃面になっている点だ。CrowdStrikeは、攻撃者がAIエージェント構築ツールの脆弱(ぜいじゃく)性を突き、未認証のままアクセスして認証情報を奪取し、マルウェアやランサムウェアを展開した事例を確認したと報告する。レポートは「AIエージェントと非人間IDが、攻撃者にとって次のターゲットになっている」と総括した。

  • 攻撃者が狙う対象
    • AIエージェント本体(構築ツールの脆弱性や未認証アクセス、認証情報奪取)
  • 周辺インフラ
    • SaaS、クラウドコンソール、特権アカウント

一般犯罪者によるAIの現実利用

 国家支援ではない一般的な攻撃者もAIの利用を拡大している。スクリプトの生成や技術的な問題の解決、マルウェアの構築までをAIに任せ、従来は高度な専門知識を要した工程を自動化している。実際に、ランサムウェアの「FunkLocker」(別名:Funksec)やモバイル向け情報窃取型の「SparkCat」など、生成AIを手口の一部に取り入れた実働マルウェアの確認事例が現れている。もはやAIの悪用は理論上の話ではない。

翻訳・編集協力:雨輝ITラボ(リーフレイン)

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る